Антон Кузьмин: «Универсальной таблетки нет, ни один антивирус не гарантирует безопасность»

Хакерами пугают детей и даже взрослых. У киберпреступников сложился имидж неуловимых и безнаказанных бандитов, которые при помощи вирусов способны обчистить и крупный банк, и простого обывателя. И защиты от них нет, — остается только ждать, когда злодеи доберутся до вашего бизнеса. Есть и другая легенда, мол пресловутые хакеры угрожают только крупным компаниям, у которых можно сразу украсть много денег и ценных данных.

А теперь давайте перестанем пугать себя и окружающих. Или, наоборот, приукрашивать действительность. Лучше внимательно посмотрим на то, как именно угрожают всем нам киберпреступники и разберемся, как обеспечить от них защиту для бизнеса.

Как нападают хакеры

Все инциденты с информационной безопасностью связаны с проникновением хакеров в инфраструктуру предприятия. Она есть у любой организации, — даже несколько компьютеров, объединенные в небольшую сеть и подключенные при помощи беспроводного роутера к интернету, являются информационной инфраструктурой. В большинстве случаев «ИТ-хозяйство» компании еще сложнее: в нем, как правило, имеется сервер (физический или облачный), хранилище данных, веб-сайт. И любой элемент такой инфраструктуры может попасть в поле зрения хакера.

Первый канал, через который хакеры способны проникнуть в инфраструктуру компании — различные интернет-сервисы. Взломав и разместив вредоносное программное обеспечение на одном из них, преступники способны затем распространить «заразу» и на компьютеры пользователей, которые этим сетевым сервисом пользуются. Здесь же стоит упомянуть так называемые «фишинговые» сайты, которые иногда маскируются под официальные сайты различных компаний. Они часто предлагают пользователям ввести их персональную информацию, чтобы в дальнейшем похитить ее.

Получить доступ к корпоративной инфраструктуре хакеры могут и через сервисы взаимодействия пользователей — электронную почту, различные мессенджеры или социальные сети.

Третий путь — при помощи скачиваемых пользователями файлов. Это могут быть не только случайные документы, картинки или видео, но даже обновления ПО. Есть еще один вариант такого проникновения — через зараженные носители информации (флешки, внешние диски), которые пользователи подключают к своим компьютерам.

Наконец, злоумышленники могут провести и «атаку через поставщика». Часто доступ в инфраструктуру предприятия имеют сторонние организации: подрядчики, которые обслуживают информационные системы, деловые партнеры, размещающие заказы в торговой системе, облачные сервисы, в которых размещены виртуальные серверы или системы хранения (Azure, Sbercloud, Яндекс.Облако и др.).

Как видим, способы проникновения хакеров в инфраструктуру весьма разнообразны. Столь же развит и «арсенал» киберпреступников, которые могут применять сотни различных технических инструментов. Поэтому обойтись при организации обороны «универсальной таблеткой» не получится: невозможно установить на все компьютеры компании антивирусное ПО и жить спокойно. В любом случае для защиты компании от киберугроз придется применять комплекс мер.

Меры защиты от кибератак

Эти меры можно разделить на три основных группы.

1. К первой относятся превентивные меры, технические решения, которые предотвращают проникновение хакеров в инфраструктуру: средства защиты информации и автоматизированные средства блокировки проникновения.
2. Вторая группа — компенсирующие меры, те решения, которые позволяют предотвратить развитие кибератаки даже если хакерам удалось взломать защиту и проникнуть в один или несколько узлов инфраструктуры.
3. Наконец, третью группу составляют организационные меры. Они нацелены на нивелирование так называемого «человеческого фактора», когда путь в инфраструктуру предприятия злоумышленникам открывают пользователи, в большинстве случаев — невольно или по незнанию.

Превентивная защита

К сожалению, множество компаний считает излишним развивать свои системы информационной безопасности и ограничиваются (в лучшем случае) только использованием антивирусных средств. Повторю: «универсальной таблетки» не существует, и ни один антивирус не способен гарантировать безопасность инфраструктуры. Его необходимо дополнять другими ИБ-решениями.

Для небольших бизнесов сегодня помимо антивируса необходимо в обязательном порядке использовать и другие средства безопасности. Для контроля сетевого трафика и блокировки подозрительных подключений к инфраструктуре используются межсетевые экраны, причем нового поколения, NGFW (Next Generation Firewall). Они позволяют не только контролировать сетевой трафик, но и работу приложений, которые обращаются к сети, а также предотвращать вторжения в инфраструктуру через сеть. Эффективно фильтрует трафик и такой инструмент, как прокси-сервер. Это — сервер, через который осуществляется централизованный доступ в интернет со всех компьютеров организации.

Для того, чтобы злоумышленники не могли перехватить данные в момент их передачи между сервером и рабочей станцией пользователя, необходим VPN. Сегодня эта технология широко известна в силу ограничений регуляторов, поэтому о ней стоит рассказать чуть подробнее.

VPN-сервисы создавались для объединения устройств в общую защищенную виртуальную сеть, туннелирования соединений. Такие соединения позволяют обеспечить защиту данных, причем весьма эффективную, при удаленном подключении к инфраструктуре компании. Ограничения со стороны регуляторов затрагивают не корпоративные VPN-сервисы, а те, что используются только для обхода блокировок. К слову, они могут принадлежать злоумышленникам или контролироваться ими, что представляет для неискушенных пользователей большую опасность.

Данные сегодня становятся главным активом для любой компании и требуют специальной защиты. Применяются для этого системы резервного копирования, которые позволяют эффективно бороться с такой распространенной угрозой, как шифровальщики.

Наконец, для тех компаний, которые активно используют для продвижения и продаж собственный интернет-сайт, будет совсем не лишним применение специального решения для защиты от DDoS-атак.

Использование такого комплекса решений позволяет закрыть до 90% уязвимостей, которые имеются в инфраструктуре малой или средней компании.

Компенсирующая защита

Компенсировать развитие хакерской атаки даже в том случае, когда преступникам удалось проникнуть внутрь охраняемого периметра, позволяют компенсирующие меры. Здесь в первую очередь стоит упомянуть тонкие настройки корпоративной инфраструктуры, -- ее сегментацию, а также настройку операционных систем. Если они выполнены правильно, то злоумышленники просто не получат доступа к интересующим их данным или узлам инфраструктуры.

Например, отдельными средствами защиты оснащаются рабочие места привилегированных пользователей, тех, кто имеет права администраторов систем или доступ к особенно ценным и конфиденциальным данным. Представьте, какую информацию могут получить хакеры, получившие доступ к рабочему компьютеру генерального директора или главного бухгалтера! То же самое можно сказать и о базах данных, используемых корпоративной учетной системой или CRM. Такие узлы должны располагаться в изолированных сегментах инфраструктуры.

В качестве компенсирующих средств применяются и сложные специализированные ИБ-решения, при помощи которых специалисты проводят анализ угроз, проверку программного обеспечения или даже кода, ведут мониторинг активности киберпреступников. В подавляющем большинстве случаев такие средства весьма недешевы и к тому же предназначены для сотрудников, обладающих специальными знаниями. Для компаний малого и среднего бизнеса, заинтересованных в том, чтобы применять в защите своей инфраструктуры такие решения, стоит воспользоваться услугами специализированных предприятий. Это позволит избежать значительных инвестиций и в оборудование, и в ПО, и в расширение штатов.

Человеческий фактор

Организационные меры защиты отнюдь не менее важны, чем технические. Увы, но самым слабым местом в обеспечении безопасности инфраструктуры компании остаются (и всегда будут оставаться) люди. При этом речь идет о вполне невинных на первый взгляд действиях, которые несут потенциальную угрозу.

Персонал компании должен не просто знать, но и строго соблюдать простые правила: не пользоваться носителями информации, не открывать письма, а тем более вложенные файлы от неизвестных отправителей, не переходить по присылаемым почтой или в мессенджерах ссылкам, не посещать сомнительные интернет-сайты, не скачивать файлы, не пересылать и не публиковать конфиденциальные данные. Стоит потратить время, но составить четкий и строгий перечень запрещенных действий и данных, которые никогда не должны быть переданы за пределы инфраструктуры компании.

Помимо составления инструкций и контроля их выполнения необходимо постоянное обучение пользователей. Основными темами таких тренингов должны стать обучение правилам и ошибкам работы с оборудованием и сетевыми технологиями, правилам использования паролей и правилам работы с конфиденциальной информацией.

Часто не лишним будет использование и средств контроля пользователей, РАМ- или DLP-систем, которые предназначены, соответственно, для управления привилегированными пользователями и для предотвращения утечек информации.

Что делать с облаками

Сегодня многие, если не большинство небольших компаний используют главным образом облачные сервисы. С их помощью «закрываются» потребности во многих элементах информационной инфраструктуры, начиная от электронной почты и заканчивая специализированными системами, такими как CRM.

Чаще всего бизнес даже не задумывается о том, что облачные сервисы тоже требуют соблюдения требований безопасности. Да, поставщики сервисов и облачные провайдеры берут на себя решение большинства задач, связанных с защитой систем и данных. Но это не освобождает от необходимости соблюдать особенные правила при работе с облаками.

Чтобы работа с такими сервисами была безопасной, необходимо соблюдать те же правила, что и при защите собственной инфраструктуры: шифровать данные, вести мониторинг сети, использовать защиту от DDoS-атак.

Особенное внимание следует уделить паролям. Во-первых, они должны быть надежны и при этом легко запоминаться пользователями, а во-вторых, необходимо использовать многофакторную авторизацию, когда помимо ввода пары «логин-пароль» пользователь должен подтвердить свои права при помощи ввода одноразового кода, присылаемого, как правило, через смс.

Еще одно правило при работе с облачными сервисами — изменение настроек, используемых по умолчанию. К примеру, чаще всего учетная запись, управляющая аккаунтом, называется admin. Об этом хорошо знают хакеры, которые пытаются при помощи автоматического перебора найти пароль от такой записи. Поэтому лучше всего после первоначальной настройки назначить администратором аккаунт с совсем другим именем.

Короткие выводы:

• универсальной защиты от хакеров не существует;
• помимо антивируса необходимо использовать и другие средства защиты;
• самое слабое звено в защите от кибератак — люди.