Главное Авторские колонки Вакансии Образование
😼
Выбор
редакции
436 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Кибербезопасность МСБ: новые вызовы

Для малого бизнеса вопросы защиты от хакерских и других злонамеренных атак стоят не меньше, чем для крупного.

Кибербезопасность — это набор процессов и стратегий для защиты критически важных систем и конфиденциальной информации компании от кибератак и утечек данных. Приемы злоумышленников становятся все более изощренными по мере увеличения ландшафта угроз, и для разработки новых методов киберпреступники используют искусственный интеллект и социальную инженерию. И чтобы не отставать от них, бизнесу приходится постоянно укреплять защиту,

— поясняет Лаборатория Касперского.

Для понимания ситуации на рынке безопасности МСБ мы решили ответить себе на несколько вопросов:

  1. Почему процент хакерских атак на МСБ растет по сравнению с крупным бизнесом?
  2. Часто ли угроза исходит от самих коллег и сотрудников компаний?
  3. Как обезопасить базу данных бизнесу?
  4. Что такое контроль удаленного доступа и как его ввести?

Опросив наших экспертов — представителей различного бизнеса мы получили необходимые ответы.

Почему процент хакерских атак на МСБ растет по сравнению с крупным бизнесом?

В МСБ, отвечает Дмитрий Симак (АйТи Бастион), как правило, меньше ресурсов для инвестиций в кибербезопасность, к тому же многие компании не считают ее приоритетом, ставя под угрозу десятки партнеров, с которыми они сотрудничают. Раньше злоумышленники концентрировались на крупных корпорациях, но с массовым переходом на дистанционную работу картина изменилась. Гиганты рынка и государство при переходе на удаленку полностью укомплектовались средствами информационной защиты. МСБ, напротив, оказался более уязвимым из-за нехватки средств и опыта.

Теперь хакеры все чаще видят малый бизнес как слабое звено в цепочке поставщиков или подрядчиков для крупных игроков. Проникновение в системы небольшой компании может стать ключом к более масштабной атаке на их партнеров. Кроме того, даже малый бизнес обладает данными, которые могут быть полезны преступникам: от клиентских баз до коммерческих тайн. Но самая распространенная цель — это выкуп. У МСБ хоть и нет больших бюджетов на внедрение серьезного ИБ-контура, но деньги на выкуп за разблокировку атакованных ИТ-систем всегда найдутся, чем киберпреступники и пользуются.

Малый и средний бизнес часто сталкиваются с ограниченными финансовыми ресурсами, которые не позволяют им вкладывать достаточно средств в кибербезопасность. В отличие от крупных корпораций, обладающих специализированными отделами по IT-безопасности и возможностью нанимать экспертов мирового уровня, МСБ вынуждены полагаться на базовые антивирусные программы или сторонние сервисы, которые не всегда способны обеспечить полноценную защиту от сложных и целевых атак. Нехватка средств также сказывается на обновлении оборудования и программного обеспечения, что делает такие компании уязвимыми для эксплойтов, основанных на уязвимостях устаревших систем,

— добавляет Вячеслав Новоселов, генеральный директор компании SkyDNS.

Олег Ладный — белый хакер, старший специалист отдела анализа защищенности Simplity, комментирует вопрос так: При этом в силу программ поддержки в России для МСБ множество компаний находится в этой нише, что увеличивает площадь атак. Их атакуют из-за количества компаний: нарушителям по большей части не важно, кого ломать.

Есть множество хакерских форумов, на которых злоумышленники хвастаются захваченными ресурсами — выкладывают на захваченный ресурс файлы txt с никнеймом, набирают очки в своем сообществе. У некоторых клиентов мы находили такие файлы. Хакерам свойственно формировать своего рода «доску почета». Из-за этого малый и средний бизнес, конечно, очень страдает, потому что они попадают под общий скан.

Любая компания, запустившая веб-сервер и давшая ему доступ в сеть Интернет в течение 10-15 секунд получит запрос к серверу, хотя сама компания еще не поставили SSL-сертификат* и не завела записи в dns** , а индексирующие роботы поисковиков как Яндекс или Гугл еще даже не увидели этот веб-ресурс. Хакеры сканируют всю сеть по популярным портам буквально каждый день и какую-нибудь жертву таким образом да найдут.

Более низкий уровень защищенности МСБ означает, что хакерам нужно обладать меньшим уровнем подготовки для осуществления киберпреступлений. Следовательно, снижается порог входа в такую деятельность, и киберпреступников становится физически больше. От взлома средней компании можно получиться меньше денег, чем от крупной, однако затрачивается меньше ресурсов, а значит такие операции можно проворачивать в большем количестве.
С другой стороны, рост хактивизма также влияет на атаки на МСБ. Такие хакеры настроены на разрушение инфраструктуры, поэтому они могут проводить неизбирательные атаки на компании. Малые и средние компании составляют основу сферы услуг, а значит деструктивные атаки на них окажут влияние непосредственно на население, что выгодно хактивистам.
Третий важный фактор роста инцидентов ИБ среди малых и средних компаний — использование их хакерами для «тренировок». При вхождении в рынок злоумышленникам необходимо время, чтобы изучить ПО, с помощью которого они осуществляют преступления, и МСБ здесь становится удобной мишенью из-за низкого уровня защищенности,

— добавляет Анатолий Песковский, Информзащита.

Часто ли угроза исходит от самих коллег и сотрудников компаний?

Низкий уровень культуры информационной безопасности часто является причиной проникновения злоумышленников в инфраструктуру компании. Наиболее распространены фишинг, использование зараженных личных съемных носителей информации, пренебрежение средствами антивирусной защиты, компрометация и другие. Таким образом недостаточно обученные требованиям информационной безопасности сотрудники являются если не угрозой в прямом смысле, то точно уязвимостью, которую используют злоумышленники,

— рассказывает Анна Трохалева, руководитель направления «Анализ инцидентов информационной безопасности» USSC-SOC, УЦСБ

В информационной безопасности есть такое понятие — «внутренний злоумышленник». Это бывший или нынешний сотрудник, или подрядчик.
Всегда нужно понимать, что может обнаружиться сотрудник, который по тем или иным причинам захочет нанести вред своему работодателю — причем не всегда причиной этого будут деньги.
Я считаю, что тут нужно работать в двух плоскостях. Во-первых, проводить постоянную работу с сотрудниками и заранее предупреждать момент, когда они могут начать испытывать негатив к работодателю. Во многих случаях можно предотвратить нарушения, просто поговорив с человеком по душам.
Во-вторых, учитывать, что есть небольшой процент людей, которые уже точно решили нанести вред, и разговоры тут не помогут. В этом случае, компаниям МСБ помогут DLP-системы, которые предназначены для предотвращения утечек информации,

— комментирует вопрос Елизавета Лаврова, генеральный директор ООО «Трипитака».

Внутренние нарушители или инсайдеры — одна из самых недооцененных угроз информационной безопасности сегодня. По нашим данным, ежегодно число инсайдерских атак растет на 25% процентов, а в 2023 году они составили практически 30% от всех инцидентов ИБ. Средний ущерб от инсайдерской атаки сейчас оценивается в 10 млн рублей. Конечно, для малого и среднего бизнеса сумма ущерба будет несколько меньше, однако все равно значительна. Поэтому компаниям сегодня, безусловно, надо увеличивать внимание к действиям сотрудников внутри, наращивать меры безопасности, например, вводить двухфакторную аутентификацию, грамотно сегментировать сеть и разделить права доступа к критичной информации, — добавляет Анатолий Песковский, Информзащита.

По данным «Лаборатории Касперского», 42% всех атак происходит через инсайдеров — отмечает Дмитрий Симак (АйТи Бастион).

Согласно статистике SkyDNS, в среднем в компании до 100 человек вредоносные фишинговые ресурсы блокируются уже на уровне DNS-протокола около 156 раз в день. Это значит, что если у компании отсутствует защита корпоративного периметра на уровне DNS, даже при наличии иных средств защиты, каждый сотрудник может отдать свои конфиденциальные данные злоумышленникам минимум один раз в день. Сами того не подозревая, сотрудники могут сделать уязвимыми ценные корпоративные данные, что порой приводит к необратимым последствиям для бизнеса,

— Вячеслав Новоселов, генеральный директор компании SkyDNS

Как обезопасить базу данных бизнесу?

Отвечает Дмитрий Симак (АйТи Бастион): "Чтобы эффективно защитить базу данных, бизнесу необходимо уделить внимание не только техническим аспектам, но и управлению доступом сотрудников:

  • Аудит текущих учетных записей и прав доступа. Проведение аудита всех существующих учетных записей, имеющих доступ к базе данных. Определение уровня доступа для каждой учетной записи и выявление избыточных привилегий.
  • Определение ролей и политик доступа. Разработка четких ролей для пользователей, работающих с базой данных (например, администраторы, разработчики, аналитики). Установка политик доступа на основе принципа наименьших привилегий, что означает предоставление пользователям только тех прав, которые необходимы для выполнения их работы.
  • Внедрение многофакторной аутентификации (MFA). Настройка MFA для всех привилегированных учетных записей, чтобы повысить уровень безопасности при доступе к базе данных. Обучение сотрудников правильному использованию MFA и важности его применения.
  • Настройка PAM-платформы для управления доступом. Интеграция решения PAM с базой данных для централизованного управления привилегиями. Настройка автоматического предоставления и отзыва прав доступа в зависимости от изменений в ролях пользователей или их статуса.
  • Обучение и повышение осведомленности коллег. Проведение регулярных тренингов для сотрудников по вопросам безопасности данных и правильного обращения с привилегированными учетными записями.

К перечню Вячеслав Новоселов, генеральный директор компании SkyDNS и Олег Ладный — белый хакер, старший специалист отдела анализа защищенности Simplity также добавляют:

  • Регулярные бэкапы: Периодическое создание резервных копий помогает быстро восстановить данные в случае утраты. Важно шифровать бэкапы и регулярно тестировать возможность восстановления.
  • Диверсификация хранения: Храните данные на разных платформах — как локально, так и в облаке, распределяя по разным географическим зонам. Это снижает риски, связанные с атаками или сбоями в одном месте.
  • Контролировать используемые функции в базе данных. Различные СУБД используют различный синтаксис и различные функции. Одна из наиболее популярных СУБД это MS SQL, у которой есть функция исполнения кода на сервере базы данных — эту функцию можно и нужно отключить. Даже если злоумышленник получит доступ к базе данных, максимум, что он сможет сделать — украсть ее, и компания отделается штрафом. А если функция исполнения кода включена, и если нет ограничения на фильтрацию трафика во внешнюю сеть, то злоумышленник может проникнуть во внутреннюю сеть.
  • Проводить периодические ИБ-аудиты баз данных — проверять, как пользователи разграничивают права в этих базах данных. Как бы правильно человек изначально не настроил взаимодействия с базой данных, однажды он может допустить ошибку. При добавлении новых баз данных, например, проверки конфигурирования могут спасти организацию от потенциального взлома.

Олег Ладный, также приводит в пример сервисы компании 1С:

Популярная 1С бывает файловая, а бывает с базой данных. Ее обезопасить тяжелее всего. Дело в том, что в 1С есть незакрытый вектор атаки. 1С хранит пароли в определенном файле на сервере. Опишу ситуацию, сильно облегчающую проведение кибератаки, которую мы как белые хакеры часто видим в компаниях.

У 1С есть сервер и есть клиент, и клиент при помощи клиентского приложения подключается к серверу через определенные порты управления. С точки зрения ИБ правильно сделать так: должен быть отдельный узел с работающим на нем сервером 1С, отдельный сервер с запущенной базой данных, и отдельный терминальный сервер, куда клиенты подключаются по rdp, запускают на нем клиент, и этим клиентом уже подключаются к серверу 1С для доступа к базам. Но с целью сокращения ресурсов и денежных трат ИТ специалисты делают так: устанавливают сервер, разрешают всем пользователям подключаться к нему напрямую по rdp***, и на этом же сервере запускают клиент. То есть на одном и том же сервере подключаются сами к себе. В чем ошибка: в том, что файл с паролями от учетных записей для СУБД которые использует 1С, находится на том же сервере. Злоумышленник, если получил доступ к серверу, сразу же получает доступ и к базе данных, и к паролям. Пароли хранятся в зашифрованном виде, но дело в том, что годы назад ключи шифрования паролей стали общеизвестными, и вендор 1С не менял их с тех пор. Злоумышленники об этом знают. Таким образом, зашифрованные пароли легко раскрыть. Любой пользователь, прочитав файл, может по ключам шифрования дешифровать пароль и получить доступ к базе данных.

Возникает вопрос об использовании альтернативных, менее известных решений для баз данных. С одной стороны, меньшая популярность любого приложения означает его меньшую изученность в том числе и хакерами, соответственно, сравнительно большую безопасность. Но с ростом популярности приложения исследовательский интерес к нему также будет расти, что уже может открыть и уязвимости Zero-day, и какие-то совсем банальные и простые ошибки, которые позволяют провести атаку.

Что такое контроль удаленного доступа и как его ввести?

Контроль удалённого доступа к ИТ-инфраструктуре, комментирует Анна Трохалева, руководитель направления «Анализ инцидентов информационной безопасности» USSC-SOC, УЦСБ, — это система мониторинга и управления доступом к информационным ресурсам и системам организации через интернет или другие внешние сети. Он обеспечивает безопасность и контроль над использованием информационных ресурсов, а также позволяет отслеживать и регистрировать все действия пользователей.

Для эффективного контроля удаленного доступа организациям в первую очередь необходимо осознать важность средств защиты. Начните с комплексного анализа информационной безопасности: оцените текущие процессы, типы хранимых данных, наличие персональной информации, коммерческих или государственных тайн. В качестве универсального решения, мы, как разработчик ИБ-инструментов, предлагаем систему класса PAM (Privileged Access Management) СКДПУ НТ, которая позволяет контролировать все соединения и детально отслеживать происходящее в процессе этих соединений,

— комментирует Дмитрий Симак (АйТи Бастион).

Дмитрий также формулирует следующие основные принципы базовых функций контроля доступа:

  • Принцип наименьших привилегий (PoLP, Principle Of Least Privilege), когда пользователю предоставляется только тот доступ к данным и приложениям, который ему необходим для выполнения своих задач — не больше и не меньше.
  • Принцип администрирования «точно в срок» (JIT, Just In Time), тесно связанный с принципом «необходимого минимума» (JEA, Just Enough Administration), в соответствии с которыми необходимо уменьшить число администраторов на компьютерах, используя технические, управляемые учетные записи, которые допускают выполнение привилегированных действий от имени обычных пользователей, а также ограничить доступные пользователям действия, указав, какие функции и команды могут выполнять пользователи. В JEA администратор решает, что пользователь с определенной привилегией может выполнять определенную задачу. Каждый раз, когда соответствующему пользователю необходимо выполнить эту задачу, он получает нужное разрешение. По истечении указанного времени срок действия разрешений истечет, и злоумышленник не сможет получить доступ.
  • Принцип логирования доступа, позволяющий лучше понять, что делают ваши пользователи, с помощью детализированных записей и журналов, показывающих выполняемые пользователями команды во время сеанса, клавиатурный ввод, заголовки окон, запускаемые и останавливаемые процессы, текстовый и файловый буфер обмена.
  • Принцип безопасности паролей. Управление и безопасное хранение паролей с возможностью их централизованного изменения в автоматическом или ручном режиме. Внедрение многофакторной аутентификации для всех привилегированных учетных записей. Это добавляет дополнительный уровень безопасности, требуя от пользователей подтверждения своей личности с помощью второго фактора (например, код из приложения для аутентификации) при входе в систему.

Идеальный пример от Олег Ладного (белый хакер, старший специалист отдела анализа защищенности Simplity):

Идеальный пример, который я могу привести, использовался в компании финансового сектора. Это достаточно дорогое, но исключительно надежное решение. Чтобы приступить к работе пользователь обладает тремя парами учетных данных и дважды проходит двухфакторную аутентификацию.

Решение выглядит так:

Как мы знаем, удаленный доступ реализуется через vpn.

  1. Пользователь для подключения к vpn вводит учетные данные № 1 и подтверждает вход с помощью двухфакторной аутентификации от вендора № 1, например, в виде смс.
  2. После подключения к vpn пользователь попадает на терминальный сервер — промежуточный. Здесь пользователь вводит учетные данные № 2, которые действуют ограниченное время, и подтверждает вход двухфакторной аутентификацией от вендора № 2, например, в виде кода в приложении.
  3. После аутентификации на терминальном сервере пользователь вводит учетные данные № 3 от непосредственно рабочего домена, где хранятся рабочие файлы пользователя и находится его рабочий компьютер

Безопасность и удобства пользователя — это баланс, иногда трудно достижимый.

Есть более простые варианты, которые реализованы у CISCO, Citrix, у Open Vpn.

Если описывать кратко оптимальный вариант, то у пользователя должны быть учетные данные № 1 для доступа к vpn, далее развернут терминальный сервер, где пользователю нужно ввести учетные данные № 2 уже от домена, то есть своего рабочего компьютера. Эта схема существенно осложняет хакеру задачу, т.к.хакеру придется получить две пары учетных данных, валидных для одного пользователя. Даже если пароль от vpn не будет меняться никогда, эта схема лучше, чем одинаковые учетные данные от vpn и домена, и хакер, заполучив пару-логин-пароль, сможет удаленно попасть в сеть компании.

Оптимальное решение

Это решение будет стоить компании небольшого размера примерно 100-200 тысяч, но существенно повысит защищенность.

Заранее настраивается второй фактор:

1. Пользователю на почту получает сертификат доступа в запароленном архиве, а пароль от архива и сертификата высылают в мессенджер (откуда его украсть единоразово хакеру будет сложно).

2. Пользователь распаковывает архив одним паролем (из мессенджеры), сертификат активирует вторым паролем (также из мессенджеры).

3. Сертификат пользователь импортирует себе на устройство один раз и забывает про него.

Первый фактор работает так:

1. Пользователь подключается к vpn, например, возьмем Citrix

2. Пользователь заходит на сайт, где видит окошко «хотите идентифицироваться сертификатом?». Пользователь кликает «да». Если сертификат не был сохранен, то пользователь даже не увидел бы этот запрос на идентификацию.

3. Далее пользователю нужно ввести свои учетные данные от домена и приступить к работе.

Вероятность, что у злоумышленника окажется и сертификат и учетные данные — ничтожно мала, но среди вендоров встречаются ошибки, когда пользователь может попасть в учетную запись через сертификат другого пользователя. Лазейка остается, и тем не менее это решение можно назвать безопасным.

Чтобы исключить лазейку, нужно добавить третий промежуточный механизм — после подключения к vpn пользователь должен попадать на промежуточный терминальный сервер.

Ему заранее, вместе с архивом скидывают rdp файл, в котором прописано, что конкретный пользователь подключается к конкретному компьютеру в сети. Для пользователя rdp файл будет выглядеть как иконка. После подключения VPN пользователь тыкает на иконку rdp и происходит магия, в которой он используя как шлюз для подключения проходит через терминал и попадает на свое рабочее место.

Конечно, злоумышленник может попробовать изменить конфигурации rdp файла, чтобы стало возможным подключение к иным компьютерам в сети, но хватит ли прав и ввиду того, что в сети используется единая точка входа следить за трафиком сотрудникам ИБ-отдела будет куда удобнее. Безусловно, необходим человек, который следит за сигналами Alert и реагирует на инцидент.

*SSL-сертификат — это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение

**dns — система доменных имен, которая служит для поиска и идентификации доменов в Интернете

***Rdp — протокол для подключения и работы пользователя с удаленным сервером

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем