Как защитить свой бизнес от хакерских атак с помощью 10 простых правил и инструментов

В статье расскажем как с помощью всего 10 приемов снизить вероятность хакерской атаки на 95%.

Как защитить свой бизнес от хакерских атак с помощью 10 простых правил и инструментов

Всем привет! Меня зовут Антон. Я учредитель компании upsystems, занимающейся it аутсорсингом.

Статью про it безопасность я хотел написать уже давно, после десятков историй о том, как просто взламывают it системы бизнеса, шифруют базы, а потом требуют выкуп в биткоинах. Надеюсь статья будем вам полезна и вы избежите неприятностей связанных с хакерскими атаками.

В последнее время фиксируется огромный рост попыток взлома и шифрования всего подряд, основном, атаки идут на базы данных и сервера. Конечно это касается 1С серверов. Злоумышленники понимают важность 1С сервера для бизнеса, поэтому часто охотятся именно на них.

Три месяца назад к нам обратилась компания с уже стандартной проблемой: их сервер 1С зашифровали и требуют 1 биткоин. Что делать? Стоит ли переводить средства, есть ли гарантия что не будут требовать еще?

Чтобы снизить вероятность взлома и шифрования на 95% мы разработали достаточно простую инструкцию, которую может применить любая компания.

10 правил, которые защитят вас от взлома

1. Хорошее сетевое оборудование и актуальная прошивка

Начнем с сетевого оборудования. Среди множества марок для выбора шлюза/роутера мы советуем две: Mikrotik и Cisco. Если вы только планируете строить безопасносный контур сети — присмотритесь к ним.

Если у вас уже стоит оборудование этих марок — обязательно проверьте актуальность прошивок (в идеале проверяйте актуальность прошивки системой мониторинга) и доступность открытых портов снаружи сети — это критический совет №1. Если вы хотите дать доступ для оборудования снаружи сети, выделите для этого определенные адреса.

По статистике основная причина взлома сетевого оборудования происходит из-за неактуальных прошивок и доступа к оборудованию из внешних сетей. Хакеры знают о существующих уязвимостях и пользуются ими для проникновения.

2. Доступ во внутреннюю сеть

Организуйте возможность доступа во внутреннюю сеть только через VPN/OpenVPN. Кстати о VPN, для доступа к заблокированным ресурсам, мы, например, предоставляем нашим клиентам услуги приватного VPN за 10 долларов за один компьютер в месяц. Эту VPN мы сделали сами: мы шифруем и управляем трафиком через наши собственные сервера. Можем открыть заблокированные ресурсы для всего офиса.

Для доступа во внутреннюю сеть используйте VPN. За исключением веб-сервисов, весь трафик между дата-центрами и офисами, а также различными офисами, должен идти по VPN и не покидать пределы внутренней сети.

3. Контур безопасности внутренней сети

Ничего из внутренней сети на внешних сетевых интерфейсах доступно быть не должно. Как проверить? Любым сканером портов. Запустите программу снаружи и укажите адрес, подлежащий сканированию, но это не гарантия, что все открытые порты будут найдены с первого раза. Один из портов может быть открыт и проброшен, например, на выключенное устройство. Его позже включили и оно доступно по этому порту в интернете. Поэтому надёжнее не сканировать порты, а смотреть в конфигурации Mikrotik и Cisco.

Если у вас нет системного администратора кто бы мог помочь, обратитесь к нам. У нас есть услуга в рамках которой мы проверяем уязвимость вашей сети.

Для доступа во внутреннюю сеть используйте VPN.

4. Политика сложных паролей

В независимости от количества сотрудников и их квалификации в компании должна действовать политика сложных паролей. Когда политика сложных паролей включена, сотрудник не сможет физически установить простой пароль. Следующие пароли мы называем простыми:

  • 12qwaszx
  • 12qwaszxcvbnm,
  • 1234567890
  • password
  • !234567890
  • номера телефонов компании
  • и так далее

Если против вас организуют атаку, специальные программы быстро переберут основные пароли, которыми часто пользуются обычные люди.

Как этого избежать? Дайте возможность устанавливать и администрировать пароли либо системному администратору либо программным методом.

Не используйте и не давайте возможность устанавливать простые пароли

5. Блокировка сеансов по времени

Если вы пользуетесь Active Directory установите блокировку сеансов при отсутствии активности пользователем более 15 минут. Сотрудники могут забыть выйти или окончить сеанс, чем могут воспользоваться злоумышленники и занести во внутреннюю сеть вредоносный код или узнать сохраненные на компьютере пароли.

Быстро блокируйте неактивные сеансы в Active Directory или локальной политике компьютера.

6. Политика запрета на запуск программ

При наличии Active Directory можно централизованно использовать Restricted Policy. Если говорить простым языком, то это запрет на запуск приложенией вне разрешенных (program files и Windows). Если сотрудник хочет запустить какую-то программу (если он вообще смог её скачать), то система не должна давать возможность сделать это. Для того, чтобы это сделать, пользователи должны работать не под администраторскими доступами на компьютерах или через цифровую подпись. Для каждого рабочего места настраивается список разрешенных программ. Все остальное через запросы и обоснование :)

Не давайте возможность запускать программы, кроме разрешенных заранее

7. Антивирусы

Если у вас есть серверная инфраструктура, обязательно используйте коммерческие антивирусы. Если вы работаете в России, то используйте Касперский антивирус (за другие то вы все равно не сможете заплатить :), ха-ха).

Используйте коммерческие антивирусы (особенно если у вас есть серверная инфраструктура).

8. Система резервного копирования

Если у вас есть серверная инфраструктура — пользуйтесь резервным копированием. Мы в своей практике советуем разделять логически и физически копии и основную систему, то есть они должны хранится на разных серверах с разными паролями и уровнями доступа. А в идеале — лучше разделять копию и основной сервер еще и географически. Тем кто хочет совсем себя обезопасить мы настраиваем периодические снэпшоты сервера на отдельный Linux сервер с авторизацией по ключу. Получить доступ к такому серверу злоумышленникам практически нереально.

Используйте эти правила при создании системы резервного копирования: сервер должен располагаться фактически в другом географическом месте и быть выделенным Linux сервером с авторизацией по ключу. Настройте периодичность копирования и не экономьте на месте, ваши данные стоят дороже.

9. Система мониторинга критичных сервисов

Желательно иметь систему мониторинга самых критичных сервисов. Например, состояния raid-массивов, попыток перебора пароля.

Как защитить свой бизнес от хакерских атак с помощью 10 простых правил и инструментов

Пример использования сервиса Zabbix с нашими доработками для сбора необходимых метрик.

10. Политики безопасности на собственном почтовом сервере

При наличии собственного почтового сервера необходимо блокировать все потенциально опасное содержимое в сообщениях (exe/vbs/и т.д.). Метод взлома через exe и vbs файлы старый, но тем не менее до сих пор множество атак на сеть происходит через почту. Настройте политику безопасности на собственном почтовом сервере так, чтобы содержимое таких писем невозможно было запустить, а еще лучше вообще блокируйте такие письма.

Блокируйте все письма с потенциально опасными вложениями типа exe/vbs и т.д.

Краткая инструкция для тех, кому лень читать

10 правил, которые защитят вас от взлома и шифровок.

1. Используйте сетевое оборудование Mikrotik/Cisco с актуальной прошивкой.

2. Пользуйтесь VPN для доступа во внутреннюю сеть.

3. Закройте порты внутренней сети: проверьте открытость портов специальным сканером.

4. Исключите возможность сотрудникам использовать простые пароли.

5. Автоматически блокируйте неактивные сеансы в Active Directory.

6. Автоматически запрещайте запускать неизвестные программы во внутренней сети.

7. Купите коммерческий антивирус.

8. Периодически создавайте копию сервера.

9. Отслеживайте работу критически важных сервисов.

10. Исключите возможность запуска exe файлов из писем.

Заключение

Соблюдение этих 10 правил позволит на 95% сократить вероятность взлома вашей сети и шифрования данных. Мы называем это it гигиеной.

Если у вас нет своего системного администратора, обратитесь к нам в телеграм и мы проверим вашу систему на угрозу взлома.

Для первых 10 клиентах сделаем бесплатно :)

1111
22 комментария

Как бы ни хотелось сказать, что советы по большей части очевидные и банальные, но действительно многие пренебрегают этими базовыми аспектами. Хорошо, что появляются такие статьи, которые еще раз, условно говоря, тыкают тебя носом в то, как должно быть

4

Краткая инструкция в конце это топ)))) Очень удобно для тех, кто не разбирается в ИТ и устает к 5 пункту))
Всё по классическому концепту:
Вступление - кратко расскажите, о чем вы будете говорить.
Основная часть - расскажите суть.
Заключение - расскажите, о чем вы только что говорили :))

1

С моей точки зрения, что если кто-то устал к пятому пункту, то это скорее всего не человек, который способен воплотить рекомендации из статьи, ибо собственно работа админа - уметь читать статьи, логи, ошибки приложений. В будущем, при работе с менее профильной аудиторией буду иметь это в веду, спасибо.

Хорошая статья, вам бы только аватарку сменить. На ней вы похожи на ведущего свадеб и корпоративов.

1

Под рукой только эта, но я подумаю, спасибо.

Mikrotik и Cisco.Статья из 2021?

Какую альтернативу вы видите?