Как оценить уровень информационной безопасности своей компании?

На фоне громких скандалов об утечках и взломах, фаундеры все чаще задумываются о том, как обеспечить своему бизнесу достойный уровень безопасности. Чтобы ответить на этот вопрос, нужно разобраться, из чего состоит мир кибербезопасности и какие инструменты защиты актуальны на разных этапах развития компании.

Меня зовут Александр Герасимов, я CISO в Awillix. Мы разработчики решений в области кибербезопасности. Сегодня я кратко и максимально просто расскажу об основных уровнях защищенности бизнеса с точки зрения ИБ (информационной безопасности) и средствах защиты, подходящих для каждого из них.

Внешняя и внутренняя инфраструктуры любой компании нуждаются в защите, потому что уязвимости есть всегда. В зависимости от ресурсов, которые нужно задействовать злоумышленникам для успешной атаки, принято выделять пять основных уровней защищенности.

На начальным уровне защищенности находятся компании, чьи сервисы может атаковать любой человек, изучив необходимые статьи на форумах или видео-гайды. Так, например, тренируются студенты-безопасники первого курса.

Именно на начальном уровне защищенности велика вероятность попасть под автоматизированную атаку — злоумышленники просто сканируют сеть на наличие известных уязвимостей. А обнаружив «дыру в безопасности», эксплуатируют ее.

Чтобы обезопасить компанию от начинающих хакеров и не таргетированных автоматических атак, можно применить статический анализ кода и использовать сканеры. Они автоматически обнаружат и устранят баги и уязвимости сайта или приложения до публичного релиза.

Более подготовленные злоумышленники могут выявить уязвимое место на сайте или в приложении, посылая в него разнообразные запросы. В зависимости от реакции системы они могут менять вектор атаки.

В этом случае вам пригодятся анализ защищенности, ручное тестирование, anti-DDoS решения и доступные фаерволы. Они позволяют найти технические, логические и все те уязвимости, которые могут привести к мошенническим операциям или отказу обслуживания.

Онлайн-магазин или сервис в начале своего существования не интересен «серьезным» хакерам, но по мере накопления клиентской базы и роста оборотов — бизнес становится мишенью для атаки. Количество желающих получить доступ к системе или персональным данным клиентов постоянно увеличивается.

Цель анализа на этом уровне — выявление всевозможных рисков, их приоритезация и дальнейшее устранение. Это обезопасит ваш бизнес от злоумышленников без внушительных ресурсов и времени для взлома системы.

Существенный уровень защиты — уже весомая причина, по которой большинство злоумышленников откажутся тратить время на взлом компании. Но в случае целенаправленных (в том числе и выполняемых на заказ) атак — к взлому подключаются настоящие профессионалы и целые группы хакеров.

Если злоумышленнику в ходе очередной атаки удастся получить права минимального уровня внутри вашей инфраструктуры — он сможет пройти аутентификацию под легитимным пользователем. Это позволит переиспользовать полученные данные для доступа к открытым адресам и повысить уровень собственных привилегий внутри системы. В итоге хакер доберется до прав администратора домена на одной из машин внутренней сети и захватит управление всей инфраструктурой.

Для того чтобы защититься от злоумышленников с таким уровнем подготовки и мотивации, недостаточно думать только о системе защиты от одиночной атаки или серии атак. Важнее становятся процессы. Необходимо выстроить и внедрить правила предоставления и отзыва доступа для каждого сотрудника, порядок мониторинга подозрительных активностей и реагирования на инциденты и многое другое. Например, каждый сотрудник должен точно знать, что ему делать и к кому обратиться при получении подозрительного сообщения, обнаружении незнакомых файлов или программ на своем рабочем компьютере.

Бизнес, особенно малый, нередко думает, что у него нечего брать. Да, его не будут атаковать целенаправленно, но можно попасть просто под «общую гребенку». Например, если на сайте компании используется популярный плагин для WordPress, злоумышленники могут написать эксплойт код для этого плагина, автоматически просканировать ресурсы компании на его наличие и попасть на ваш сервер. В результате на ваш сервер установят майнеры, взломают сайт или зашифруют файлы базы данных с последующим требованием выкупа.

Если на начальном этапе достаточно пройти по списку уязвимостей и закрыть их, то после настройки систем автоматического сканирования уязвимостей — приходит время выстраивания процессов.

ИБ-процессы делятся на разные группы: инцидент-менеджмент, процессы бэкапов, политика персональной безопасности — что пользовать должен делать за ПК, какие у него должны стоять антивирусы. По каждой группе нужно проверять и «закрывать» базовые этапы.

После того как компания провела анализ защищенности, внедрила все практики защиты и даже сформировала внутренний отдел ИБ — неизбежно возникает вопрос: «А насколько надежна наша защита на практике, какие слабые места, через которые можно проникнуть внутрь инфраструктуры, еще существуют?».

Автоматизированные инструменты защищают от базовых ошибок. Но они не могут понять логику работы приложения и попытаться ее нарушить, как это делают хакеры.

Цель анализа защищенности — выявить как можно больше дыр во всей инфраструктуре компании (сайтах, приложениях, сервисах). В результате вы получаете список рекомендаций, которым необходимо следовать, чтобы повысить уровень защищенности.

Цель пентеста — любым способом получить доступ к чувствительным данным — взломать сайт, получить доступ к аккаунту сотрудника, найти пароль от внутренней базы знаний и дальше развить атаку, пока не получишь доступ к базе данных. Пентесты, наверное, самые известные и популярные методы практической проверки защиты на сегодняшний день.

Часто бизнес не всегда понимает, что ему требуется — анализ защищенности или пентест. Универсального ответа на этот вопрос не существует, но в общем случае можно руководствоваться простым правилом: пентест нужен тогда, когда все процессы и меры для построения защиты уже выполнены.

Продумать и предусмотреть все возможные варианты атак и защиты от них невозможно даже в теории. Когда продуктовые компании достигают высшего уровня защищенности, но продолжают стремиться к идеалу, они вступают в Bug Bounty — программу, с помощью которой люди могут получить вознаграждение за нахождение сложных эксплойтов и уязвимостей. В ней участвуют ИТ-гиганты вроде Yahoo!, Google, Reddit, Square, Apple, Microsoft и многие другие. По сути, компании официально дают всему миру разрешение атаковать. Тот, кому удастся взломать вашу защиту, получит не только деньги за нахождение уязвимостей, но и признание всей отрасли.

Для других компаний, например, производственных, торговых или транспортных, подобных программ не существует, но меры защиты остаются те же — комплексное поступательное повышение безопасности систем за счет выстраивания правильных процессов.

Если остались вопросы, пишите комментарии или переходите в мой телеграмм-канал — https://t.me/justsecurity

#кибербезопасность #кибератака #безопасность #хакерские_атаки #ssdl #security #иб #информационная_безопасность