Ликбез по информационной безопасности: как не дать злоумышленникам получить ваши конфиденциальные данные
Эта статья поможет вашей компании обезопасить конфиденциальные данные, а сотрудникам — не попасться на крючок мошенников. Прочитайте наши советы и обязательно поделитесь с коллегами.
Большинство компаний после второй вспышки коронавируса снова перевели сотрудников на удаленную работу. Из-за этого вопрос информационной безопасности встал перед ними с новой силой. Если крупные корпорации имеют мощные системы защиты, то в малом и среднем бизнесе мало кто вообще задумывается о какой-либо защите. А ведь «ломают» обычно тех, кого легко взломать. По статистике, большинство кибератак приходится как раз на небольшие организации, которые более уязвимы.
Отговорка «да кому мы нужны» может успокаивать до первой атаки шифровальщика. Когда всюду утечки, взломы и DDos-атаки, очень самонадеянно делать вид, что ничего этого не происходит. Мы же советуем не уповать на «авось пронесет», а вооружиться знаниями. Для этого мы вместе с нашими партнерами из SearchInform, экспертами по информационной безопасности, собрали список реально опасных атак, а также простые рекомендации, как им противостоять.
Нигерийские письма
Так в народе называют мошеннические письма, цель которых обманным путем заставить жертву расстаться с крупной суммой. Они названы так потому, что впервые появились в Нигерии еще в середине 1980-x годов, до возникновения интернета.
В профессиональных кругах специалистов по безопасности такие письма называются фишингом. Его частный случай – BEC-атака, или мошенничество в деловой переписке, цель которого войти в доверие к пользователю и заинтересовать его настолько, чтобы он как миленький выполнил все пожелания из писем. Фишинг опасен тем, что его сложно выявить с помощью стандартных средств защиты.
Как выглядит фишинг? Представьте, что вам пишет как будто клиент, партнер или бывший сотрудник. Совпадает или почти неотличима от реальной почта, манера общения похожа, правдоподобен повод, по которому тот обращается. Только требует как-то настойчиво:
«Перейди по ссылке!»
«Скачай документ или архив!»
- «Оплати просроченный счет!»
А вам и невдомек, что вашего партнера могли «взломать» или за маской коллеги скрывается мошенник. Если вам кажется, что купиться на такие манипуляции может только болван, придется вас разочаровать: жертв, которые второпях или по недосмотру выполняют требования мошенников, сотни и тысячи, в том числе среди сотрудников компаний из списка Fortune 500.
А вот более «земной» пример: в Татарстане бизнесмен перевел 6 млн рублей липовому продавцу спирта. Мошенник написал ему письмо, в котором предложил приобрести партию изопропилового спирта, применяемого в санитайзерах и других дезинфицирующих препаратах. Он настолько умело выдавал себя за главного экономиста крупного завода, что доверчивый покупатель без сомнений перевел ему крупную сумму в качестве предоплаты. В итоге ни товара, ни денег.
Как понять, что письмо фишинговое?
- Внимательно читайте адрес. Бывает, что в нем переставлены всего две буквы и это не сразу заметно для человеческого глаза. Например, вместо searchinform может быть написано saerchinform.
- Если текст письма на русском, часто написан с ошибками. Если на другом языке, перевод иногда напоминает надпись на этикетке китайских носков: «Уважаемый мистер, хороший день, хотим вам поздравил».
- В письме подозрительная ссылка. Наведите на нее курсор, чтобы увидеть реальный адрес, куда она ведет. Если адреса не совпадают, нужно насторожиться.
Письмо пришло с вложениями. Для проверки вложений есть бесплатные сервисы. Один из них virustotal.com, он «прогонит» вложенный файл через несколько антивирусов.
Троянские кони
Вредоносные программы, распространяемые под видом легитимного программного обеспечения чаще всего попадают на компьютеры жертв в результате все того же фишинга. Для крупного бизнеса опаснее всего вирусы-шпионы. Попадая в ИТ-инфраструктуру через компьютер жертвы, они собирают информацию, расширяют права хакера в системе и выискивают в ней новые уязвимости.
А вот вирусы-шифровальщики, или так называемые вымогатели, опасны для любого бизнеса, и это настоящий бич последнего времени. Еще несколько лет назад хакеры писали вирусы неумело и ключ шифрования иногда оставался внутри вредоноса, поэтому его можно было взломать. Очень быстро писатели вредоносного кода выпустили новое поколение вирусов, которые содержат только часть ключа. Вторая часть пересылается с CC-сервера – централизованной машины, которая может отправлять команды и получать обратную связь.
Такие вирусы взломать нельзя, и если в компании не был организован бэкап, с данными придется попрощаться. Но есть проблема, которую бэкапом не решить. Мошенники сейчас все чаще избирают гибридную тактику: сначала они сливают данные себе, шифруют и потом используют как повод для шантажа компании.
Буквально месяц назад в SearchInform обратилась хозяйка небольшого магазина по продаже цветов. Она была в панике: ее компьютер «поймал» шифровальщика, а там вся бухгалтерия за четыре года. Резервных копий нет, антивируса тоже. Вместо них, заламывание рук и полные удивления возгласы: «Неужели совсем ничего нельзя сделать?». Сумму, кстати, мошенники озвучили – 230 000 рублей в криптовалюте.
Как не подхватить компьютерный вирус?
- Своевременно обновляйте все программы, установленные в компании, избегайте устаревших приложений, которые накапливают уязвимости.
- Регулярно делайте резервные копии данных. Лучше на время снятия такой копии подключать внешнее хранилище, а не копировать информацию на тот же диск или компьютер. Один бэкап в день – хорошая практика.
- После работы блокируйте сеанс на компьютере или ноутбуке. Это должно войти у сотрудников в привычку.
Сим-сим, откройся!
Мошенники могут подобрать пароль к корпоративным сервисам методом перебора, с помощью специальных программ-кейлоггеров или просто подглядев. К чему может привести перехват пароля примерно понятно. Мошенники могут хозяйничать в вашей CRM-системе, на сайте, писать от вашего имени письма и продавать, например, тот же спирт и прочие полезные в хозяйстве товары.
Как защититься от взломщиков?
- Пользуйтесь только шифрованными каналами передачи данных (https, ftps, VPN-сервисами).
- Применяйте двухфакторную аутентификацию для доступа к сервисам. Первый этап доступа — это логин и пароль, второй — код, приходящий по SMS или электронной почте. Для генерации секретных кодов можно использовать специальное приложение.
- Объясните необходимость и обязуйте всех в компании применять сложные пароли.
Диверсия в коллективе
Инсайдерские инциденты — принципиально другой тип угроз, так как нарушитель — не хакер, а сотрудник или группа сотрудников с доступом к данным компании. А часто и уволенные сотрудники, учетные записи которых забыли удалить.
Они целенаправленно или случайно используют свои полномочия во вред компании, в том числе и для организации атак, описанных выше, то есть становятся «точкой входа» для внешних злоумышленников. Подкупить, обмануть или принудить сотрудника к нужным для хакера действиям часто проще, чем пытаться вас взломать.
Как не допустить утечек через сотрудников?
- Давайте доступ к конфиденциальной информации только ключевым сотрудникам. Ситуация, когда у всех есть доступ ко всему – верный путь к утечке.
- Применяйте системы контроля типа тайм-трекеров, а по мере разрастания бизнес-процессов – DLP-системы от утечек данных. Они берут под контроль любое перемещение информации в любом формате: файлов, документов, переписки.
- В аккаунте Мегаплана сотрудника, покинувшего компанию, можно уволить — он моментально потеряет доступ к задачам, сделкам и базам данных. Если у вас возникли подозрения и вы хотите просто ограничить доступ сотруднику, его можно временно заблокировать.
И напоследок
Как ни крути, люди – главные точки входа для внешних мошенников: устанавливают слабые пароли, переходят по сомнительным ссылкам из писем, открывают вложения, не способны противостоять манипуляциям и шантажу. Поэтому важно уделять внимание не только качеству IT-инфраструктуры, но и просвещать коллектив, на примерах показывая последствия небрежного отношения к информационной безопасности.
Что еще необходимо?
- С подозрением относитесь к письмам с неизвестных адресов или от неизвестных вам людей. Если есть сомнения, не стесняйтесь перепроверить. Позвоните в компанию, из которой получили письмо, по публичным телефонам с официального сайта.
- Если в компании нет средств на покупку лицензий от хорошего вендора, регулярно обновляйте Windows и не отключайте стандартный защитник. Не забывайте и о компьютерах на Linux и OSX – они, хоть и в меньшей степени, тоже подвержены атакам.
- Регулярно проводите онлайн-тренинги и объясняйте сотрудникам важность сложных паролей, блокировки сеанса рабочего стола. Расскажите, а лучше покажите, что такое фишинг и почему нельзя сразу открывать ссылки в письмах и сообщениях.
- Разделяйте данные по категориям (секретные, важные, бухгалтерия) и храните их в определенных местах – сетевых папках или сетевых хранилищах с разграниченными по пользователям правами доступа.
Безопасной вам работы в офисе и на удаленке!
Пользователи знают, что наша система попросту не даст сотрудникам использовать простые пароли и принудительно работает только через https. А также она намекнет о полезности включения двухфакторной авторизации либо списка «белых» IP-адресов, с которых могут работать сотрудники, например, только из офиса.
Конечно, даже в Мегаплане, несмотря на широкие возможности настройки иерархии и прав доступа, никто не запретит превратить организационную структуру в одноранговую и наделить всех сотрудников директорскими правами «ради удобства». Самое слабое звено в безопасности – это человек.
Кстати, двухфакторную аутентификацию мы сделали пять лет назад, когда в гости в офис Мегаплана приходил известный блогер Илья Варламов. Он-то и задал вопрос о такой фиче. Можно сказать, фича имени И. Варламова.
я бы предложил воспользоваться рдп или аналогами - т.е. давать доступ сотрудникам к браузерам через свой сервер, а не на их машинах.
Да, сейчас происходят тысячи взломов только по России, не говоря уже о других странах, помню как мой аккаунт взломали и просили от моего имени две тысячи на карту, самое интересное, что несколько человек согласились, хотел бы к дополнению к вашей статье порекомендовать статью от форума codeby.net, в которой описаны основы информационной безопасности в сети, вот она: https://codeby.net/threads/vvedenie-v-informacionnuju-bezopasnost-cyber-i-i-vse-takoe.65477/
https://searchinform.ru/practice-and-analytics/ - вот здесь в разделе "чек-листы" собирали варианты для перехода на удаленку. ну и для работы в регулярных условиях, без карантинов)
Глобальный взлом Microsoft Exchnage
Не успели многие компании и даже правительства подсчитать убытки от глобальной хакерской атаки Solarwinds (Solorigate), как подоспела новая беда. В начале марта 2021 года злоумышленники атаковали серверы Microsoft Exchange, используя уязвимости ProxyLogon.