Корпоративная кибербезопасность в период пандемии

Киберпреступники во время пандемии стали очень активны. В начале июня был зафиксирован рост кибератак в РФ на 85%, причем более половины из них квалифицируются как тяжкие и особо тяжкие. В этой связи особенно важно обратить внимание на корпоративную безопасность сейчас, когда большинство сотрудников работают удаленно. Про личную кибербезопасность мы подробно рассказали в предыдущем материале (ссылка), пришло время разобраться в мерах, которые должны быть приняты на уровне компании.

Согласно исследованию Dell Technologies, объем данных организаций в 2020 году увеличился на 40% по сравнению с прошлым годом. Подавляющее число респондентов уверены, что текущие решения в области кибербезопасности не соответствуют будущим потребностям бизнеса. Распространить полный набор корпоративных средств защиты на домашние сети сотрудников невозможно, но существует ряд решений, позволяющих обезопасить работу из дома.

1. Обеспечение безопасного VPN-подключения.

В период пандемии преступники используют привычные приемы, вроде фишинга, вредоносного ПО, вирусов и проч., но используют их гораздо чаще и быстро адаптируются под естественные страхи человека перед пандемией. Согласно отчетам Trend Micro, количество вредоносных URL, связанных с коронавирусом, всего за два месяца первой весенней волны существенно увеличилось.

Первое и базовое, что необходимо сделать – подобрать решения для защиты каналов связи, по которым происходит обмен информацией. В основе этих решений лежат программные и программно-аппаратные VPN-продукты. VPN-туннелирование в сочетании с настроенной матрицей доступа может позволить быстро и безболезненно перейти на удаленный режим работы, сохранив разграничение прав доступа к корпоративным информационным системам.

2. Своевременное определение кибератак и молниеносная реакция на них.

Компании внедряют множество систем защиты, но не всегда правильно их настраивают и не оперативно анализируют поступающие сообщения (их может быть очень много, буквально тонны). Эти сообщения о проблемах теряются и на них нет адекватной реакции. К тому же из-за пандемии многих специалистов отдела безопасности так же, как и прочих сотрудников компаний, отправили работать по домам.

В связи с этим таким сотрудникам не всегда был доступен весь спектр корпоративных инструментов защиты. Соответственно, процент выявления кибератак сокращался, равно как исчезала возможность своевременно на них реагировать. Это касается не только коммерческих организаций, государственные учреждения также терпят урон. В марте Bloomberg сообщали о крупной кибератаке во время локдауна на Министерство здравоохранения и социальных служб США.

По мнению экспертов Positive Technologies, сейчас компании должны сфокусироваться на быстром выявлении и предотвращении атак внутри корпоративной сети. В ближайшее время ключевыми факторами для успешной защиты станут постоянный контроль инцидентов в ретроспективе, и более глубокий анализ сетевого трафика и событий.

Уже сейчас ощутимо заметен повышенный спрос на системы защиты от утечек информации (DLP, Data Leak Prevention) и специализированные решения удаленного мониторинга активности сотрудников. DLP-системы позволяют контролировать рабочие места вне офиса и предотвращать утечки конфиденциальной информации из внутреннего периметра сети, даже если рабочая сеть и ее сегменты распределены географически.

<p>Фото @freestocks, <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Funsplash.com%2Fphotos%2FI_pOqP6kCOI&postId=182244" rel="nofollow noreferrer noopener" target="_blank">Unsplash</a></p>

Фото @freestocks, Unsplash

3. Введение 2FA — двухфакторной аутентификации.

Внедрение двухфакторной аутентификации пользователей — безусловный “мастхэв”. Если вы этого еще не сделали, вводите 2FA, и киберпреступники могут попрощаться с простым подбором пароля. Один из наиболее распространенных вариантов — мобильное приложение, которое генерирует для пользователя одноразовый пароль, который служит дополнением к стандартному. Это существенно усложняет любые попытки взлома корпоративных ресурсов.

4. Необходимость поддержания в актуальном состоянии программно-аппаратного комплекса защиты.

Зачем? Некоторые обновления приносят с собой новые функции или улучшают существующие, другие обеспечивают совместимость программ друг с другом, с разными протоколами, новыми версиями ОС и, конечно, обновления безопасности: они закрывают уязвимости и исправляют критические ошибки в программах.

5. Рекомендация не работать (даже в очень милых) кафе.

Если сотрудники в тоске по офису и людям решают разнообразить работу приятным видом из кафе рядом с домом, они должны понимать, какой риск это может принести с точки зрения безопасности.

О защите информации при подключении к общественным Wi-Fi сетям сказано уже все, поэтому повторяться не будем, но сейчас, с увеличением количества сотрудников, работающих из дома, эта проблема стала гораздо актуальнее. К рабочим ноутбукам сотрудников дома могут иметь доступ родственники. Известен случай о взломе, когда сотрудница включила мультик для дочки, а та перешла по рекламному баннеру. В итоге хакеры получили доступ через vpn к корпоративной сети.

Первым делом необходимо организовать обязательные тренинги для всего штата, где подробно будет рассказано о разных вариантах социальной инженерии и методах борьбы с ней. В этом контексте также важно обновить в сознании сотрудников на удаленке условия подписанных с ними договоров о неразглашении конфиденциальной информации.

Внедрение концепции Zero Trust (нулевого доверия к пользователям и устройствам) или её отдельных элементов также станет хорошим решением для обеспечения безопасности работы из коворкингов и кафе. Модель подразумевает, что каждый пользователь или устройство должны подтверждать свои данные каждый раз, когда они запрашивают доступ к какому-либо ресурсу внутри или за пределами сети.

На старте процесса возможны некоторые неудобства для пользователей и большое количество жалоб, но допускать людей в корпоративную инфраструктуру извне, не удостоверившись в применении всех необходимых процедур с точки зрения безопасности, может обойтись дороже.

<p>Фото Brooke Cagle, <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Funsplash.com%2Fphotos%2FQLEu_4Xj-fk&postId=182244" rel="nofollow noreferrer noopener" target="_blank">Unsplash</a></p>

Фото Brooke Cagle, Unsplash

6. Актуализация подхода к построению MDM-решений.

Для контроля и защиты корпоративных ноутбуков и смартфонов логично применять актуальные решения класса MDM. Mobile Device Management (в понимании Gartner) — программное обеспечение для работы с корпоративными системами при помощи мобильных устройств. Программные продукты в категории MDM состоят из серверного компонента, отвечающего за управляющие команды, и клиентского программного обеспечения, которое их принимает. Они запускаются и локально реализуют утвержденные на корпоративном уровне функции управления. Все MDM-продукты построены по принципу контейнеров, в которых данные — письма электронной почты, документы и приложения — обрабатываются внутри и надежно защищены.

MDM-решения позволят сотрудникам избежать участи Хантера Байдена (недавний скандал вокруг взлома его ноутбука наделал много шума и потенциально мог повлиять на выборы в США), а ИТ- и ИБ-отделам контролировать, какие действия пользователей разрешены для корпоративных устройств и определять список приложений для работы на них.

И, конечно, в случае кражи или потери, удаленно блокировать и сбрасывать до заводских настроек устройство, чтобы предотвратить доступ злоумышленников.

7. Предварительная работа с сокращенными или уволенными сотрудниками

Массовые увольнения значительно увеличивают количество случаев киберпреступлений. Яркий пример для демонстрации: Мэри, помощница директора архитектурного бюро из Флориды, увидев в газете объявление о поиске работника на свою должность, занервничала. Решив, что ее собираются уволить, Мэри удалила архив с проектами компании за последние семь лет. Ущерб от ее действий составил 2,5 млн долларов. Чуть позже выяснилось, что сотрудника на аналогичную должность искали в компанию, принадлежащую супруге пострадавшего директора, поэтому в контактах и был указан его номер.

Смена паролей, скопированные файлы, переданные конкурентам, удаление важных баз данных — вариантов может быть масса. Усугубляет проблему и экономический кризис, который развивается одновременно с пандемией и во многом благодаря ей.

Следует заблаговременно проводить разъяснительные беседы по неразглашению и прочим манипуляциям с коммерческой информацией, подписать с сотрудником соответствующее соглашение о коммерческой тайне, и детально рассказать, чем грозит ее нарушение.

Также рекомендуется установить специализированные программы для мониторинга проводимых операций на серверах, в облачных хранилищах и офисной технике, что позволяет понять, как часто копировали тот или иной документ, кто осуществлял операцию и на какой адрес он был отправлен.

Крайне актуальными становятся регламенты, которые позволяют регулировать уровень прав доступа сотрудника к информации компании. Подобная матрица станет незаменимым помощником администратору и поможет расширять или сокращать уровень прав конкретным сотрудникам, а, в случае их увольнения, незамедлительно их забирать и блокировать доступ к важной информации.

И, конечно, нельзя не отметить прекрасный функционал DLP-систем, которые позволяют следить за перемещением информации и предотвращать ее передачу за пределы компании различными путями, например: копирование на флешки, печать файлов, общение по социальным сетям, почте, чатам и т.д.

Но, помимо технических способов, самое действенное — поддерживать хорошие человеческие отношения с сотрудниками и доброжелательную атмосферу в компании. В большинстве случаев за самыми громкими утечками и кибератаками от бывших сотрудников стоит не жажда наживы, а обыкновенная обида.

<p>Фото engin akyurt, <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Funsplash.com%2Fphotos%2FWBM97UGM0QA&postId=182244" rel="nofollow noreferrer noopener" target="_blank">Unsplash</a></p>

Фото engin akyurt, Unsplash

8. Расширение возможностей стандартных антивирусов.

Наверняка вы уже позаботились и установили на корпоративные устройства антивирусы, но механизмов их защиты может оказаться недостаточно в новых условиях. Сейчас как никогда актуально нарастить на функционал антивирусного ПО дополнительные механизмы, например, защиту от шифровальщиков или эксплойтов. Эти меры дополнят привычный инструментарий возможностью защиты от новых неизвестных угроз, что впоследствии может защитить корпоративные ресурсы при попытках атак на них.

9. Облачные решения — залог безопасности.

По данным Microsoft, 54% руководителей службы безопасности сообщили о приросте числа фишинговых атак с начала пандемии. Фишинг — вид интернет-мошенничества, цель которого получение доступа к конфиденциальным данным пользователя. Человек думает, что переходит на определенный сайт, но фактически его перенаправляют на очень похожий фейковый. Как показывает статистика, успешные фишинговые атаки значительно чаще случаются в организациях, использующих локальные, а не облачные ресурсы.

Пандемия показала, что предприятиям необходима интегрированная система безопасности, охватывающая конечные точки в облачной сфере. Такие приложения чрезвычайно динамичны и позволяют предприятиям лучше, чем в «классическом» варианте обработки входящего трафика в собственном дата-центре, защищать удаленных сотрудников и облачные приложения путем маршрутизации трафика через облачные решения по безопасности.

10. Сотрудничество с компаниями, отвечающими за безопасность для стороннего аудита.

Компании типа GroupIB (международная компания российского происхождения, которая заслужила высочайший рейтинг по квалифицированному расследованию инцидентов), имеют необходимую квалификацию и могут посмотреть на текущую инфраструктуру независимым взглядом. Это полезно.

Ведь текущие условия требуют изменения подхода к организации защиты информации. Мы все привыкаем к новой реальности, заводим различные полезные привычки — пусть это касается и кибербезопасности. Компании должны доносить до своих сотрудников мысль, что в связи с удаленной работой на них лежит гораздо больше ответственности.

И, напоследок, небольшой чек-лист для ваших удаленных сотрудников. За каждое “да”, смело начисляйте себе балл:

1. Используете ли вы VPN для удалённой работы?

2. Введена ли в вашей компании двухфакторная аутентификация?

3. Осуществляете ли вы контроль за съемными носителями на удалённых рабочих местах?

4. Запрещаете «прямой» доступ в сеть интернет для удаленных сотрудников?

5. При удалённом подключении запрещено использовать личные устройства сотрудников?

6. Осуществляется ли обновление антивируса и прочих необходимых обновлений безопасности на удаленных рабочих местах?

7. Отлажено ли сегментирование и настроены разграничения доступа?

8. Удаленные пользователи имеют минимальный для работы набор прав?

9. В ИТ-инфраструктуре компании определены и применяются политики информационной безопасности и аудита событий?

10. Обеспечивается ли постоянный мониторинг и реагирование на события безопасности?

10. Выполняется ли контроль изменений состава ресурсов, для которых предоставлен удалённый доступ, анализ защищенности сетевого периметра и инфраструктуры, обнаружение и устранение уязвимостей и ошибок настройки?

Если вы набрали меньше 5 баллов, у нас для вас плохие новости :)

Берегите себя и следуйте правилам безопасности!

Материал подготовил Тимофей Жданов, отдел инноваций Media Direction Group.

Начать дискуссию