Как защитить бизнес от кибератак

Некоторые предприниматели полагают, что их бизнес никогда не заинтересует киберпреступников — это не так. СМИ отмечают, что в 2024 году количество кибератак на российский бизнес увеличилось в 2,5 раза. Рассказываем, что можно сделать, чтобы защититься от кибератак.

Определить недопустимые события и целевые системы

Защитить ИТ-системы компании

Модернизировать процессы

Мониторить киберугрозы и реагировать на них

Обучать рядовых сотрудников и специалистов ИБ

Проверять устойчивость инфраструктуры

Кратко: как защитить бизнес от кибератак

Недопустимое событие (НС) — это результат кибератаки, который влечёт за собой значительные убытки или закрытие бизнеса. У каждой компании своё уникальное НС — это может быть кража денег с расчётных счетов или удаление информации обо всех клиентах.

Целевые системы — те части цифровой инфраструктуры компании, через которые можно реализовать недопустимое событие. Например, бухгалтерская программа, программное обеспечение (ПО) для складского учёта или система управления бизнесом ERP (enterprise resource planning). Это слабые звенья в цифровой системе компании.

Определить НС может только топ-менеджмент организации, поскольку именно они понимают, что может уничтожить бизнес. Выделить целевые системы помогут руководители подразделений, поскольку знают, как идут бизнес-процессы. А специалисты ИБ понимают, как технически может пойти кибератака и как минимизировать эту опасность. Поэтому, чтобы определить НС и целевые программы, нужно собрать целевую группу, куда войдут все перечисленные люди.

✍ Подробнее о том, как определить недопустимые события и обезопасить компанию от них рассказали в статье.

Защищать от кибератак нужно весь цифровой периметр компании. При этом стоит выявить свои НС и связанные с ними цифровые системы. Благодаря этим знаниям, можно будет усилить защиту в уязвимых точках, а остальной периметр защищать менее мощными средствами. Получится сэкономить время и ресурсы специалистов ИБ, а также деньги, поскольку не придётся тратиться на излишне мощные системы защиты.

Автоматизировать отслеживание обновлений. Скорее всего, у вашей компании есть сервер с данными, компьютеры в офисе, сетевые принтеры и сканеры. На всех этих устройствах установлено ПО и есть подключение к интернету. Это значит, что уязвимость в любой программе станет окном, через которое кибератака может распространиться на все устройства компании.

Производители ПО отслеживают уязвимости и исправляют их с помощью обновлений. По-другому такие обновления называются патчи — «patch» в английском языке значит «заплатка». Некоторые производители настраивают ПО так, что обновления устанавливаются автоматически. Остальные просто присылают уведомления об обновлении. Пользователи могут забыть, что надо установить патч или просто пожалеть времени на установку.

Чтобы не пропускать обновления, компании применяют системы централизованного управления патчами. Такие системы отслеживают обновления и оповещают администратора о том, какие устройства всё ещё со старым ПО.

Пользоваться антивирусами. На них не стоит экономить, лучше, наоборот, применять системы со встроенной изолированной средой. Это «песочница», в которой антивирус проверяет все входящие по почте файлы до того, как их откроют сотрудники компании.

Применять SIEM (Security Information and Event Management). Это сложное ПО, которое собирает информацию со всех защитных систем организации, а также анализирует обычные программы. SIEM собирает статистические данные и делает из них выводы. Например, система замечает, что один из сотрудников постоянно загружает нетипичные файлы в систему. Возможно, это не работник, а злоумышленник, который готовит кибератаку.

Когда SIEM фиксирует инцидент, сразу оповещает об этом сотрудников кибербезопасности. Причём суть сообщения может меняться в зависимости от получателя и уровня его ответственности.

SIEM накапливает не только внутренние данные компании, но и получает внешнюю информацию от партнёров и поставщиков услуг. Это помогает заранее подготовиться к потенциальным атакам.

SIEM собирает информацию отовсюду и анализирует её. Если находит что-то странное — тут же уведомляет специалистов ИБ

Использовать сканер уязвимостей. Это программа, которая постоянно сканирует внутреннюю сетевую инфраструктуру компании и её периметр — места, где внутренняя сеть встречается с внешним миром, например, веб-приложение или сайт.

Сканер позволяет обнаружить уязвимость до того, как её найдёт и использует киберпреступник. Если сканер находит проблему, формирует отчёт, в котором описывает находку. Программа также помогает устранить уязвимость — сообщает, что нужно сделать, или даёт ссылку на материал, где это написано.

Защищать данные с помощью межсетевых экранов. По-другому их называют брандмауэры или файрволы. Это программы или отдельные устройства, которые фильтруют входящий трафик и проверяют его по заданным правилам. Если информация не нарушает правила, экран её пропускает. Если входящие данные проверку не проходят, их блокируют и таким способом защищают систему, в том числе от DDoS-атак (Distributed Denial-of-Service attack).

✍ В этой статье подробно разобрали самые частые типы кибератак.

Отдельный вид экранов — межсетевые экраны уровня приложений (web application firewalls). Такой инструмент защищает только ту часть инфраструктуры компании, которая находится в сети.

Межсетевые экраны бывают в форме устройств или программ

Применять системы глубокого анализа сетевого трафика. Это специальное ПО, которые следит за тем, как ходит трафик по внутренней сети компании. Система анализирует потоки и выявляет аномалии. Такой способ контроля за информацией позволяет обнаружить взлом или атаку на сеть, которую пропустили другие системы защиты.

Некоторые киберпреступники могут проникать в корпоративную систему и затаиваться там на какое-то время до того, как начнут ломать сеть и красть данные. Анализаторы внутреннего трафика умеют не только обнаруживать атаки в реальном времени, но и находить таких скрытых злоумышленников.

В бизнесе постоянно что-то происходит: проводят оплаты, отгружают товар, выставляют счета и закрывающие документы. С точки зрения кибербезопасности все эти процессы делятся на две части: критические и обычные.

Вмешательство в обычный процесс усложнит или остановит работу, но не приведёт к непоправимым последствиям. А если киберпреступник погрузится в критический процесс, то с большой вероятностью реализует недопустимое событие.

Модернизация критических процессов увеличивает количество шагов для кибератаки, а значит, удлиняет время взлома. Один из основных способов модернизации — сегментирование. Это разделение цифровой системы компании на изолированные части и отделение тех компонентов, которые участвуют в критических процессах.

Так, злоумышленнику придётся взламывать систему по частям: сначала один сегмент, затем другой и так далее. Атака замедляется, а у специалистов ИБ появляется больше времени на реагирование.

Чтобы понять, как именно изменить процессы, нужно сначала определить НС и целевые системы, в которые будет стремиться попасть злоумышленник.

Например, недопустимое событие — утечка информации о клиентах. Значит, целевые системы — CRM и бухгалтерия. Чтобы затруднить и замедлить потенциальную кибератаку, эти программы изолируют друг от друга и ограничивают к ним доступ.

Кибератаки часто начинаются с маленького события, такого как отправленное электронное письмо или подключение пользователя к файловому серверу. Если вовремя засечь этот момент, получится остановить или вообще предотвратить кибератаку.

Поиском подозрительных событий обычно занимается специальное подразделение — Центр противодействия угрозам. Сотрудники этого отдела вручную и автоматизированно собирают все цифровые события. Данные получают из разных источников: от всех средств защиты и сетевого оборудования. Задача специалистов — найти аномалии и странные действия сотрудников, поскольку это может быть начало потенциальной кибератаки.

Исследования показывают, что в 68% случаев причина кибератак — это человек. Сотрудники не понимают, что их действия могут впустить злоумышленника в рабочую сеть. Например, многие люди относятся к паролям слишком легкомысленно и указывают простые комбинации вроде «12345». Однако один из самых простых способов кражи пароля — банальный перебор вариантов. Чтобы угадать «qwerty123» киберпреступнику понадобится менее одной секунды.

Самые распространённые пароли в организациях. Киберпреступники подбирают такие комбинации менее, чем за секунду. <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fnordpass.com%2Fmost-common-passwords-list%2F&postId=1966104" rel="nofollow noreferrer noopener" target="_blank">Источник</a>

Чтобы защититься от человеческого фактора, стоит периодически обучать людей основам ИБ. Во время обучения важно рассказать:

— о надёжных паролях,

— о многофакторной аутентификации,

— о фишинговых атаках — попытках добраться до персональных данных пользователя,

— об опасностях публичных точек доступа к интернету.

Вторая причина для обучения — непонимание. Сложные способы идентификации и ограничение в правах может злить работников. Они могут считать это всё лишней бюрократией. Стоит объяснить, зачем это всё нужно, чтобы снять этот эффект.

Также периодически полезно проводить имитации действий злоумышленников, например, присылать письма с «фишинговыми» ссылками. Так станет видно, насколько сотрудники понимают опасность и не нужно ли провести дополнительное обучение.

Киберучения — это мероприятия, на которых воспроизводятся кибератаки на предприятие, а сотрудники отдела ИБ их находят и отражают. Организацию атакуют с разных сторон: изучают инфраструктуру, стремятся проникнуть в неё и закрепиться, также атакуют сотрудников с помощью социальной инженерии.

Социальная инженерия — техники воздействия на человека, основанные на психологических манипуляциях и обмане.

У киберучений две задачи:

1. Проверить, как специалисты компании реагируют на кибератаки и справляются с ними.

2. Оценить эффективность схем реагирования.

По результатам учений сотрудники понимают, надо ли им обучаться дополнительно, а организация корректирует свою методологию реагирования на киберугрозы.

Для проверки инфраструктуры существует несколько методов, например, пентесты и кибериспытания.

📋 Пентест (Pentest) — однократная внешняя проверка системы на уязвимости силами одной команды. Оплачивается сам факт проверки.

🤖 Кибериспытание — постоянная внешняя проверка, которую проводят независимые белые хакеры. Оплачивается только в случае, если команда смогла реализовать недопустимое событие. Как именно проходят кибериспытания, читайте в отдельном материале.

📝 Вы можете проверить свою инфраструктуру на Кибериспытании.
Узнать подробности

Периодические проверки инфраструктуры на устойчивость снижают вероятность кибератак на компанию. После кибериспытания организация видит слабые стороны своей защиты и укрепляет их.

👉 Найти недопустимые события и определить целевые системы, чтобы понимать, на что будут нападать киберпреступники.

👉 Защитить инфраструктуру: собрать комплекс из различных систем, чтобы не пропустить атаку.

👉 Модернизировать критические процессы, чтобы максимально усложнить жизнь киберпреступникам.

👉 Мониторить киберугрозы и реагировать на них, чтобы не пропустить атаку.

👉 Обучать сотрудников, чтобы максимально исключить человеческий фактор.

👉 Устраивать киберучения для специалистов ИБ, чтобы проверять их знания и навыки.

👉 Проводить кибериспытание и пентесты, чтобы убедиться в защищённости компании.

🤖 Запишитесь на кибериспытание, чтобы защитить свой бизнес.