В последнее время киберпространство «сотрясается» от многочисленных «штурмов» и «налетов». В марте число DDoS-атак на российские компании выросло в 8 раз по сравнению с прошлым годом, по данным “Лаборатории Касперского” . Инциденты стали продолжительнее – в феврале они длились до 7 часов, в марте – 29,5 часов. А самая долгая DDoS-атака составила 145 часов. Тяжелее всего пришлось финансовым организациям, доля атак на банки достигла 35%. Как обезопасить свой бизнес и что нужно сделать в первую очередь сейчас, чтобы не понести тяжелые потери? Составили пошаговый чек-лист с руководителем отдела развития бизнеса продуктов ИБ компании Axoft Игорем Тюкачевым.
Шаг 1–Посмотрите страху в глаза
Для начала необходимо понять, чего вы боитесь больше всего: потерять базу данных клиентов, инновационные разработки, финансовые документы или столкнуться с атаками, которые могут навредить производственному процессу. В данном случае необходимо посмотреть на ключевые бизнес-процессы в целом. Как правило, в крупных компаниях они уже определены, но если нет, то это необходимо сделать в первую очередь. В ключевых процессах используют информационные системы (ИС), остановка которых приведет к значительным финансовым потерям и в которых заключен основной массив данных. Поэтому нужно декомпозировать угрозы, например, что будет с ИС, информацией или сотрудниками. И сформировать модель угроз, в которой будут описаны структурно-функциональные характеристики ИС, возможные ее уязвимости, способы реализации атак и последствия нарушения правил безопасности.
Шаг 2 – Сколько готовы платить
Если для бизнеса веб-ресурс важен, особенно это касается банковской сферы, телекома, e-commerce, то нужно ответить для себя на вопрос - сколько потеряет компания в моменте и в промежутке от одного часа до нескольких недель? И есть ли вероятность, что после атаки компания вообще перестанет существовать? С другой стороны, стоимость защиты не должна быть дороже самой информации. Если вам придется тратить условно 20 рублей на ИБ на каждые заработанные 10, то это нерационально. Поэтому важно на старте оценить потенциальные объекты атаки и потери, исходя из модели угроз.
Шаг 3 – Когда нужно здесь и сейчас
Если все же остановка сайта, мобильного приложения или сбой на предприятии недопустимы и влечет большие потери, нужно оперативно предпринять шаги по защите. В технический минимум обычно входят решения анти-DDOS, WAF, защита периметра NGFW. Кроме того, в компании должен быть реализован процесс обнаружения и реагирования на кибератаки. Соответственно, есть два варианта: построить это все у себя с нуля, либо приобрести сервисы у коммерческого SOC или крупнейших ИБ-производителей. У каждого варианта есть свои плюсы и минусы, и выбор зависит от ситуации. Но всегда стоит помнить, что отсутствие DDoS-атаки не означает, что атаки нет, или вы не взломаны.
Шаг 4 – Один в поле не воин
Российский ИБ-сегмент рынка зрелый, на нем работает много серьезных игроков с большой историей, опытом, ресурсами и сильными решениями. В некоторых классах высокая конкуренция. Некоторое ПО иностранных вендоров нужно замещать несколькими решениями российских производителей. Поэтому сложно выбрать и понять, что подойдет именно вам, особенно на первоначальном этапе. В этом случае лучше иметь рядом надежного партнёра, который поможет сориентироваться в многообразии инструментов. С точки зрения информационной безопасности, у Axoft один из самых больших портфелей, по многим вендорам есть реальная экспертиза внедрений. Кроме того, недавно мы запустили сервис ОБНОВИСЬ. Здесь можно не просто посмотреть, что чем заменить, но получить комплексную поддержку от команды, которая разработает план миграции и поможет перейти на отечественные технологии быстро, бесшовно и безопасно.
Шаг 5 – Усилить киберзащиту изнутри
Человек – самое слабое звено в структуре защиты компании. Зачастую киберхулиганам гораздо дешевле «взломать» сотрудника, чем применять сложные и дорогие инструменты. А с учетом социального инжиниринга и популярности соцсетей это становится гораздо проще. Кстати, заметили, что больше нет секретного вопроса для восстановления пароля, например, «какая девичья фамилия матери?». Сейчас в три клика можно найти любого человека, который сам же откроет все секреты собственными постами. Может показаться, что намного дешевле обучить сотрудника просто не открывать подозрительные письма и файлы, не записывать пароли на бумажке вместо того, чтобы внедрить песочницу и EDR. Но это не так. Обучение информационной безопасности – это процесс. Важно учить не только базовой грамотности ИБ, но и рассматривать смежные вопросы. Например, взломщики могут разыграть сценарий, когда вам звонит ребенок и плачущим голосом говорит, что задержан и нужно перевести денег или пишет друг с просьбой срочно одолжить, потому что случилась неприятная ситуация. Подобных сценариев множество, мошенники постоянно совершенствуются и ищут лазейки. Поэтому обучение людей на системной основе очень важно.
Предупрежден, значит…
Чтобы снизить риск «неприятных неожиданностей», которые могут серьезно ударить по вашей компании, необходимо заранее разработать план обеспечения непрерывности и аварийного восстановления. Например, на данный момент актуально протестировать компанию на предмет суверенного интернета и понять не «ходят» ли критичные сервисы за критичными данными за пределы РФ и не перестанут ли работать без доступа вовне. Если, к примеру, есть мобильные приложения, сайты или собственные разработки и в какой-то момент может оказаться, что не получится их задеплоить, потому что часть информации содержится в облаке AWS или используются ресурсы иностранной компании.
Об изменениях в глобальной системе высказался знаменитый современный ученый https://t.me/Pero_chpaga/1850 Для сегодняшних условий, очень полезное чтиво.