Типичные ошибки информационной безопасности и как их избежать: советы от Staffcop
Нарушение ИБ влечет репутационные и денежные риски. Рассказываем, что упускают компании, какие ошибки ИБ встречаются чаще всего и как их избежать.
Из-за чего возникают ошибки?
Мы считаем, что главная проблема в том, что компания по каким-то причинам не выстраивает систему безопасности комплексно. Есть такое понятие — эшелонированная защита, как в военном деле. В нашей сфере — это подход, по которому вся информационная система делится на несколько ступеней, или эшелонов. На каждом эшелоне строится своя система безопасности. Если «неприятель» сумеет пробиться через одну стену, то его задержит следующая и так далее.
На первый эшелон мы ставим блок от нежелательных запросов, например обычный Firewall, и отсекаем хакеров, которые еще не опытны, но уже что-то умеют.
Второй эшелон серьезнее. Даже если кому-то удалось просочиться во внутреннюю инфраструктуру, должен быть инструмент, который покажет, где конкретно в данный момент происходит проникновение. Это могут быть, например, SIEM — система мониторинга и управления событиями безопасности или UEBA, основанная на поведенческом анализе пользователей, или системы мониторинга вторжений.
Третий эшелон — конечные станции, на которых происходит разбор инцидентов.
Есть DLP–системы, есть EDR, способные обнаруживать сложные атаки и оперативно на них реагировать.
Чтобы в компании все было безопасно — строим эшелонированную оборону. Построением таких эшелонов можно поднять уровень гарантированной безопасности до 99%. Но, к сожалению, это пока мало кто делает. Во-первых, на это нужны средства. Во-вторых, необходимы квалифицированные специалисты. В-третьих, нужна правильная настройка системы — и администраторы, и айтишники должны работать в тесной связке.
Как исправить типичные ошибки
Передача учетных данных по сети в открытом виде
В прошлом году Роскомнадзор зафиксировал 76 случаев масштабных утечек, почти 180 млн записей о российских гражданах оказалось в открытом доступе. Одна из причин в том, что многие компании до сих пор используют сетевые протоколы, где все учетные данные пользователей передаются в сети в открытом виде — HTPP, Telnet, LDAP.
Исправить ошибку можно несколькими способами. Во-первых, перейти с HTTP на HTTPS, в LDAP перенастроить клиенты на использование аутентификации через защищенную версию LDAPS. Кроме того, разработать и применять нормативные документы и регламенты. Например, прописать в регламенте, что сотрудникам запрещено отправлять пароли в почте. Можно обязать сотрудников делить важную информацию. К примеру, одну часть отчета отправлять почтой, другую — через мессенджер. Поломать и то, и другое, чтобы собрать отчет воедино, злоумышленникам будет намного сложнее.
Нешифрованные почтовые сообщения
Использование открытых почтовых протоколов чревато тем, что письма, с первого взгляда защищенные внутри сети, в интернет попадают в открытом виде. А значит, становятся легкой добычей для мошенников, имеющх доступ к внешнему сетевому трафику. Мы считаем, что почтовый сервер должен находиться внутри организации. Для надежности можно прикрутить к нему прозрачное шифрование.
Использование утилит для удаленного доступа
Сотрудники во многих компаниях активно используют эти утилиты, например TeamViewer, и внутренняя политика организации такое допускает. Но в случае атаки злоумышленников отличить легитимное использование от нелегитимного сложно. Поэтому рекомендуем поставить использование утилит на строгий контроль и разграничить права пользователей на рабочих станциях. А если использовать утилиты запрещено, то доступ можно блокировать фаерволом. Вспоминаем пункт про эшелонированную защиту и блокируем все что можно.
Использование широковещательных протоколов LLMNR и NetBios
Использование протоколов LLMNR и NetBios может способствовать проведению атаки MITM (от англ. man in the middle, «человек посередине»). Что делать? Можно их отключить, это самое простое. Но если в инфраструктуре есть узлы под управлением Windows XP или Windows 2000, то отключение NetBIOS, например, может отрицательно сказаться на их работоспособности. Поэтому от широковещательных протоколов никуда не денешься. Самый верный путь — всегда содержать софт в актуальном состоянии и вовремя реагировать на возникающие проблемы, в том числе обновлять устаревшие протоколы.
Ошибки конфигурирования сетей
Таких ошибок много. Самые распространенные — доступ узлов инфраструктуры к внешним DNS-серверам, излишне доверительные отношения между подсетями, открытые без особой необходимости для внешней сети сервисы и сетевые порты и т. д. Здесь многое зависит от человеческого фактора, от того, кто настраивает сеть. Безопасность напрямую зависит от квалификации системного администратора. Если вы не уверены в нем, пригласите пентестеров, чтобы протестировали ваши сети на проникновение.
Подсказка для сисадминов: исправить ошибки можно с помощью настройки access control list на сетевом оборудовании — разграничить права доступа между подсетями, закрыть возможности изменения пользовательских сетевых настроек.
TOR, VPN-туннели и прочие инструменты сокрытия активности в сети
Неконтролируемое использование TOR, VPN-туннелей приводит к потере контроля за информацией, которая идет через туннелированный трафик. Но использование можно отрегулировать. Например, наш софт успешно отслеживает TOR-браузер, факт запуска которого будет сразу известен офицеру по информационной безопасности. Чтобы закрыть использование VPN-туннеля, можно изменить настройки так, что изнутри сети он не запустится. Точнее, запустится, но у пользователя не будет сетевого обмена.
Нецелевое использование систем
У нас был кейс, связанный с нецелевым использованием дорогостоящего софта компании. Организация специализировалась на CAD–проектах, и одному из сотрудников клиент предложил сделать такой проект, минуя официальный канал для заказов. И всё бы у них получилось, если бы не инструменты Staffcop, которые выявили мошенничество до того, как «левый» заказ был выполнен.
Это удалось сделать за счет того, что в компании заранее настроили контроль за работой с файлами из приложения CAD-систем с дополнительным условием: показ файлов, которые хранятся не на сетевой папке с организованными правами доступа и регулярными бэкапами. В приложении были сделаны скриншоты – они показали, что сотрудник работал не над тем проектом, который ему поручило руководство, а над совершенно другим, который вообще не являлся заказом этой компании.
Как избежать ошибок ИБ?
Эффективная борьба с ошибками включает три основных аспекта:
- минимизацию открытых протоколов;
- контроль разграничения сетевого доступа;
- разграничение пользовательских прав.
На рынке есть и успешно работают инструменты, которые помогают отслеживать несанкционированную сетевую активность внутри компании, обнаруживать ошибки в настройках и попытки проникновения злоумышленников. Мы продолжаем их разрабатывать и улучшать, чтобы сделать работу в сети максимально комфортной, а главное — безопасной.
С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней – оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.