Хакеры взламывают системы не только для того, чтобы украсть данные. Оказывается, есть и белые хакеры, которые ищут уязвимости, чтобы предупредить бизнес об опасностях. Но между ними есть общее — и те и другие находят слабые места в кибербезопасности. Пообщались с экспертами, чтобы узнать, как защитить бизнес от кражи данных.  

Привет, это KOTELOV. Валера пригласил на свой подкаст Kotelov digital finance Антона Тюрина — руководителя отдела экспертизы метапродуктов в Positive Technologies. Антон разрабатывает  «автопилот в мире кибербезопасности. Это систему, которая дает сигналы, что идет атака, и ловит черных хакеров. Уж он-то точно знает как сохранить ваши данные. Мы поговорили с ним, чтобы вы узнали, как защититься от хакеров. 

Ниже собрали самое важное из подкаста в формате статьи, полную версию выпуска можно посмотреть здесь

Белые хакеры vs черные хакеры

Корпоративные взломы — это постоянная борьба мотивов. Белые хакеры, на самом деле, занимаются тем же, чем и черные: ищут уязвимости в IT-системах, взламывают защиту и запускают вирусы. Но дело в том, что белые хакеры предупреждают бизнес о слабых местах, а черные хакеры воруют данные и пытаются на этом заработать.

«Тут каждый сам решает, на какой стороне останется и все зависит от человека, как он использует свои навыки. Белые хакеры дают подробный отчет об уровне защищенности, чтобы бизнес был готов к моменту, когда придут черные хакеры и попытаются взломать систему. Может ли черный хакер перейти на светлую сторону, как в бывает в кино? Теоретически такая возможность есть и некоторые ее используют. Все зависит от конкретного человека».

Облачный атлас: куда пробираются черные хакеры

Если составлять карту, с чего чаще всего начинают хакеры, то на первом месте ПО, которое стоит на периметре инфраструктуры:

  • Web-приложения, сайты;
  • Почтовые серверы;
  • VPN;
  • CRM.

 

То есть локальное ПО (On-premise) представляет опасность, если с веб-сервиса можно добраться по сети до внутренних данных. Но и облачные решения позволяют злоумышленникам дотянуться до данных через интернет. Получается, что хакеры атакуют любые инфраструктуры.

Как обезопасить удаленный доступ для сотрудников

В 2023 году не все соглашаются работать в офисе, и удаленная работа стала хорошим тоном для многих бизнесов. При этом работодатели должны обеспечить безопасность своих информационных систем, и заставляют сотрудников использовать VPN и Mobile Device Management (MDM), чтобы защитить данные. Это не всем нравится, но по-другому никак. Поэтому приходится соблюдать баланс и разрабатывать регламенты кибербезопасности, которые нужно выполнять обязательно.

«VPN и MDM тоже недостаточно. Поэтому обязательно используйте двухфакторную аутентификацию, а не только по паролям. Если сотрудники испытывают какие-то трудности со вторым фактором, окей тогда доступ к работе только с офисного устройства. Хотя особых проблем с этим сейчас не должно быть: любая покупка на маркетплейсе совершается после смс-подтверждения по сути, второго фактора».

Как предотвращают атаки хакеров

Специалисты, которые занимаются информационной безопасностью, анализирует происходящее в инфраструктуре с разных сторон. Сетевой трафик, логи и поведение пользователей при работе с программным обеспечением. Например, если бухгалтер работает до 18 часов, а затем с его учетной записью вошли в систему платежей в 23 часа, то это уже сигнал, что происходит нечто нехарактерное и подозрительное. После этого, сотрудники Security Operation Center начинают работу.

«Кроме этого, системы безопасности анализируют поведение пользователей. Например, сотрудник в рамках работы всегда запускает стандартные процессы в

системе (браузер) и подключается к одним тем же бизнес приложениям (1С). Если происходит что-то нетипичное или, более того, вредоносное, то система сразу обращает на это внимание». 

Что безопаснее: корпоративный или личный девайс?

Это нормально, когда сотрудник использует для работы собственный ноутбук или смартфон. Есть и название этому тренду: Bring Your Own Device (BYOD). И вместе с тем не все сотрудники соглашаются устанавливать корпоративные приложения кибербезопасности. Например, те же профили MDM. Как быть в этой ситуации?

«На самом деле никакой этической проблемы тут нет. Компании сегодня разрабатывают внутренние регламенты кибербезопасности. Если сотрудник хочет работать на своем ноуте, то придется принять условия и установить корпоративные приложения. Если такой вариант не устраивает, то работа только на девайсе от компании. Таковы реалии безопасности: любой скачанный файл может быть заражен трояном, который причинит урон всей компании».

Червячок пробрался в корпоративную систему: что делать?

Кибербезопасность строится на том, чтобы предположить, где могут атаковать хакеры и заранее защитить эти узлы. Например, всегда стоит помещать внешние серверы в демилитаризованную зону (DMZ) и настраивать правила файервола для фильтрации внешнего трафика внутрь. И все-таки случаются ситуации, когда системы взламывают. Иначе, откуда столько историй про утечку баз данных?

Если заражение произошло, то есть 2 задачи:

  1. Первичное реагирование: отключение от сети зараженного сервера, установка патча для уязвимости, настройка сетевых доступов так, чтобы сохранить бизнес-функцию сервера и не дать атакующему/вредоносному ПО распространиться дальше.
  2. Расследование инцидента для поиска всех точек присутствия атакующих и принятие мер, которые не позволят атаке повториться (процессы ИБ).

Кибербезопасность — это не только техническая работа, но и работа с персоналом. Обязательно научите пользоваться всеми программами, которые защищают IT-инфраструктуру, а также стандартные меры безопасности. Например, не открывать письма с подозрительных адресов и не переходить по непонятным ссылкам.

Полную версию выпуска можно посмотреть здесь.