Реализация пяти описанных в статье  WebLiveSecurity действий сможет снизить киберриски организации и укрепить ее защиту.

Защита информационных систем, обеспечивающих работу организации, представляет собой постоянные усилия, которые должны соответствовать тенденциям развития угроз. По мере роста масштаба и сложности систем IT появляются новые кибернетические риски. При этом количество источников угроз растет, а используемые злоумышленниками средства, методы продолжают развиваться.

На основе трендов, выявленных специалистами компании ESET в публикации «Cybersecurity Trends 2018» (Тенденции кибернетической безопасности 2018 года) можно выделить пять действий, позволяющих снизить кибернетические риски, и настроить программное обеспечение кибернетической безопасности:

1. Пересмотр плана реакции на вирусы-вымогатели

Те, кто читал статью Дэвида Харли (David Harley) по вирусам-вымогателям в отчете о тенденциях 2018 года, знают, что эта угроза вряд ли ослабнет в 2018 году. Шифровка файлов пользователя, не дающая возможности пользоваться ими, стала популярным видом нападения. Можно разделить вирусные атаки этого типа на три категории: широкомасштабные нападения, целенаправленные нападения и разрушающие нападения. В то время как нападения первых двух категорий включают в себя добросовестное предложение предоставить жертве нападения позволяющий расшифровать данные ключ в обмен на оплату. В атаках последней категории, нападающие не собираются предоставлять ключ.

Хотя правильно разработанный и должным образом поддерживаемый продукт для конечного пользователя предлагает надежную защиту против всех трех видов нападения. Но всегда существует шанс, что злоумышленники найдут брешь в защите — такую, как забытый сервер, о котором не знают специалисты IT или сотрудник, который бездумно щелкает по всем ссылкам.

Именно поэтому каждая организация нуждается в плане, определяющем реакцию на вирусы-вымогатели. Этот план сообщает всем членам организации, что им необходимо делать при атаке вымогателя. От появления первых признаков компрометации до процесса технической эскалации, уведомления руководства, работы с общественностью и т.п.

В каждой организации подобный план реагирования на нарушения должен существовать в том или ином виде. Если такого плана нет, то специалист ESET, Лайза Майерс (Lysa Myers) предлагает неплохую рекомендацию по этому вопросу. Кроме того, можно скачать очень полезное 50-страничное руководство «Cyber Incident and Breach Readiness Guide» с сайта Online Trust Alliance, некоммерческой инициативы Интернет-сообщества.

Фактически, в плане реакции, принятом в организации, уже может присутствовать раздел, относящийся к вирусным атакам. Однако нападение с помощью вирусов-вымогателей достаточно специфично, и требует выделения собственного раздела. Этот раздел может подкрепляться сценариями вымогательства в плане реакции на кризисные ситуации, а сами эти сценарии можно использовать для тренировок (например, на рабочих местах).

Если вы не уверены в том, что нападение вируса-вымогателя достаточно специфично, чтобы требовать специального планирования реакции на него, то попытайтесь ответить на следующие вопросы:

  • Имеется ли в вашей организации письменно изложенная политика запрета без разрешения руководства оплаты требований вымогателей, связанных с IT?
  • Применяется ли процесс определения необходимости платить вымогателю?
  • Владеет ли организация криптовалютой (например, Bitcoin) , или способна ли она быстро получить ее в ситуациях, связанных с вирусами-вымогателями?
  • Дает ли юридический консультант организации советы, которые относятся к требованиям сообщать о нарушениях, и которые могут или не могут применяться к данным, находящимся под угрозой вируса-вымогателя?

Хуже, чем подвергнуться атаке вируса-вымогателя может оказаться только неготовность реагировать на такую атаку. Поэтому данное действие и является первым элементом в списке действий кибернетической безопасности в 2018 году.


2. Проверка источника питания

Следующее действие относится к источнику электрического питания, который позволяет работать всей цифровой технологии. В разделе публикации «Cybersecurity Trends 2018», связанном с ключевыми объектами инфраструктуры, приводятся соображения о множественных злоумышленных перебоях питания на Украине. Эти события являются доказательством того, что злоумышленники способны нарушить работу подключенных к Интернету промышленных систем управления с целью вызвать перебои в энергоснабжении. Также там упоминается ряд проблем обеспечения питания, вызвавших в последние годы сбои в авиаперевозоках в таких важных центрах, как аэропорт Хитроу в Лондоне или Международный аэропорт Хартсфилд-Джексон в Атланте. Хотя эти инциденты не были вызваны нападением хакеров, они показывают, насколько разрушительными и дорогостоящими могут оказаться целенаправленные атаки на источники питания.

И что же нужно делать в связи с этим аспектом кибербезопасности в вашей организации? Решение лежит в ответах на следующие вопросы:

  • Какие шаги предпринимает организация для продолжения работы в случае перебоя с подачей электроэнергии?
  • Знают ли сотрудники, что делать при отключении электроэнергии?
  • Используется ли резервный генератор для обеспечения энергией всего офиса?
  • Насколько быстро его можно запустить?

Даже если в вашей организации и есть ответы на эти вопросы, то знаете ли вы, где они представлены в документальном виде?

Множество организаций используют собственные центры обработки данных для хранения данных, размещения локальных приложений, создания резервных копий. Если ваша организация использует такой центр, то следует подумать о том, когда, в последний раз в нем проводилась визуальная проверка системы электропитания. Используются ли источники бесперебойного питания для обеспечения энергией оборудования до тех пор, пока не будет запущен дизельный генератор? И где расположен этот генератор? Он должен находиться выше возможного уровня затопления. Также желательно убедиться, что центр обработки данных регулярно обновляет свои оценки рисков, учитывая погодные катаклизмы. Когда ураган Сэнди в 2012 году нанес удар по восточному побережью США, его воздействию подверглись не менее восьми крупных центров обработки данных.

Необходимо помнить, что доступность является одним из трех столпов кибернетической безопасности (два других — это конфиденциальность и целостность). Если система лишена питания, то невозможно обеспечить доступность.


3. Инвентаризация данных для лучшей безопасности и соответствия правилам

Третье действие по обеспечению безопасности связано с изменениями в мире конфиденциальности данных, которые были описаны в разделе, написанном Тони Анскомбом (Tony Anscombe).  Автор раздела выражает уверенность в том, что новые законы и судебные иски в 2018 году, относящиеся к конфиденциальности данных у многих организаций увеличат риски потерь, связанных с изменением законодательства. И вызвано это не только Общим регламентом по защите данных (General Data Protection Regulation — (GDPR)).

Поскольку до вступления в действие GDPR остается всего месяц, то, по-видимому, каждая компания в мире, имеющая подключение к Интернету, также обладает представлением о том, что означает GDPR для защиты ее данных и методов кибербезопасности.

Но GDPR, это не единственный играющий роль нормативный фактор. В США уже действуют новые государственные нормы, и с большой степенью вероятности будут введены и другие нормы. Если, например, ваша организация работает в штате Нью-Йорк, то вы, скорее всего, знаете о нормативном акте 23 NYCRR 500. Это правила кибербезопасности, ряд аспектов которых должны соответствовать нормативам уже к 1 марта 2018 года. В 2017 году аналитики из ассоциации индустрии высоких технологий, CompTIA, выявили около 700 законодательных элементов по вопросам конфиденциальности и безопасности на уровне штатов. Многие из этих актов не будут приняты, но законодательство штатов может увеличить затраты, связанные с отказами безопасности. Например, в 2017 годы Калифорния выплатила штраф за утечку данных в несколько миллионов долларов.

Все это означает, что для организации более важно, чем когда-либо раньше, становиться знание того, какие данные она обрабатывает, а также почему, где и как она это делает. Другими словами, необходимо проводить то, что у разных авторов называется инвентаризацией данных, аудитом данных, или составлением схемы потоков данных. Идея здесь заключается в документировании всех данных, используемых организацией. Это позволит соответствующим образом защитить их, и обеспечить выполнение требований проверки конфиденциальности данных.

К счастью, по этому процессу Международной ассоциацией профессионалов конфиденциальности (IAPP) опубликовано много материалов и в свободном доступе имеется ряд статей — например, эта.

Несмотря на то, что информация представлена в терминологии регламента GDPR — статья 30 которого обязывает организации «вести фиксацию действий по обработке информации, находящейся под ответственностью организации» — описанная в статье стратегия может быть широко применена. Доступны также инструменты для проведения инвентаризации данный, включая и бесплатный инструмент для членов IAPP. Однако по данным обзора 2016 года, «66 процентов компаний проводят инвентаризацию данных неформально, с использованием электронной почты и электронных таблиц».К какому бы методу вы не обратились, можно гарантировать, что тщательная инвентаризация данных и их схематическое представление выявят данные, о которых организация может и не знать.

Классическим случаем является база маркетинговых данных, созданная для проекта, который был завершен, но не закрыт требуемым образом. Печально, но мы постоянно видим утечки, когда хакеры обнаруживают «неизвестные» и слабо защищенные серверы.

4. Обновление защиты сервера

В процессе «аудита» данных должен быть создан каталог всех серверов организации, на которых хранятся или обрабатываются жизненно важные данные. Такой каталог станет исходной информацией для четвертого действия: обновления защиты сервера. В 2017 году мы наблюдали рост числа атак на серверы, доступные через Интернет, и можем ожидать, что эта тенденция сохранится и в 2018 году. К распространенным типам атак относятся применение метода «брутфорса» для получения полномочий доступа к протоколу удаленного рабочего стола (RDP), с последующим отключением утилиты защиты Endpoint Protection и шифрованию содержимого сервера для последующего вымогательства.

В ряде случаев атаки на сервер достаточно простые, что-то вроде ввода «admin» в качестве имени пользователя и подбора пароля. Это сработало в прошлом году против сервера компании Equifax в Аргентине. Данный инцидент был отмечен самой крупной в истории компании утечкой более 143 миллионов записей из-за несвоевременного устранения уязвимости кода сервера, о которой много писалось.

Так что, настало время проверить, насколько ваши серверы защищены от атак извне. Для каждого сервера нужно дать ответ на четыре ключевых вопроса:
1. Защищен ли доступ к серверу двухфакторной аутентификацией?
2. Правильно ли сконфигурирован сервер и установлена ли утилита (которая должна предотвратить неавторизованные попытки отключения защиты)?
3. Производится ли подходящее шифрование данных на сервере?
4. Выполняется ли регулярно резервное копирование информации сервера в архивы, находящиеся в другом месте и не имеющие доступа по сети?

Сегодня необходимо ответить «да» на все четыре вопроса, и здесь не должно быть исключений. Почему? Потому что эти исключения — это как раз то, что ищут преступники, когда они собираются похитить полномочия для перепродажи, создать спам или ботнет для атак DDoS, похитить для перепродажи IP и PII, зашифровать файлы для вымогательства, или проникнуть в остальную часть сети организации.


5. Усиление подготовки по вопросам безопасности

Пятое и последнее действие, проистекает из двух тенденций 2018 года, вызывающих обеспокоенность специалистов ESET: продолжающийся рост числа взломов систем в криминальных целях, и социально направленных взломов, таких как вмешательства в выборы и в другие основы гражданского общества. Обе эти тенденции напоминают о том, что информационная безопасность представляет собой проблему всего общества. Опытные организации знают, что «безопасность — это ответственность каждого». И явным следствием этого является то, что любой сотрудник организации должен быть подготовлен по вопросам безопасности.

Существует множество способов реализации основ обучения вопросам безопасности каждого сотрудника, но некоторые организации все еще сопротивляются этому. Например, недавнее исследование выявило, что 70 процентов работников в ряде отраслей «не имеют представления о том, как останавливать нападения, которые сотрудник может предотвратить», и в некоторых секторах работники почти не готовы играть свои роли: «У 78% сотрудников здравоохранения отмечается отсутствие подготовки по вопросам конфиденциальности данных и их защите».

Подобная статистика помогает понять, почему ESET предоставляет бесплатное обучение вопросам кибернетической безопасности через Интернет. Это обучение проводится по запросу, и позволяет организациям документально фиксировать прогресс своих сотрудников в понимании кибербезопасности, включая идентификацию и реагирование на такие угрозы, как вредоносные программы и фишинг.

Это один из способов, позволяющий справиться с проблемой тех сотрудников, которые бездумно щелкают по всем ссылкам, и это обучение уже прошли более 10 000 человек. Однако подготовка в области кибернетической безопасности в организации, и осознание требуемых для этого усилий не должна оканчиваться только основами для всех сотрудников.

Любая крупная организация должна проводить обучение, ориентированное на специальные потребности и политику компании, а также на конкретные роли сотрудников компании. Одна из наиболее эффективных программ обучения работает на трех уровнях: все сотрудники, руководство и персонал IT. Ежеквартально предлагаются своевременно обновляемые материалы по обучению, охватывающие категории появляющихся угроз, и ориентированные для каждого из этих уровней. Подобные программы могут реализовываться самостоятельно или выполняться по контракту с известной кампанией, специализирующейся в данном типе работ.

Заключение

Защита цифровых активов вашей компании представляет собой постоянные усилия. При этом необходимо решать множество задач. Предполагается, что вы проверите свой список таких задач, чтобы убедиться в наличии в нем всех вышеперечисленных действий. И если они отсутствуют, то рекомендуется добавить их в этот список, и желательно — в его начало.

5 действий для обеспечения кибербезопасности в 2018 году
Оценка