Ещё один сюрприз коронавируса. Как не позволить проблемам информационной безопасности окончательно добить ваш бизнес

Прошло три месяца с момента, как ВОЗ объявила эпидемию COVID-19. Сопутствующие проблемы в части использования информационных технологий уже проявились весьма объемно. Наиболее сложные вызовы связаны с обеспечением информационной безопасности. И здесь можно выделить три основных блока.

Во-первых, бизнесу пришлось резко увеличить количество сотрудников, работающих на удаленном доступе. Идея «удаленки» оказалась весьма неожиданной для подавляющего большинства компаний. Да и времени на то, чтобы обучать сотрудников правилам цифровой гигиены и порядку работы в новых условиях, просто не было. Наши оценки показывают, что более половины российских компаний при уходе на «самоизоляцию» принимали небезопасные и крайне рискованные решения.

У малых и средних предприятий не оказалось ресурсов даже на то, чтобы обеспечить сотрудников необходимыми рабочими местами. Сотрудникам часто приходилось пользоваться личными ноутбуками или домашними компьютерами, которые не обладали должным уровнем защиты. Как следствие, степень защищенности ИТ-инфраструктуры сократилась до критически низкого уровня.

Кроме того, на рынке резко сформировалась тенденция заработка на кризисе, – за последние недели ИТ-компании выпустили немало сделанных на скорую руку решений для удаленной работы. Но далеко не все эти решения прошли соответствующую оценку безопасности и проверены на недекларированные возможности самим разработчиком. Используя такие продукты, пользователь сильно рискует потерей своих данных, особенно если авторами решений являются малоизвестные производители. Стоит отметить, что даже популярность и широкая известность решения отнюдь не означает, что оно достаточно безопасно и конфиденциально: например, недавно вышел ряд статей, опубликованных авторитетным изданием Motherboard, которые были посвящены уязвимостям и утечкам конфиденциальных данных в сервисе видеоконференций Zoom. Одна из уязвимостей позволяла собирать данные о почтовых адресах пользователей сервиса и получать доступ к их именам и фотографиям.

Первая «беда» потянула за собой вторую. Нагрузка на серверы и сетевое оборудование организаций выросла радикально. Те процессы, которые ранее осуществлялись в контуре внутренних информационных систем, теперь перекочевали в Интернет. Многие организации, не способные к быстрому масштабированию, просто не смогли «переварить» такой наплыв трафика. В условиях, когда подавляющее число сотрудников находится вне офиса, восстановление упавших сервисов и информационных систем стало занимать гораздо больше времени. Ответ здесь может быть один: бизнесу следует уделить большее внимание средствам обеспечения отказоустойчивости и резервного копирования. Увы, внедрение таких решений требует определенных ресурсов – финансовых и временных.

Ну и, наконец, в-третьих, мир столкнулся с невиданным ранее всплеском мошеннических схем и усилением хакерских атак. Мошенники всегда активизируются в сложные для экономики моменты. Но сейчас пандемия дала им карт-бланш: скорость реакции на мошенничество снижена, люди лишены привычной мобильности. Например, обратиться в офис банка или организации и подтвердить полученную информацию стало гораздо сложнее.

Ну что ж, пока диагноз весьма неутешителен: уровень безопасности серьезно снизился на фоне роста мошеннической и хакерской активности, а имеющаяся инфраструктура может быть относительно легко разрушена внешними воздействиями.

Решение о выделении дополнительных средств на обнаружение уязвимостей кажется самым логичным. И хорошо, когда такая возможность есть. Но далеко не все компании могут увеличить бюджеты на безопасность, сейчас для многих речь идет о физическом выживании бизнеса. При значительном кассовом разрыве предпринимателя меньше всего заботят информационные технологии, а потенциальные проблемы завтрашнего дня стоят не в приоритете…

Что же можно сделать в этих условиях? Самое важное направление – это работа с персоналом. В апреле и мае в России участились фишинговые атаки на корпоративные почтовые ящики. Существенная часть таких атак паразитирует на теме коронавируса. Письма приходят якобы от государственных и общественных учреждений. Внимание пользователя привлекает полезная информация (например, список мест, где можно пройти бесплатное обследование на коронавирус или приобрести дешевые тесты). При этом в теле письма содержатся вредоносные файлы с макросами и ссылки на фишинговые сайты. Появилось и много мошеннических сайтов, посвященных COVID-19.

В качестве меры противодействия такой рассылке можно использовать продуманные алгоритмы фильтрации почтового контента, хороший антивирус на почтовом сервере и рабочих станциях пользователей, применять механизмы цифровой подписи сообщений и обязательно настраивать DKIM/SPF/DMARC в записях DNS.

Но самым уязвимым элементом по-прежнему остаются доверчивые сотрудники, которые открывают эти файлы и переходят по зараженным ссылкам. Здесь поможет только обучение. Убедитесь, что персонал знает, как выявлять фишинговые письма. Если есть такая возможность, закажите фишинговую компанию у организации, занимающейся безопасностью, – так вы сможете проверить готовность своего персонала. Отметим, что при выборе поставщика такой услуги (как и любой другой услуги в области информационной безопасности) особое внимание стоит уделить проверке наличия у поставщика лицензии на выполнение работ в области технической защиты конфиденциальной информации. Кроме того, с подрядчиком надо обязательно заключать соглашение о неразглашении информации. В противном случае вы рискуете допустить к своей конфиденциальной информации непрофессионалов, а ваша информация может попасть «не в те руки».

Ниже мы расскажем о наиболее актуальных сейчас инструментах ИБ. В условиях ограниченности ресурсов, в первую очередь, следует сфокусироваться именно на них.

Защита удаленных рабочих станций сотрудников и хранящейся на них информации

Необходимо строго регламентировать использование программного обеспечения на рабочих станциях и средствах удаленного доступа. Особенно важно контролировать деятельность персонала, пользующегося собственной, некорпоративной, техникой.

В соответствии с недавней аналитикой, опубликованной компанией Positive Techlogies, на сегодняшний момент каждый десятый удаленный рабочий стол может быть взломан. Где гарантии, что сотрудник не скачивает зараженный пиратский софт и не отключит антивирус для его запуска?

Настройка элементов управления доступом и  сегментирование сетей

Некоторые сотрудники могут скачивать конфиденциальную информацию с корпоративных ресурсов компании на свои личные компьютеры, что само по себе может стать каналом утечки информации. Важно обеспечить правильную настройку элементов управления доступом для тех пользователей, которым он необходим, и запретить доступ к ней для всех остальных. Это также будет полезным, если компьютер удаленного пользователя будет взломан или украден, –злоумышленник сможет получить доступ только к минимальному набору ресурсов компании. Не лишним будет напомнить пользователям об имеющихся в организации политиках безопасности и ответственности, касающейся работы с конфиденциальной информацией.

Ключевой момент – применение списков доступа (ACL) в локальной сети предприятия, поскольку сегментирование, внедренное вкупе со списками доступа, позволяет значительно сократить поверхность атаки для хакеров и уменьшить ущерб в случае совершения успешных атак. Проникнув в малозначительный сегмент сети (например, в пользовательский), злоумышленник не сможет проникнуть в более важные, доступ к которым будет ограничен файрволлом. Кроме того, применение такого механизма не позволит быстро распространиться шифровальщикам и вредоносному программному обеспечению проникнувшего в локальную в сеть.

Четкий контроль за обновлением программного обеспечения

Очень важно своевременно обновлять программное обеспечение и обеспечивать защиту информации, хранящейся на удаленных рабочих местах пользователей. Потеря сотрудником ноутбука с доступом во внутреннюю сеть организации может грозить не только потерей ценных данных, временным приостановлением работы сотрудника, но и компрометацией всей корпоративной сети.

Так, например, уязвимость почтового сервера Exchange (CVE-2020-0688), обнаруженная в начале февраля 2020 года, позволяет захватить полный контроль над почтовым сервером, имея права обычного пользователя. А далее злоумышленник просто собирает пароли и логины пользователей организации, обращающихся к почтовому серверу. Несмотря на высокую критичность уязвимости и выпуск 12 февраля компанией Microsoft официального патча, закрывающего данную уязвимость, в апреле 82,5% серверов Microsoft Exchange по-прежнему были уязвимы к CVE-2020-0688…

Тестирование инфраструктуры

Весьма полезным может быть заказ у независимой специализированной фирмы тестирования на проникновение (пентеста). С относительно небольшими затратами вы поймете, какие дыры есть в вашей безопасности. Особенно важно это делать в такие периоды повышенной уязвимости, как сейчас, ведь удаленный доступ дает много дополнительных возможностей мошенникам и недоброжелателям.

Никита Кузнецов,
основатель проекта CSlab, эксперт в области информационной безопасности