Киберугрозы становятся все более серьезной проблемой для бизнеса всех размеров. Хакеры не планируют останавливаться, придумывая новые атаки и успешно эксплуатируя «вечную классику». Что нужно знать, чтобы побеждать в этом поединке?

Кибератаки могут нанести значительный ущерб репутации компании, привести к потере данных и финансовому ущербу, а также повлечь за собой простои в работе. Так, согласно Identity Theft Resource Center 2022 Data Breach Report, в 2023 году хакеры совершили 2 365 атак, жертвами которых стали 343 338 964 человека.

От инцидентов не застрахованы даже крупные корпорации. В 2023 году компания X (ex-Twitter) стала мишенью преступников, которым удалось украсть более 220 миллионов электронных адресов пользователей. А между тем средняя мировая стоимость утечки данных в 2023 году составляла 4,45 млн долларов, что на 15% больше, чем 3 года назад.

Как видим, роль кибербезопасности в сохранении состояния компании очень ощутима. Поэтому международный True Value Added IT-дистрибьютор BAKOTECH поинтересовался у четверых экспертов, как бизнесу эффективно защищать свою инфраструктуру и снизить риск серьезных убытков.

 

 

Учитывая сегодняшние темпы развития киберпреступности, проблема с паролями заключается не в том, насколько они сложны, а в том, что они существуют в принципе. Фишинговые атаки были и остаются одной из основных техник, которую хакеры используют для взлома аккаунтов – и довольно успешно.

Согласно отчету Verizon о расследовании утечки данных в 2023 году, почти в половине (49%) случаев киберпреступники получили доступ к информации, взломав пароли.

Некоторые компании используют менеджер паролей – отдельное программное обеспечение, которое генерирует и безопасно хранит пароли, а также предупреждает о мошеннических сайтах и вредоносном ПО. Однако такое ПО не в состоянии защитить от фишинга, когда данные перехватываются в режиме реального времени.

К тому же сами менеджеры паролей могут стать мишенью хакеров. Например, один из самых популярных сервисов LastPass страдал от утечки данных по крайней мере трижды — в 2015, 2021 и 2022 годах. Только во время последнего взлома хакеры похитили данные более 25 миллионов пользователей.

Самым серьезным пробелом в безопасности обычно является человеческий фактор, поэтому большинство атак успешно осуществляется благодаря невнимательности жертвы. Достаточно одного телефонного звонка от «службы безопасности» с просьбой подтвердить поступивший на телефон код – и ваш аккаунт больше вам не принадлежит.

Итак, делаем вывод: пароль, который невозможно скомпрометировать, – это тот, которого не существует. Впрочем, если вы вынужденно используете устаревшие сервисы, не предусматривающие возможность отказа от паролей, хорошей практикой будет использовать сложные пароли, которые легко запомнить – например, названия книг или фильмов.

Современные требования для безопасной аутентификации пользователя включают следующие факторы:

• Владение конечным устройством или ключом безопасности;
• Подтверждение присутствия пользователя именно в момент логина;
• Верификация пользователя с помощью проверки секретного кода или пользовательской биометрии.

 

Есть ли альтернатива?

 

Passwordless Authentication – это действенная замена пароля, которая набирает популярность. Согласно исследованию, в 2023 году более 71% респондентов среди IТ-специалистов в возрасте 30 лет и младше предпочитали беспарольную аутентификацию.

FIDO2/WebAuthn считается «золотым стандартом» аутентификации. Он работает на основе криптографии, предусматривающей обмен публичного и безопасного хранения частных ключей. Следовательно, аутентификация становится устойчивой к фишингу и другим видам атак на основе паролей.

Стандарт FIDO2/WebAuthn поддерживается операционными системами Windows, MacOs, Linux, Android, iOS и многими браузерами, такими как Chrome, Safari, Firefox и Microsoft Edge. Аппаратные ключи безопасности, типа Hideez Key, уже сертифицированы по этому стандарту и имеют возможность подключения через Bluetooth, NFC и USB, что значительно расширяет возможности их использования.

В 2023 году появилась новейшая имплементация стандарта для обычных пользователей, называемая Passkeys. Она позволяет зарегистрировать свой телефон, планшет или компьютер в качестве собственного ключа безопасности и использовать встроенный биометрический сенсор для аутентификации в различных веб-сервисах и приложениях.

Согласно опросам, более 70% пользователей считают такой метод удобнее одноразовых кодов, голосовых сообщений и других традиционных методов двухфакторной аутентификации. И что самое главное – он защищает вас от фишинговых атак и полностью убирает пароли.

 

Как настроить аутентификацию без пароля

 

• Убедитесь, что вы понимаете, как все работники входят в систему. Происходит ли эта аутентификация по-разному в зависимости от того, где они находятся? Какие устройства и операционные системы используются?
• Подготовьте инфраструктуру для использования беспарольной аутентификации. В то же время желательно внедрить сервис, реализующий единый вход (Single-Sign-On) в веб-сервисы и приложения.
• Настройте разные варианты беспарольной аутентификации. В зависимости от сценариев использования для разных групп пользователей можно определить самый удобный вариант для себя:
  — Passkey – телефон, планшет или ПК как собственный ключ безопасности;
  — Мобильное приложение на телефоне;
  — Аппаратный ключ безопасности со встроенным биометрическим сенсором или без него.

 

 

Пароли были основным методом защиты систем с 60-х годов, когда профессор Массачусетского технологического института Фернандо Корбато представил его в совместной системе распределения времени (CTSS). С тех пор пароли представляют собой краеугольный камень цифровой безопасности, действуя как вратари для личных и деловых данных. Однако в эпоху, когда угрозы кибербезопасности становятся все более изощренными, уже мало полагаться только на пароли.

В настоящее время существует множество путей атаки на инфраструктуру. В общем, бизнес-инфраструктура напоминает средневековый город, к которому ведут разные дороги. Чтобы в город не вошли разбойники, нужно на каждом входе поставить охрану.

В нашем случае под охраной подразумевается внедрение многоуровневой стратегии кибербезопасности, учитывающей защиту аккаунтов, управление привилегиями доступа, последовательный мониторинг, настройки прав пользователей и безопасного удаленного доступа.

 

Решения и методы для комплексной защиты

 

Современному бизнесу требуется более комплексный подход к защите своих цифровых активов, который учитывал бы не только IТ-администраторов, но и каждую группу пользователей.

Рассмотрим все группы по отдельности.

Безупречный опыт для сотрудников: единый вход (SSO), многофакторная аутентификация (MFA) и другие функции обеспечивают безопасный доступ без ущерба для производительности.

Подробный контроль для IТ-администраторов: управление привилегированным доступом (PAM) позволяет назначать определенные роли и разрешения, обеспечивая пользователям доступ только к ресурсам, необходимым для выполнения их задач. Это снижает риски без ущерба для эффективности работы.

Облачный архитектор: архитекторы нуждаются в решениях, интегрируемых с облачной инфраструктурой, чтобы обеспечить стабильную безопасность на всех платформах. Следовательно, решение должно поддерживать облачные приложения и гибридные среды, позволяя архитекторам управлять облачными ресурсами и защищать их без влияния на производительность.

Защита программных аккаунтов: кроме управления доступом людей, организации также должны защищать технические аккаунты, такие как токены, ключи API и другие. Это позволит администраторам централизовать контроль, автоматизировать ротацию секретов и контролировать доступ, обеспечивая безопасность автоматизированных процессов и межмашинной связи.

 

Какие преимущества внедрения системы управления учетными записями

 

Интеллектуальная платформа защиты аккаунтов гарантирует безопасный доступ с минимальными привилегиями, обнаружением угроз и реагированием в реальном времени. Вот несколько ее преимуществ:

• Снижение риска внутренних угроз благодаря ограничению доступа к конфиденциальной информации
• Строгий контроль доступа к локальным и облачным программам, службам и IТ-инфраструктуре
• Уменьшение потенциального воздействия взломов
• Повышение подотчетности с помощью подробного логирования и журналов аудита
• Оптимизация рабочих процессов
• Уменьшение нагрузки на IТ-команды
• Сохранение высокого уровня безопасности

 

 

Культура кибербезопасности – это система ценностей, норм и поведения, в которой защита данных от киберугроз становится приоритетом для всех сотрудников на всех уровнях. Собственно, сотрудники – это ваша первая линия защиты от атак вроде фишинга и социальной инженерии, которые становятся все популярнее.

Внедрение культуры кибергигиены в компании начинается с поддержки руководства. Именно руководители задают нужный тон, впоследствии мотивирующий всех сотрудников.

Образовательная программа имеет два подхода:

• постоянный – для напоминания об активных угрозах и новых хакерских тактиках
• ориентированный на новых сотрудников для изучения основных принципов кибергигиены

Эффективность измеряется результатами участия в тренингах, симуляциях фишинга и викторинах.

Чтобы быть эффективными, менеджеры программ кибергигиены должны использовать такие инструменты, как Security Awareness Index и аналитику, чтобы персонализировать опыт в соответствии с потребностями каждого ученика.

Программа кибербезопасности должна включать:

• Рассылки новостей с информацией о новых киберугрозах и советами по кибербезопасности
• Упражнения на имитацию фишинга
• Проведение коротких обучающих модулей
• Геймификацию работы

Обновление программ должно происходить по меньшей мере ежеквартально.

Впрочем, одних тренингов недостаточно для предотвращения самых распространенных угроз. Для построения эффективной защиты от типичных и целенаправленных фишинговых атак необходимо сочетание тренингов и симуляции фишинга.

Кибергигиена формирует более ответственное поведение пользователей, которые начинают быстрее реагировать на нетипичную активность, обращаться за помощью к специалистам по безопасности, когда замечают что-то необычное, и заботиться о защите данных.

 

Как обучающая программа влияет на мотивацию сотрудников

 

Благодаря тренингам, пользователи:

• Не боятся задать вопрос, когда не знают, как поступить – например, как отправить конфиденциальный документ по электронной почте
• Сообщают о нетипичной активности – например, нашли документ с конфиденциальными данными в открытом файлообменнике
• Не боятся созвониться со специалистами по безопасности, когда они сделали что-то не так – например, информируют службу безопасности после того, как ошибочно ввели пароль на фишинговом веб-сайте
• Помогают, когда замечают опасное поведение – например, когда конфиденциальный документ оставлен на принтере или разблокированная рабочая станция оказалась без присмотра.

 

Что получает компания, если вводит регулярные тренинги:

 

• Снижение рисков, количества инцидентов и связанных с ними расходов и репутационных убытков
• Экономию времени и денег
• Повышенную производительность, так как организации и их сотрудники остаются работоспособными и продуктивными
• Соответствие внутренним политикам, регуляторным и отраслевым стандартам
• Соответствие контрактным соглашениям и требованиям киберстрахования
• Расширение возможностей и рост сотрудников

 

 

На мой взгляд, в контексте трендов защиты данных главными остаются DLP, CASB и Zero Trust. Они стабильно помогают компаниям построить надежную защиту от утечек конфиденциальной информации.

Рассмотрим каждый подробнее.

 

DLP

 

Data Loss Prevention (DLP) – это предотвращение утечек конфиденциальных данных (преднамеренных или случайных) благодаря анализу потоков информации, выходящей за периметр организации.

DLP необходимо применять как in transit (т.е. когда данные пытаются выгрузить из корпоративной среды), так и at rest (когда сотрудники сохраняют корпоративные данные в незащищенном виде в SaaS-приложениях, вроде Salesforce, Google Drive, M365 и других).

Optical Recognition для DLP также является одной из ключевых функций, которая позволяет сканировать изображение на наличие конфиденциальных данных.

 

CASB

 

CASB (Cloud Access Security Broker) – это система, которая действует как посредник между пользователями и облачными ресурсами, обеспечивая контроль доступа, мониторинг активности и соответствие нормативным требованиям. Она интегрируется с SaaS-приложениями компании и сканирует данные приложений на наличие открытой конфиденциальной информации.

Например, в зоне интереса брокера безопасности – документ PDF в открытом доступе без пароля в корпоративном Google Drive, документ, расшаренный публично в Salesforce и т.д.

Интеграция DLP и CASB позволяет предотвратить утечку корпоративных данных at rest.

 

Zero Trust

 

Метод Zero Trust (или «никому не доверяй, всех проверяй») строится на принципе отсутствия доверия «по умолчанию». Каждый запрос на ресурсы должен быть аутентифицирован, независимо от того, откуда он поступает – из корпоративной сети, от удаленного сотрудника, из кафе или аэропорта. Все запросы видимы и залогированы, что облегчит расследование инцидентов, если они возникнут.

Главная цель Zero Trust как модели безопасности – уменьшить поверхность атаки организации. Пользователь получает доступ только к ресурсам, необходимым для выполнения рабочих обязанностей. К тому же Zero Trust сводит к минимуму ущерб в случае возникновения атаки, ограничивая нарушение одним небольшим участком с помощью микросегментации, что также снижает стоимость восстановления.

Zero Trust минимизирует влияние кражи учетных данных пользователей и фишинговых атак вследствие необходимости использования нескольких факторов аутентификации. Это помогает устранить угрозы, обходящие традиционные средства защиты периметра. Точно так же, проверяя каждый запрос, система безопасности Zero Trust снижает риск, создаваемый уязвимыми устройствами, включая устройства IoT, которые часто сложно защитить и обновить.

Настроив метод Zero Trust, команда по информационной безопасности обеспечивает защиту всех ресурсов компании: self-hosted-приложений, SaaS, частных сетей, устройств сотрудников и данных на них и других.