Кіберзагрози стають дедалі серйознішою проблемою для бізнесу всіх розмірів. Хакери не планують зупинятися, вигадуючи нові атаки та успішно експлуатуючи «вічну класику». Що треба знати, щоб перемагати у цьому двобої?

Кібератаки можуть завдати значної шкоди репутації компанії, призвести до втрати даних та фінансових збитків, а також спричинити перебої в роботі. Так, згідно з Identity Theft Resource Center 2022 Data Breach Report, у 2023 році хакери здійснили 2 365 атак, жертвами яких стали 343 338 964 особи.

Від інцидентів не застраховані навіть великі корпорації. У 2023 році компанія X (ex-Twitter) стала мішенню злочинців, яким вдалося вкрасти понад 220 мільйонів електронних адрес користувачів. А тим часом, середня світова вартість витоку даних у 2023 році становила 4,45 млн доларів, що на 15% більше, ніж 3 роки тому.

Як бачимо, роль кібербезпеки у збереженні статків компанії дуже відчутна. Тому міжнародний True Value Added IT-дистриб’ютор BAKOTECH запитав у чотирьох експертів, як бізнесу ефективно захищати свою інфраструктуру та зменшити ризик серйозних збитків.

 

 

З огляду на сьогоднішні темпи розвитку кіберзлочинності, проблема з паролями полягає не в тому, наскільки вони складні, а в тому, що вони взагалі існують. Фішингові атаки були й залишаються однією з основних технік, що хакери використовують для зламування акаунтів, і роблять це доволі успішно.

Згідно зі звітом Verizon про розслідування витоку даних у 2023 році, майже в половині (49%) випадків кіберзлочинці отримали доступ до інформації, зламавши паролі.

Деякі компанії використовують менеджер паролів — окреме програмне забезпечення, яке генерує та безпечно зберігає паролі, а також попереджає про шахрайські сайти та шкідливе ПЗ. Однак таке ПЗ не захищає від фішингу, коли дані перехоплюються в режимі реального часу.

До того ж самі менеджери паролів можуть стати мішенню хакерів. Наприклад, один із найбільш популярних сервісів LastPass страждав від витоку даних принаймні тричі — у 2015, 2021 і 2022 роках. Лише під час останнього злому хакери викрали дані понад 25 мільйонів користувачів.

Найбільшою прогалиною в безпеці зазвичай є людський фактор, тому більшість атак здійснюється завдяки неуважності жертви. Достатньо одного телефонного дзвінка від «служби безпеки» з проханням підтвердити код, що надійшов на телефон — і ваш акаунт більше вам не належить.

Отже, робимо висновок: пароль, який неможливо скомпрометувати, — це той, якого не існує. Втім, якщо ви вимушено використовуєте застарілі сервіси, які не передбачають можливість відмовитись від паролів, гарною практикою буде використовувати складні паролі, які легко запамʼятати — наприклад, назви книжок або фільмів.

Сучасні вимоги для безпечної аутентифікації користувача охоплюють такі фактори:

• Володіння кінцевим пристроєм або ключем безпеки;
• Підтвердження присутності користувача саме в момент логіну;
• Верифікація користувача за допомогою перевірки секретного коду або біометрії користувача.

 

Чи є альтернатива?

 

Passwordless Authentication — це дієва заміна пароля, яка набирає популярність. Згідно з дослідженням, у 2023 році понад 71% респондентів серед ІТ-фахівців у віці 30 років і молодше віддавали перевагу безпарольній автентифікації.

FIDO2/WebAuthn наразі вважається «золотим стандартом» автентифікації. Він працює на основі криптографії, що передбачає обмін публічного та безпечне зберігання приватних ключів. Отже, автентифікація стає стійкою до фішингу та інших видів атак на основі паролів.

Стандарт FIDO2/WebAuthn підтримується операційним системами Windows, MacOs, Linux, Android, iOS і багатьма браузерами, такими як Chrome, Safari, FireFox, Microsoft Edge. Апаратні ключі безпеки, на кшталт Hideez Key, вже сертифіковані за цим стандартом і мають можливість підключення через Bluetooth, NFC та USB, що значно розширює можливості їх використання.

У 2023 році з’явилася найновіша імплементація стандарту для звичайних користувачів, яка називається Passkeys. Вона дозволяє зареєструвати ваш власний телефон, планшет, або компʼютер як власний ключ безпеки та використовувати вбудований біометричний сенсор для автентифікації у різних вебсервісах та додатках.

Згідно з опитуваннями, понад 70% користувачів вважають такий метод зручнішим за одноразові коди, голосові повідомлення та інші традиційні методи двофакторної автентифікації. І що найголовніше — це захищає вас від фішингових атак і повністю прибирає паролі.

 

Як налаштувати автентифікацію без пароля

 

• Переконайтеся, що ви розумієте, як усі працівники наразі входять у систему. Чи відбувається ця автентифікація по-різному залежно від того, де вони перебувають? Які пристрої та операційні системи вони використовують?
• Підготуйте інфраструктуру для використання безпарольної автентифікації. Водночас бажано впровадити сервіс, що може реалізувати єдиний вхід (Single-Sign-On) у вебсервіси та додатки.
• Налаштуйте різні варіанти безпарольної аутентифікації. Залежно від сценаріїв використання для різних груп користувачів можна визначити найзручніший варіант для себе:
  – Passkey — власний телефон, планшет або ПК як власний ключ безпеки;
  – Мобільний додаток на телефоні;
  – Апаратний ключ безпеки із вбудованим біометричним сенсором або без нього.

 

 

Паролі були основним методом захисту систем з 1960-х років, коли професор Массачусетського технологічного інституту Фернандо Корбато представив їх у сумісній системі розподілу часу (CTSS). Відтоді паролі є наріжним каменем цифрової безпеки, діючи як воротарі для особистих і робочих даних. Однак в епоху, коли загрози кібербезпеці стають все більш витонченими, покладатися лише на паролі вже недостатньо.

Наразі існує безліч шляхів атаки на інфраструктуру. Загалом кажучи, бізнес-інфраструктура — це як середньовічне місто, до якого ведуть різні дороги. Щоб у місто не зайшли розбійники, потрібно на кожному вході поставити охорону.

У нашому випадку під охороною мається на увазі впровадження багаторівневої стратегії кібербезпеки, яка враховує захист облікових записів, керування привілеями доступу, послідовний моніторинг, налаштування прав користувачів та безпечного віддаленого доступу.

 

Рішення та методи для комплексного захисту

 

Сучасному бізнесу потрібен більш комплексний підхід до захисту своїх цифрових активів, який враховував би не тільки ІТ-адміністраторів, а й кожну групу користувачів.

Розглянемо всі групи окремо.

Бездоганний досвід для співробітників: єдиний вхід (SSO), багатофакторна автентифікація (MFA) та інші функції забезпечують безпечний доступ без шкоди для продуктивності.

Детальний контроль для ІТ-адміністраторів: керування привілейованим доступом (PAM) дозволяє призначати певні ролі та дозволи, забезпечуючи користувачам доступ лише до ресурсів, необхідних для виконання їхніх завдань. Це знижує ризики без шкоди для ефективності роботи.

Cloud Architect: архітектори потребують рішень, які інтегруються з хмарною інфраструктурою, щоб забезпечити стабільну безпеку на всіх платформах. Отже, рішення має підтримувати хмарні додатки та гібридні середовища, дозволяючи архітекторам керувати хмарними ресурсами та захищати їх без впливу на продуктивність.

Захист програмних облікових записів: окрім керування доступом людей, організації також повинні захищати технічні облікові записи, такі як токени, ключі API та інші. Це дозволить адміністраторам централізувати контроль, автоматизувати ротацію секретів і контролювати доступ, забезпечуючи безпеку автоматизованих процесів і міжмашинного зв’язку.

 

Які переваги впровадження системи управління обліковими записами

 

Інтелектуальна платформа захисту облікових записів гарантує безпечний доступ з мінімальними привілеями, виявленням загроз та реагуванням у реальному часі. Ось кілька її переваг:

• Зниження ризику внутрішніх загроз завдяки обмеженню доступу до конфіденційної інформації
• Суворий контроль доступу до локальних і хмарних програм, служб та ІТ-інфраструктури.
• Зменшення потенційного впливу зломів
• Підвищення підзвітності за допомогою детального журналювання та журналів аудиту
• Оптимізація робочих процесів
• Зменшення навантаження на ІТ-команди
• Збереження високого рівня безпеки

 

 

Культура кібербезпеки — це система цінностей, норм та поведінки, у якій захист даних від кіберзагроз стає пріоритетом для всіх співробітників на всіх рівнях. Власне, співробітники — це ваша перша лінія захисту від атак на кшталт фішингу та соціальної інженерії, які стають все популярнішими.

Упровадження культури кіберобізнаності в компанії починається з підтримки керівництвом. Саме керівники задають потрібний тон, який згодом мотивує всіх співробітників.

Освітня програма має два підходи:

• постійний – для нагадування про активні загрози й нові тактики хакерів
• орієнтований на нових співробітників для вивчення основних принципів кіберобізнаності

Ефективність вимірюється за результатами участі в тренінгах, симуляціях фішингу та вікторинах.

Щоб бути ефективними, менеджери з програм кіберобізнаності повинні використовувати такі інструменти, як Security Awareness Index та аналітику, щоб персоналізувати досвід відповідно до потреб кожного учня.

Програма кібербезпеки має охоплювати:

• Розсилки новин з інформацією про нові кіберзагрози та порадами з кібербезпеки
• Вправи на імітацію фішингу
• Проведення коротких навчальних модулів
• Гейміфікацію роботи

Оновлення програм має відбуватися принаймні щокварталу.

Втім, самих тренінгів недостатньо для запобігання найпоширенішим загрозам. Для побудови ефективного захисту від типових і цілеспрямованих фішингових атак необхідне поєднання тренінгів і симуляції фішингу.

Кіберообізнаність формує більш відповідальну поведінку користувачів, які починають жвавіше реагувати на нетипову активність, звертатися за допомогою до фахівців з безпеки, коли помічають щось незвичне, та дбати про захист даних.

 

Як навчальна програма впливає на мотивацію співробітників

 

Завдяки тренінгам користувачі:

• Не бояться поставити запитання, коли не знають, як вчинити — наприклад, як відправити конфіденційний документ електронною поштою
• Повідомляють про нетипову активність — наприклад, знайшли документ із конфіденційними даними у відкритому файлообміннику
• Не бояться зателефонувати фахівцям з безпеки, коли вони зробили щось не так — наприклад, інформують службу безпеки після того, як помилково ввели пароль на фішинговому вебсайті
• Допомагають, коли помічають небезпечну поведінку — наприклад, коли конфіденційний документ залишено на принтері або розблокована робоча станція залишена без нагляду

 

Що отримує компанія, якщо впроваджує регулярні тренінги:

 

• Зменшення ризиків, кількості інцидентів та пов’язаних із ними витрат і репутаційних збитків
• Економію часу та грошей
• Підвищену продуктивність, адже організації та їхні працівники залишаються працездатними й продуктивними
• Відповідність внутрішнім політикам, регуляторним та галузевим стандартам
• Відповідність контрактним угодам та вимогам кіберстрахування
• Розширення можливостей та зростання співробітників

 

 

На мою думку, у контексті трендів захисту даних головними залишаються DLP, CASB та Zero Trust. Вони стабільно допомагають компаніям збудувати надійний захист від витоків конфіденційної інформації.

Розглянемо кожний детальніше.

 

DLP

 

Data Loss Prevention (DLP) — це запобігання витокам конфіденційних даних (навмисним чи випадковим) завдяки аналізу потоків інформації, яка виходить за периметр організації.

DLP необхідно застосовувати як in transit (тобто, коли дані намагаються вивантажити з корпоративного середовища), так і at rest (коли співробітники зберігають корпоративні дані в незахищеному вигляді в SaaS застосунках, на кшталт Salesforce, Google Drive, M365 та інших).

Optical Recognition для DLP так само є однією з ключових функцій, яка дає змогу сканувати зображення на наявність конфіденційних даних.

 

CASB

 

CASB (Cloud Access Security Broker) — це система, що діє як посередник між користувачами та хмарними ресурсами, забезпечуючи контроль доступу, моніторинг активності та відповідність нормативним вимогам. CASB інтегрується з SaaS-додатками компанії та сканує дані додатків на наявність відкритої конфіденційної інформації.

Наприклад, в зоні інтересу брокера безпеки — PDF-документ у відкритому доступі без пароля в корпоративному Google Drive, документ, розшарений публічно у Salesforce тощо.

Інтеграція DLP і CASB дає змогу запобігти витоку корпоративних даних at rest.

 

Zero Trust

 

Метод Zero Trust (або «нікому не довіряй, всіх перевіряй») будується на принципі відсутності довіри «за замовчуванням». Кожен запит до ресурсів має бути аутентифікований, незалежно від того, звідки він надходить — із корпоративної мережі, від віддаленого співробітника, з кафе чи аеропорту. Всі запити видимі та залоговані, що полегшить розслідування інцидентів, якщо такі виникнуть.

Головна мета Zero Trust як моделі безпеки — зменшити поверхню атаки організації. Користувач отримує доступ тільки до тих ресурсів, які необхідні для виконання робочих обов’язків. До того ж Zero Trust зводить до мінімуму збиток у разі виникнення атаки, обмежуючи порушення однією невеликою ділянкою за допомогою мікросегментації, що також знижує вартість відновлення.

Zero Trust мінімізує вплив крадіжки облікових даних користувачів і фішингових атак, бо вимагає використання декількох факторів аутентифікації. Це допомагає усунути загрози, що обходять традиційні засоби захисту периметра. Так само, перевіряючи кожен запит, система безпеки Zero Trust знижує ризик, створюваний вразливими пристроями, включно з пристроями IoT, які часто складно захистити й оновити.

Налаштувавши метод Zero Trust, команда з інформаційної безпеки забезпечує захист всіх ресурсів компанії: self-hosted додатків, SaaS, приватних мереж, пристроїв співробітників і даних на них та інших.