Какую стратегию стоит избрать компании для эффективной защиты своих корпоративных ИТ-ресурсов от взломов и хакерских атак? Об этом мы попросили рассказать консультанта отдела сетевых решений компании "ИТ-Интегратор" Вячеслава Синькова. На основе его ответов мы составили пять актуальных практик, которые помогут крупному бизнесу выстроить киберстену для противодействия самым актуальным угрозам.
Вячеслав Синьков, "ИТ-Интегратор"
В чем отличие от защиты МСБ
В предыдущей статье delo.ua рассказывало о том, как эффективно можно защитить информационные системы компаний малого и среднего бизнеса. МСБ-компании, как правило, не располагают большими средствами, поэтому стараются удешевить свои решения защиты и зачастую довольствуются только самыми необходимыми. Корпоративный же сектор не может позволить себе использовать такой подход. Ведь взлом информационной системы и последующая потеря данных может обойтись компании в сотни миллионов гривен и стоить деловой репутации.
Подписывайтесь на Telegram-канал delo.uaВ этом материале мы хотели бы сделать акцент именно на корпоративном секторе. Киберзащита крупного бизнеса, государственных предприятий и компаний критической инфраструктуры — вопрос, который уже стал стратегическим для отечественной экономики. Цель данного материала — вычленить самые важные факторы, на которые корпоративный сектор должен обратить внимание, чтобы в будущем не терпеть многомиллионные убытки от хакерских атак.
1. Начните с сетевой инфраструктуры
К вопросу защиты информационной безопасности стоит подходить комплексно. Следует провести аудит и понять, что уже сделано в компании для защиты, проанализировать эффективность использования устройств и программ.
Не имеет смысла покупать дорогостоящую систему безопасности, если основные устройства для базового взаимодействия (коммутаторы, маршрутизаторы) не интеллектуальны и не способны обеспечить защиту самих себя. Что уж говорить о дополнительном функционале, нацеленном на защиту передаваемой информации, — дом не начинают строить с крыши!
На этом этапе нужно определиться с тем, кто будет реализовывать политику защиты информационных ресурсов: дополнительный персонал или компания-подрядчик, которой можно отдать это направление на аутсорсинг. Среди преимуществ, которые получит компания, выбрав для этого партнера, — больше экспертизы, опыта, квалификации и работы с разными направлениями.
Далее необходимо разработать своеобразную дорожную карту на несколько лет: какие процессы нуждаются в защите, какие нужно внедрить для этого инструменты, сколько это будет стоить и за какое время это возможно осуществить.
ЧИТАЙТЕ ТАКЖЕ: Взлом через аквариум: как хакеры используют IoT-устройства для атак на компании
В качестве примера можно привести ситуацию с крупной энергетической компанией, для которой "ИТ-Интегратор" разработал концепцию развития защиты на ближайшие пять лет. Специалисты компании провели аудит для понимания состояния инфраструктуры, дальше выявили слабые места и потенциальные угрозы. После этого началось планирование. Заказчик принял эту концепцию и сейчас реализует ее вместе с интегратором.
Важно понимать, что разработка и реализация подобной концепции вовсе не означает, что компании сразу необходимо покупать какое-то оборудование. Работа по такой дорожной карте предполагает максимальное усиление безопасности и закрытие дыр существующими инструментами. А уже на следующем этапе подготовленную инфраструктуру можно будет дополнять более интеллектуальными решениями в течение нескольких лет.
2. Настройте защиту на обнаружение неизвестных угроз
95% всех киберугроз известны, однако самыми опасными остаются остальные 5%: их не могут выявить стандартные средства защиты и межсетевые экраны, или брандмауэры, но они также могут нанести существенный вред.
Для обнаружения неизвестных устройств хорошо себя зарекомендовало решение Cisco Stealthwatch. Оно, в отличие от брандмауэров, не зависит от шаблонов угроз или баз репутаций, а базируется на технологиях машинного обучения, в частности, анализирует поведение в сети, собирая информацию с инфраструктуры безопасности и самой сети.
В течение нескольких недель система анализирует, куда и в какой период заходил пользователь или система (применимо для серверов, других систем и оборудования) сети, какую информацию передавал или скачивал, с кем взаимодействовал. Далее устройство строит базовую модель поведения для конкретного компьютера или аккаунта (системы, устройства). И если вдруг с определенного устройства начинает вестись аномальная активность, то Stealthwatch ее фиксирует, но при этом автоматически не блокирует доступ.
Решение просто дает информацию для специалиста по ИТ-безопасности, который затем ее анализирует и разбирается — может, ничего критичного и не произошло. Что он может сделать дальше? Есть несколько вариантов. Например, запретить доступ к корпоративной сети конкретному пользователю, если в компании есть для этого интеллектуальная инфраструктура, о которой говорилось в первом пункте материала. Или отправить его на карантин, если обнаружит распространение вируса, чтобы избежать заражения других компьютеров.
3. Делайте акцент на комплексной защите электронной почты
Электронная почта по-прежнему остается одним из основных каналов распространения вирусов. При этом в последнее время используется не просто фишинг, а так называемый spearfishing, то есть целенаправленная ловля. При таком виде мошенничества письма с вирусами не рассылаются кому попало. Они тщательно составляются, продумываются и отправляются конкретным лицам в компании. Как правило, больше всего подвергаются таким атакам отделы бухгалтерии, юристы — все те, кто получает много официальных писем и на автомате может открыть зараженное.
Все большее распространение в нашей стране приобретает греймейлинг. Как он работает? Например, популярный магазин часто присылает сообщения, но внизу писем имеет опцию отказаться от рассылки. Пользователь нажимает на эту ссылку и попадается на удочку — за невинной ссылочкой будет скрываться зловредный вирус.
Для борьбы с этим приемом обычной антиспам-системы недостаточно, нужно более интеллектуальное устройство. Таким может быть Cisco Email Security Appliance (ESA), которое, по сути, может исполнять роль почтового сервера. Например, пользователь хочет отправить письмо, однако сначала оно попадает в систему, она его анализирует, и если нет ничего запрещенного, то отправляет его дальше. Таким же образом работает система и на входящих.
ЧИТАЙТЕ ТАКЖЕ: Киберзащита для МСБ: как обезопасить вашу корпоративную сеть и не потратить деньги впустую
После этого администратор системы анализирует полученную информацию и предпринимает меры. Если в каком-то письме обнаружилась вредоносная ссылка или файл, то такое письмо пользователю не попадет, а администратор может запретить использование этих ссылок в будущем.
Стоит помнить, что пока пользователь не взаимодействует со ссылкой, то ничего не происходит, но как только перейдет по ней — последствия могут быть самыми непредсказуемыми. А убыток от вирусов может исчисляться сотнями миллионов.
4. Контролируйте все подключения к корпоративной сети
Важно контролировать доступ к сети компании и оберегать ее от нежелательного вмешательства, которое может нанести вред. В этом вопросе поможет система Identity Services Engine (ISE), контролирующая сетевой доступ и применение политик безопасности. Когда пользователь вводит свои учетные данные в компьютер, он получает свой профиль (набор правил), чтобы понимать, где и с кем он может взаимодействовать, к какой информации у него может быть доступ, а к какой нет. При этом система автоматически все настраивает и контролирует, главное, задать ей необходимые критерии.
Кроме того, она может интегрироваться с упомянутой выше Stealthwatch, чтобы аналитику кибербезопасности было проще понять действия пользователя и в случае обнаружения угрозы максимально быстро перевести его в карантин. Точно так же решение работает и с беспроводными сетями, поэтому можно проконтролировать, кто подключается к Wi-Fi. Если это партнерское или гостевое подключение, пользователь получит только сеть в интернет без доступа к корпоративной сети. К примеру, сотрудник хочет раздавать интернет через точку доступа на смартфоне. Система распознает неизвестное устройство, для которого нет учетных данных, и заблокирует ему доступ к сети компании.
5. Контролируйте взаимодействие сотрудников с интернетом
Распространять вирусы и зловреды злоумышленники любят не только через электронную почту, но и через браузер. Поэтому "окно" для выхода ваших сотрудников во всемирную паутину тоже должно быть безопасным. Здесь на помощь придет решение Web Security Appliance (WSA), которое защищает взаимодействие через веб. Этот продукт умеет анализировать ссылки, по которым переходит пользователь, а также скачанные файлы и содержимое на сайтах на предмет вирусов и угроз.
С помощью Web Security Appliance можно запретить доступ сотрудников к определенному контенту, скажем, играм — зачастую через такие сайты можно подцепить вирусы. Если пользователям нужны соцсети для работы и коммуникации, тогда можно заблокировать игры в самих соцсетях. Это своего рода шлюз, через который идет весь веб-трафик.
Послесловие
В завершение хотелось бы отметить, что всем руководителям компаний стоит знать, что информационная безопасность — это не возможность для заработка, а средство снижения финансовых и репутационных рисков. На безопасности нельзя заработать, но можно избежать многомиллионных потерь или хотя бы минимизировать их.