Определитесь с обновлением ПО
Больше всего шума в 2017 году наделали вирусы WannaCry и Petya. Они использовали схожие уязвимости, поэтому пример WannaCry можно считать типичным для обоих зловредов.
WannaCry был одной из самых массовых атак 2017 года: по оценке Европола, ей подверглись около 200 тыс. компьютеров в 150 странах. Для атаки на столь большое число целей не нужна армия программистов, достаточно одной уязвимости, которой будет подвержено множество пользователей и компаний. Чтобы атака смогла стать массовой, уязвимость, которой она пользуется, должна присутствовать в массово используемом продукте. Например, в операционной системе (ОС). В случае с WannaCry злоумышленники использовали уязвимость в ОС Microsoft Windows, а конкретно – в протоколе удаленного доступа под названием SMBv1. Данный протокол применялся в очень большом спектре ОС – от Windows XP до Windows 10. WannaCry блокировал ОС пользователя и вымогал у него деньги в биткоинах.
Здесь мы подходим к сути проблемы. Еще 14 марта 2017 года, за три месяца до массовой атаки, Microsoft выпустила обновление, устраняющее уязвимость в протоколе SMBv1. Однако установили его далеко не все.
Обновления ПО выходят постоянно: на ОС, на прикладное ПО, на оборудование и т. д. Можно сказать, что они сыпятся как из рога изобилия. Однако зачастую пользователи не спешат их устанавливать. Причина не только в лени или забывчивости, а в том числе в желании проверить, не сломает ли обновление что-то критически важное в компании. Ведь если IT-специалист бездумно будет ставить все обновления подряд, это может привести к серьезным последствиям для любой компании, зависимой от IT-систем. Так что же делать?
Если вы аудитор, владелец или просто ключевой пользователь IT-системы, поинтересуйтесь у ответственных за нее IT-специалистов, как часто ставятся все требуемые обновления для вашей системы. И есть ли среди неустановленных обновлений относящиеся к информационной безопасности.
Совет № 1: потратьте час времени и совместно с IT-специалистом разработайте подход к установке обновления ПО и всех поддерживающих его систем так, чтобы не пострадали ваши бизнес-процессы, а ваша система максимально оперативно получала все обновления информационной безопасности. В компании должен быть процесс установки обновлений ПО и операционных систем с указанием владельца процесса, ответственных за установку обновлений и контроль установки обновлений, а также четкие временные рамки установки обновлений в зависимости от степени критичности информационных систем и сервисов.
Проверяйте внешние порты
WannaCry и Petya наделали много шума как в компаниях, так и в СМИ. Но часто самыми опасными являются не те атаки, которые сразу заметил весь мир, а те, что остаются незамеченными. Одним из видов хакерской атаки является получение доступа (естественно, никем не санкционированного) к IT-системам компании. Что может делать с этим доступом злоумышленник? В сущности, всё что угодно. В случае с банками – получить полный доступ к счетам, персональным данным и другой информации клиентов, которая хранится в базах данных компании.
Есть множество подходов к тому, как злоумышленники получают данный доступ. Мы остановимся на подходе, который для злоумышленника имеет широкий охват и часто не требует большого количества усилий. Это мониторинг специфических сетевых портов. И в случае, если они открыты, попытки с их помощью получить доступ к информационным системам.
Как ведут себя злоумышленники? Есть множество сервисов, позволяющих проверить, открыты ли порты, используемые для управления системами и сервисами (например, SSH (порт 22), TELNET (порт 23), RDP (порт 3389)). Пример подобного сервиса. Это что-то вроде Google, только о сетевых портах, типах используемого оборудования, наименованиях и версиях используемого ПО.
Помимо этого, в свободном бесплатном доступе находятся инструменты для тестирования информационных систем и сервисов компаний на уязвимости. Стоит отметить, что порог начального вхождения в данную область крайне низкий и не требует проведения специальной подготовки, что позволяет потенциальному злоумышленнику приступить к возможному осуществлению своих злонамеренных действий сразу же после установки специализированного ПО.
Примером таких инструментов являются популярные среди специалистов по практической информационной безопасности дистрибутивы операционных систем с предустановленным и настроенным программным обеспечением (например, Kali Linux, BlackArch Linux, ParrotSec), а также отдельные инструменты хакерских группировок, которые стали доступны широкой общественности. Например, набор специализированного ПО, созданного группировкой Equation Group, включающий различные инструменты для получения доступа к сетевому оборудованию, операционным системам и сервисам.
Зачем злоумышленнику знать, какие порты у вас открыты? Если, например, открыт порт SSH, можно «натравить» на него программу подбора пароля. Данная программа будет бесконечно подбирать пароль к какой-нибудь учетной записи, например admin. И как только пароль будет подобран – путь открыт. Дальнейшие выгоды для взломщика и, соответственно, ущерб для жертвы будут зависеть от профессионализма и желаний злоумышленника.
Помимо учетных записей администраторов, лакомой целью для злоумышленника может являться получение доступа к технологическим учетным записям, часто имеющим широкие полномочия. Но контроль за ними значительно ниже.
Совет № 2: попросите IT-специалистов (и убедитесь в этом сами) выполнить следующие пять базовых условий:
Разберитесь с подрядчиками
Почти в каждой компании уже есть хорошо организованные и удобные «ворота» в информационные системы. Они используются для систем, которые поддерживаются не внутри самой компании, а внешними подрядчиками. Довольно удобным вариантом для атаки может служить использование легитимных доступов ваших поставщиков IT-решений, то есть компаний, предоставляющих услуги технической поддержки, сопровождения информационных систем и сервисов.
Часто, даже заметив, что пользователь делает какие-то необычные действия, администратор может списать это на работы по поддержке IT-системы. В качестве примера вернемся к кибератаке Petya. В ходе этой атаки злоумышленники сначала взломали крупного поставщика ПО, а уже затем, пользуясь его легальным каналом, атаковали банки и другие организации. Аналогичный случай произошел в середине декабря – атака осуществлялась через популярную систему SWIFT.
Совет № 3: для минимизации данного риска необходимо четко и в любой момент быть готовым ответить самому себе на три стандартных вопроса:
1. Кто к нам подключается?
Для ответа на этот вопрос необходимо наладить процесс управления учетными записями сотрудников внешней технической поддержки. В том числе:
- использовать ограниченный срок действия учетных записей;
- ввести ответственность руководителей IT-подразделений за контроль действий данных сотрудников;
- своевременно информировать о необходимости блокировки учетных записей аутсорсеров/подрядчиков в случае их увольнения.
2. Когда к нам подключаются?
Имеет смысл внедрить систему управления работами подрядчиков и предоставлять им доступ в корпоративную сеть только при необходимости решения инцидентов или проведения плановых работ.
3. Как к нам подключаются?
Можно внедрить механизм двухфакторной аутентификации для внешних подключений в корпоративную сеть компании. В этом случае, помимо использования стандартного механизма аутентификации (логин/пароль/сертификат), сотруднику внешней технической поддержки необходимо будет вводить одноразовый пароль, который он получает, например, с помощью СМС-сообщения.
Протестируйте своих сотрудников
Какими бы совершенными ни были системы и процессы обеспечения ИБ, самым уязвимым местом является конечный пользователь – сотрудник компании. Стоит ему лишь однажды допустить ошибку и открыть файл в письме или перейти по вредоносной ссылке, и риск возникновения инцидента ИБ, а в конечном счете взлома информационной системы значительно возрастает. Поэтому проблематика обеспечения информационной безопасности компании должна быть делом каждого сотрудника, а не только специалистов по IT или ИБ.
Совет № 4: необходимо наладить в компании два ключевых механизма. Во-первых, информировать сотрудников об актуальных угрозах и методах работы злоумышленников. Во-вторых, регулярно тестировать уровень осведомленности сотрудников по вопросам обеспечения ИБ. В качестве такого тестирования могут быть использованы следующие методы:
Как и в жизни, в современных информационных технологиях самые простые ошибки зачастую являются самыми массовыми и опасными. Прежде чем вкладывать огромные деньги в новые системы информационной безопасности, научите своих IT-специалистов уделять внимание простым и базовым вещам. Ведь если у информационной безопасности нет хорошего фундамента, то нет смысла выстраивать на нем сложные многоуровневые системы защиты.
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
Президент России Владимир Путин во время "Итогов года" рассказал о значительном росте налогов в новых регионах России. Это связано, прежде всего, с увеличением налогооблагаемой базы и восстановлением предприятий...
Минфин России в рамках поручения президента РФ Владимира Путина, которое было сделано на совмещенной прямой линии и пресс-конференции, изменит правила "Семейной ипотеки", чтобы убрать из программы механизм...
Центробанк России объявил официальный курс доллара США на завтра, 20.12.2024. Курс составит 103,4207 руб. Таким образом, курс доллара США повысился на 64,4 коп. по сравнению с сегодняшним курсом. Официальный...
Право на такую дифференциацию предусмотрено НК, но не установлено деталей. Так что Минфин не против различных ставок по месяцам. Минфин напомнил, что законом 176-ФЗ был введен туристический налог. Налоговые...
Быстрее всего в 2024 году зарплаты росли у водителей, сварщиков и промоутеров. За уходящий год предлагаемые в РФ зарплаты увеличились на четверть — с 58 тыс. в 2023 году до 71,8 тыс. рублей в текущем году,...
Центральный Банк готов рассмотреть вопрос введения тестирования на предмет финансовой грамотности для тех, кто хочет взять ипотеку. Такая информация содержится в ответе регулятора на письмо замруководителя думской...
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
Казахстанскую продукцию планируют продвигать в торговой сети Grandiose в
ПодробнееЗа первое полугодие 2024 года Мангистау посетили около 250 тыс. туристов из
ПодробнееВице-министр сельского хозяйства Амангалий Бердалин посетил порт Саржа в
ПодробнееПрезидент России Владимир Путин во время "Итогов года" рассказал о значительном
ПодробнееМинфин России в рамках поручения президента РФ Владимира Путина, которое было
ПодробнееЦентробанк России объявил официальный курс доллара США на завтра, 20.12.2024.
ПодробнееЭкономика сегодня
ЦБ установил официальные курсы валют на 18 декабря. Рубль прекратил рост к американской валюте, однако продолжил укрепляться к евро. Курс доллара вырос на 0,0854 рубля, составив 102,9979 рубля (102,9125...
Подробнее Система гарантирования вводится в сегменте страхования жизни. Механизм защиты будет аналогичен действующим системам страхования вкладов в банках и накоплений в негосударственных пенсионных фондах и начнет действовать...
Подробнее Российская валюта укрепилась к доллару и евро. Официальный курс доллара, установленный Центробанком на 18 декабря 2024 года, составляет 102,9979 рубля (прежнее значение ...
Подробнее Аналитики повысили прогноз по средней ключевой ставке Банка России на 2024 год с 17,3% до 17,5%, показал макроэкономический опрос ЦБ...
Подробнее На торгах 11 декабря доллар, евро и юань стремительно взлетели к рублю. Китайская валюта по итогам сессии прибавила около 4,5%, превысив отметку 14,7 рубля. На внебиржевых торгах доллар укрепился более чем на 4 рубля, поднявшись почти до 107 рублей. Евро вырос на сопоставимую величину, пробив
Подробнее Центробанк установил официальные курсы доллара и евро на 12 декабря. Рубль ускорил падение к американской и европейской валютам.
Подробнее
Комментарии (0)