Кібервразливість бізнесу під час війни. Як протидіяти?

Привіт, мене звати В’ячеслав Віскушенко, я InfoSec Business Partner у SoftServe. 24 лютого росія перейшла у повномасштабний наступ на Україну, а до того активно намагалася атакувати нас на кіберфронті. Перші місяці 2022-го багатьом запам’ятаються масовими кібератаками, яких ще не було в історії України.

З початку року урядова команда реагування на надзвичайні події CERT-UA зареєструвала та опрацювала 5 970 кіберінцидентів. Під приціл зловмисників потрапляють здебільшого онлайн-ресурси міністерств, держустанов, банків, але загрози не оминають і бізнес.

Хоч зараз найбільш запекле протистояння перемістилося з кібер на справжній фронт, не варто забувати про цифрову безпеку. Сьогодні бізнес є одним із важливих стовпів, на якому тримається українська економіка, і мусить дбати про свої вразливі точки.

Багатьом здається, що вони достатньо захищені від можливих атак, або «нікому не цікаві». Але насправді ці думки оманливі, і часто стають причиною непідготовленості бізнесу до ризиків, а в результаті — втрат, як фінансових, так і репутаційних. У цій статті ми з нашою командою з інформаційної безпеки спростовуємо п’ять основних міфів у питаннях кібербезпеки.

Міф 1. Нас не атакували раніше, отже й не будуть зараз

Довготривала відсутність інцидентів ще не означає, що вони не можуть трапитися в майбутньому. Сучасні інформаційні системи буквально щодня удосконалюються та стають складнішими, і разом з тим зростає вірогідність виникнення помилки або вразливості, що буде використана зловмисниками.

Нещодавній приклад — виявлена вразливість Log4j, що дозволяла зловмисникам запускати неавторизований віддалений код в цілому ряді систем різного класу: від звичайних вебсерверів до різного роду програмно-технічних комплексів та додатків. Прогалина в маленькому сервісі, на якому будуються десятки, а то й сотні тисяч продуктів (в тому числі Steam, Minecraft, Blender, LinkedIn, VMware) відкрила двері хакерам до розробок світового рівня.

Також, якщо ви не бачите безпосередніх негативних наслідків вже сьогодні, це ще не означає, що нічого негативного не відбулось чи не відбувається прямо зараз. Сучасні організації повинні мати на озброєнні достатній рівень моніторингу за своїми інформаційними системами, щоб аргументовано стверджувати про відсутність негативних факторів впливу на власні системи.

Для цього впевніться, що продукти, які ви використовуєте та впроваджуєте, відповідають сучасним вимогам інформаційної безпеки. Як не дивно, але війна не особливо впливає на підходи до забезпечення безпеки у кіберпросторі. Американська державна організація CISA опублікувала відповідний чек-ліст для самоконтролю, однак він майже не містить нічого особливого або нового, що не мало б використовуватися і до війни.

Налаштуйте ITSM процес. ITSM (Information Technology Service Management)  ряд активностей, направлених на проєктування, створення, надання, керування та контролю послуг з інформаційних технологій (ІТ), які пропонуються клієнтам організації (як внутрішнім, так і зовнішнім). ITSM дозволяє систематизувати та формалізувати всі описані вище активності. З його допомогою ви зможете ефективно систематизувати ваші ресурси, а також впроваджувати контролі якості надання ваших послуг і контролі інформаційної безпеки. Основним джерелом знань у встановленні цього процесу є ITIL (Information Technology Infrastructure Library).

Моніторте аномалії. Впевніться, що є команда, яка відповідає за моніторинг систем не лише з боку загальноприйнятих метрик ІТ, але й за відповідний моніторинг подій та виявлення аномалій з точки зору інформаційної безпеки.

Пересвідчіться, що журнали систем перевіряються на предмет виявлення аномалій, а також, що у вашій інфраструктурі проводиться регулярне сканування вразливостей та встановлення актуальних патчів.

Найкращою практикою є впровадження SIEM (Security Information and Event Management) системи відповідними фахівцями, які стали б частиною вашого власного або аутсорсингового Центру інформаційної безпеки.

Міф 2. Наші партнери точно захищені і для нас немає жодних ризиків

Все більшого розповсюдження набирають атаки по типу «Supply Chain», коли доступ до інформаційних систем цільової жертви отримують через третю сторону (партнерів, постачальників), яка має певний рівень довіри та взаємних інтеграцій інформаційних систем. Тому через вразливості у ваших системах зловмисники можуть атакувати партнерів, і навпаки — через партнерів атакувати ваш бізнес.

Також необхідно зауважити, що будь-яка інформація, яка не цікава сама по собі, може стати дуже цінною у поєднанні з інформацією з інших джерел. Тож питання організації кібербезпеки не мають ігноруватись рівноцінно як в середині компанії, так і при виборі способу взаємодії із підрядниками. Перевірте, чи ваші партнери приділяють достатньо уваги цьому питанню.

Перевірте сертифікації партнерів та їхню політику щодо кібербезпеки. Якщо вони не мають визнаних сертифікатів у галузі забезпечення кібербезпеки (ISO 27001/SOC2/CoBIT), то принаймні поцікавтеся, яка їхня політика щодо захисту інформаційних систем. Чи існує у них налаштований моніторинг систем з точки зору безпеки? Які підходи вони використовують для виправлення вразливостей? Яким чином забезпечують безпеку робочих станцій своїх працівників? Як пересвідчуються у надійності власної «хмарної» інфраструктури?

Ці кроки дозволять вам зрозуміти, чи приділяють ваші постачальники достатню увагу безпеці власних систем і чи потенційно вони можуть стати для вас загрозою у майбутньому.

Міф 3. Ми добре адаптувалися до віддаленої роботи

Віддалений формат роботи почав переходити з вимушеного у стандартний ще до війни. А нині багато компаній релокують своїх працівників у західні області України або за кордон, де ті працюють віддалено. Але чи означає це, що компанії зробили достатньо, аби гарантувати безпеку використання інструментів віддаленого доступу та захисту інформації?

На жаль, ні. Багато співробітників нехтують простими правилами навіть у звичайних умовах, наприклад, використовуючи персональні хмарні сховища для корпоративних документів, недостатньо захищаючи робочий обліковий запис і так далі. Це все створює ризики витоку корпоративної інформації назовні. Але є кілька простих інструментів, впровадження яких може суттєво знизити дані ризики.

  • Використовуйте корпоративні підписки для віддаленої офісної колаборації, такі як набір інструментів Microsoft Office 365, Google Workplace тощо. Це забезпечить вас спільними інструментами для віддаленої роботи, дасть вам змогу окреслити чіткі правила зберігання та обробки корпоративної інформації, а також дозволить впроваджувати необхідні обмеження та інструменти контролю.
  • Впровадьте використання технології єдиного входу+мультифакторної автентифікації для даних інструментів. Single sign-on (SSO, технологія єдиного входу) — це метод автентифікації, що дозволяє користувачам безпечно увійти відразу в декілька застосунків або сайтів, використовуючи один набір облікових даних. А мультифакторна автентифікація вбереже від зловмисників навіть, якщо користувачі використовуватимуть прості паролі.
  • Встановіть обмеження на розповсюдження документів назовні організації. Вся внутрішня інформація, якою вам потрібно ділитися назовні, повинна мати обмежений доступ тільки для чітко визначеного кола осіб. А якщо можливо, то й на обмежений термін часу. Часто про «відкриті» теки забувають з різних причин (переміщення працівника, звільнення, просто забули), а корпоративна інформація стає знахідкою для несанкціонованого кола осіб.
  • Включіть можливість лейбування та шифрування інформації. Для цього використовуйте Office 365 Sensitivity Labels, Azure RMS, Azure Information Protection тощо. Це унеможливить доступ до кінцевої інформації для несанкціонованого кола осіб.

Міф 4. Ми використовуємо хмарні технології, бо це значно безпечніше, ніж наземна інфраструктура

Використання хмарних технологій на сьогодні дійсно є ефективним інструментом впровадження безпечної та легко розширюваної інфраструктури. Але попри це, хмарні технології мають інші виклики, як от неконтрольоване використання ресурсів хмарних підписок, відсутність утилізації елементів, що вже не використовуються, несанкціонований доступ та відсутність стандартних контролів безпеки. Що з цим робити?

  • Використовуйте Configuration management database (CMDB). CMDB є невід’ємною частиною вищезгаданого ITSM процесу. По-перше інвентаризація наявних ресурсів дозволить вашій ІТ-команді ефективно контролювати їх використання. Ви завжди будете мати уявлення, для чого використовується той чи інший елемент та працездатність якого сервісу він забезпечує. Що в свою чергу допоможе у виявленні аномалій та наявності несанкціонованих змін. По-друге, CMDB стане в нагоді для вашої Security команди. Як основне джерело знань для аналітиків при впровадження контролів безпеки (перевірка наявності отримання логів в SIEM, повнота сканувань на вразливості, наявність антивірусу, тощо), а також при проведенні розслідувань інцидентів.
  • Використовуйте брокери безпечного хмарного доступу (CASB). Хмарні сервіси дозволяють отримати доступ до ваших ресурсів з будь-якої точки світу, але саме тому цей доступ потрібно суворо контролювати. Брокери безпечного хмарного доступу (CASB) дають змогу обмеження доступу для відомого кола осіб з відомої локації. Це є достатньо ефективним контролем безпеки хмарної інфраструктури. Окрім цього, мають бути налаштовані вже згадані технології єдиного входу+мультифакторної автентифікації для ваших користувачів.
  • Відповідність та стандартизація. Перейдіть до стандартизації ваших хмар з точки зору безпеки та проводьте регулярні перевірки відповідності (наприклад, NIST 800-53). Такі рішення, як от Prisma Cloud, Microsoft Defender for Cloud, Check Point CloudGuard тощо дозволять вам пересвідчитись, що впроваджені зміни в інфраструктурі не мають явних недоліків та достатньо налаштовані з точки зору безпеки. Жоден з провайдерів хмарних послуг не забезпечує впровадження таких кроків за замовчуванням, тому їх варто налаштувати самостійно.

Міф 5. Наші заходи з безпеки — достатні

Те, що було достатнім рік тому, часто виявляється вже не актуальним сьогодні. Тому потрібно постійно оновлювати та переглядати заходи з кібербезпеки. Окрім звичайних тестів на проникнення та аудитів безпеки, є кілька активностей, на які варто звернути увагу.

Проведення Red Team/ Blue Team/ Purple Team exercise. Почнемо із визначень:

Blue Team — це ваша або залучена ззовні команда спеціалістів із забезпечення кібербезпеки в межах установи. Вона безпосередньо займається оцінкою загроз та впровадженням відповідних контролів безпеки. Базуючись на власному досвіді, надає рекомендації щодо впровадження необхідних заходів для зменшення ІТ-ризиків, займається виявленням вразливостей та контролем їх усунення в прийнятих до промислової експлуатації інформаційних системах.

Red Team — група людей, уповноважених та організованих для імітації можливих атак потенційного супротивника проти впровадженої стратегії захисту підприємства. Її мета — продемонструвати, якими можуть бути наслідки атак, а також перевірити, які з впроваджених засобів та контролів кібербезпеки працюють та в якому об’ємі для Blue Team у продуктовому середовищі.

Purple Team — безпосередня одночасна взаємодія двох команд Blue Team та Red Team, що працюють над поліпшенням кібербезпеки організації. Може виділитися в окрему команду спеціалістів. Основною метою такої команди є налагодження правильної взаємодії та комунікації між двома командами, усунення можливих проблем під час їх сумісної роботи, фіксація досягнутих результатів та закріплення подальших планів дій.

Всі вищезгадані команди в залежності від бюджету та розміру компанії можуть бути як внутрішніми, так і аутсорсинговими. Зазвичай у багатьох компаній є своя «Blue Team» у вигляді власних спеціалістів, які так чи інакше опікуються питаннями кібербезпеки.

Що ми рекомендуємо, так це повноцінно практикувати «Red Team»-інг та не обмежуватись лише такими активностями як «пентести». Дуже часто внутрішні команди з кібербезпеки зіштовхуються з проблемою валідації впроваджених систем захисту та перевірки на практиці описаних політик та процедур (напр. Інцидент менеджмент).

Залучення «Red Team» є чудовим способом «наживо» перевірити навички вашої команди та отримати досвід, наближений до «бойового». Адже дуже часто описані практики та припущення на папері, виявляються недієвими, коли трапляються реальні інциденти.

Перехід до «Zero Trust» принципів. Нульова довіра — це парадигма кібербезпеки, яку простими словами можна пояснити так: мінімум довіри до всіх, максимум перевірок.

Ось основні принципи zero trust:

  1. Заборона «по замовчуванню» та модель найменших «привілеїв»
  2. Постійна перевірка. Завжди перевіряйте доступ, весь час, для всіх ресурсів.
  3. Обмеження «радіусу вибуху». Зведення до мінімуму впливу зовнішнього чи внутрішнього інциденту. Як приклад: сегментація мережі, розділення середовищ розробки тощо.

Це досить довготривалий і тернистий процес. Для охочих детальніше ознайомитись, почати можна з публікації від NIST. Але всеосяжне впровадження моделі «Zero Trust» надасть вам впевненість у власній безпеці на якісно новому рівні.

У цій статті ми розглянули основні принципи забезпечення кібербезпеки бізнесу, проте цей перелік практик може і має бути набагато ширшим, особливо в умовах ведення війни. Бізнес повинен постійно тримати руку «на пульсі» та приділяти особливу увагу питанням інформаційної безпеки, адже як ми бачимо з нещодавнього досвіду, кіберпростір — це ще одне поле для атак ворога.

Сподобалась стаття? Натискай «Подобається» внизу. Це допоможе автору виграти подарунок у програмі #ПишуНаDOU

👍ПодобаєтьсяСподобалось7
До обраногоВ обраному4
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
такі як набір інструментів Microsoft Office 365

www.cybersecuritydive.com/...​emails-office-365/594763

Підписатись на коментарі