Як підтримувати комплексну IT-безпеку компанії — на прикладі інструментів Microsoft

Привіт. Мене звати Ігор Андрощук. Я Cloud Solutions Engineer у компанії SMART business. Понад 16 років працюю у сфері інформаційних технологій та надаю послуги з впровадження хмарних технологій від Microsoft, зокрема комплексних рішень для підтримки інформаційної безпеки бізнесу.

Тому й розповідати про стратегію захисту компанії від кіберзагроз буду з точки зору саме цих інструментів. Безумовно я розумію, що є альтернативи від інших постачальників ПЗ, але якщо ви, як і більшість компаній на українському ринку, вже використовуєте рішення Microsoft — наприклад, Microsoft 365, Dynamics 365 або сервіси Azure, має сенс підтримувати єдину екосистему. Це зручно і для IT- спеціалістів з точки зору налаштування та обслуговування, і для адаптації користувачів.

Кібератаки в Україні 2022: огляд загальної ситуації

Перш ніж перейти до огляду інструментів, які допоможуть виявити наявні вразливості та посилити кібербезпеку бізнесу, пропоную подивитися на загальну тенденцію хакерських атак за минулі півроку.

Перший масштабний інцидент стався в ніч з 13 на 14 січня, коли від дій кіберзлочинців постраждало близько 70 сайтів урядових організацій та банків. Продовж останніх 6 місяців ми регулярно бачимо заяви Урядової команди реагування на комп’ютерні надзвичайні події України про активність хакерів. За даними CERT-UA у першому півріччі 2022 року було зафіксовано 1350 кібератак.

Кіберзлочинці атакують не тільки сайти державних органів, а і представників фінансового, комерційного, телекомсектора та інших. На жаль, неправомірні дії стосуються не тільки IT-спеціалістів, які вимушені швидко ліквідувати наслідки, а й людей, які не мають відношення до війни у цифровому середовищі. Один з таких промовистих прикладів стався 5 липня, коли хакери перервали трансляцію футбольного матчу між Україною та Уельсом на стрімінговій платформи Oll.tv. Замість кадрів гри на екрані з’явилися відео з російською пропагандою.

Безумовно, українські хакери теж атакують ворога. За даним Мінцифри з 26 лютого по 30 липня наша IT-армія заблокувала понад 600 російських онлайн-ресурсів.

Тож усім нам доводиться працювати у режимі цифрової небезпеки й перед IT-спеціалістами стоїть завдання знайти критичні вразливості, мінімізувати потенційні ризики та посилити наявну стратегію безпеки компанії. Розкажу детально, як це робимо ми. Сподіваюсь, наш досвід стане корисним для інших фахівців з безпеки.

Чому стратегія безпеки Zero Trust

В організації стратегії безпеки компанії будь-якого масштабу з будь-якої галузі, Microsoft рекомендує орієнтуватися на модель захисту Zero Trust. Вона адаптована до складного сучасного середовища й дозволяє захищати користувачів, пристрої, програми, дані та інфраструктуру. Це особливо актуально останні 2 роки, коли співробітники багатьох компаній почали працювати віддалено та з різних країн.

Модель Zero Trust працює за наступним принципом: чим більшу кількість сервісів ми налаштуємо для захисту інфраструктури компанії, тим більше сигналів про порушення безпеки зможемо отримати та швидко відреагувати на них.

Identities: рішення для управління ідентифікацією та доступом

Основою захисту за моделлю нульової довіри й першим, з чого розпочинаємо впровадження політик безпеки, є налаштування сервісів для ідентифікації.

В деяких компаніях співробітники продовжують використовувати Basic authentification, що передбачає використання ім’я користувача та пароля для запитів доступу. Такий спосіб аутентифікації більше не забезпечує захист конфіденційності облікових даних і залишає зловмисникам можливості для атак.

Саме тому базова ланка захисту в Identity — це налаштування Modern authentification, що передбачає використання сучасного метода аутентифікації — MFA. Це додає до процесу входу ще один рівень захисту.

Таким чином завдяки MFA з’являється додатковий рівень захисту під час входу в облікові записи, що, за даними Microsoft, знижує ризики їх компрометації на 99,9%.

Також у ланці захисту Identities є ще одна вкрай важлива функція для управління доступом — Conditional-access.

Це налаштування механізму перевірки кожного процесу підключення до корпоративної системи на основі створеного сценарію з можливостями заборонити доступ, дозволити без умов чи дозволити з умовами.

Endpoint: захист кінцевих точок компанії

У сучасних компаніях є великий «зоопарк» девайсів, які:

• управляються компанією,
• управляються співробітниками — BYOD,
• управляються сторонніми організаціями.

Це відкриває необмежені можливості для атак. Налаштування сервісів Endpoint Management, серед яких першочергово використовують Microsoft Intune, дає змогу управляти мобільними пристроями Intune (MDM) та управляти програмним забезпеченням Intune (MAM).

Наприклад, коли користувач пройшов ідентифікацію у корпоративному обліковому записі та отримав доступ до документа з конфіденційною інформацією, необхідно запобігти збереженню цього документа в незахищеному місці або заборонити його спільне використання у месенджері, який не є корпоративним.

За наявності політик захисту Intune MAM, співробітники можуть передавати або копіювати дані тільки в довірених офісних програмах, таких як Word, Excel, Adobe Acrobat Reader, і зберігати їх тільки в надійних місцях, таких як OneDrive або SharePoint.

Intune MDM забезпечує централізоване керування кінцевими пристроями на платформах Android, iOS, Windows, MacOS.

Наприклад, при втраті пристрою або його крадіжці, можна віддалено видалити всі дані з нього. Працює це наступним чином: адміністратор через панель керування пристроями вибирає необхідний і запускає процес видалення. Якщо опцію «зберегти дані» не обрано, то всі дані облікового запису видаляються. Процес повторюється до успішного результату навіть після перезавантаження або відключення пристрою. І важливо те, що працює ця функція на Windows, Android, iOS, MacOS.

До речі, можливо також обмежувати встановлення додатків. Можна створити списки дозволених додатків в розділі Policy. Для цього необхідно лише додати посилання на додаток в магазині.

Для комплексного захисту кінцевих точок використовуємо сучасну платформу безпеки — Microsoft Defender for Endpoint.

Це рішення дає змогу швидко зупиняти атаки, масштабувати ресурси системи безпеки й удосконалювати захист для Windows, macOS, Linux, Android, iOS і мережевих пристроїв. Завдяки цьому можна контролювати свою інфраструктуру, протидіяти складним загрозам і реагувати на оповіщення з єдиної уніфікованої платформи, використовуючи інструменти та аналітику Microsoft Defender for Endpoint.

Data Protection: безпечна робота з корпоративними даними

У будь-якій компанії присутні об’єми даних, які необхідно захищати. Для цього у Microsoft є відповідні сервіси, які об’єднані у напрямок Data Protection.

Усю наявну в компанії інформацію треба спочатку класифікувати, щоб виявити надчутливі дані, визначити, де вони знаходяться, які групи користувачів мають до них доступ, та централізувати їх. Для застосування гнучких захисних дій, що включають шифрування, обмеження доступу та візуальне маркування використовується робота з мітками. Також необхідно визначити, яка інформація надається тільки для внутрішнього використання і є конфіденційною, та запобігти її випадковому поширенню за межами корпоративного середовища. Для цього треба використовувати можливості сервісу DLP (Data Loss Prevention).

Захист пошти: як співробітникам не потрапити на гачок кіберзлочинців

Ми розглянемо комплексний підхід для захисту пошти з урахуванням найбільш поширених вразливостей. Якщо в компанії використовують пошту Exchange online, вона за замовчуванням включає хмарну службу Exchange online protection.

Це перша ланка фільтрації пошти, яка захищає вашу компанію від спаму, шкідливих програм та інших загроз електронної пошти. Але є ризик отримання листів зі шкідливими посиланнями або вкладеннями, тому я рекомендую організувати додатковий рівень захисту за допомогою Microsoft Defender for office 365. Для цього необхідно використовувати Microsoft Defender for office 365 Plan 1, яка включає розширені можливості запобігання загроз, наприклад, безпечні посилання — safe link, та безпечні вкладення — safe attach.

Safe link — функція, яка забезпечує сканування URL-адрес та допомагає захистити компанію від шкідливих посилань, що використовуються під час фішингу та інших атак.

Safe attach — функція, що забезпечує додатковий рівень захисту для вкладень електронної пошти перед їхньою доставкою одержувачам, а також допомагає захистити організацію від непередбаченого обміну шкідливими файлами в SharePoint, OneDrive та Microsoft Teams.

Як ваші співробітники будуть поводитись, якщо кіберзлочинці спробують дізнатися їх особисті дані або надішлють e-mail із запитом перейти за посиланням? Часто зловмисники діють через людей і використовують скомпрометовані адреси для розповсюдження шкідливого ПЗ.

Зі співробітниками треба проводити тренінги та виконувати симуляції фішингових атак, щоб подивитися на їхню поведінку. Можна найняти сторонню компанію для цього або зробити подібну симуляцію самостійно за допомогою Microsoft Defender for Office 365 — такий функціонал є у Plan2. Подібні тренінги підвищать рівень свідомості співробітників, їхньої підготовленості, здатності розпізнавати шкідливі повідомлення та не реагувати на них.

Application: виявлення потенційно небезпечних програм

Щоб зрозуміти, які саме програмні комплекси використовують співробітники компанії й чи є вони надійними та безпечними, необхідно використовувати Microsoft Defender for Cloud Apps. Це рішення забезпечує повний контроль над конфіденційними даними завдяки всебічному моніторингу, аудиту та детальному контролю.

В Microsoft Defender for Cloud Apps є інструменти, які допомагають виявляти тіньові ІТ-ресурси (Shadow IT) та оцінювати ризики, а також дозволяють застосовувати необхідні політики безпеки та проводити розслідування інцидентів.

Infrastructure: організація безпечної роботи в хмарі

Інфраструктура компанії — це критичний вектор загроз. Microsoft Defender for Cloud — це платформа управління безпекою у хмарі та платформа захисту робочого навантаження у хмарі для ресурсів Azure.

Крім того, Microsoft Defender for Cloud дає можливість захищати більшу кількість робочих процесів для таких хмарних платформ, як Amazon Web Services (AWS) та Google Cloud Platform (GCP).

Тобто у сучасної, прогресивної компанії, яка використовує хмарні технології по моделі multi-cloud, є можливість централізовано, з однієї консолі моніторити та налаштовувати політики безпеки.

Network: безпечний доступ до корпоративної мережі

Безпека мережі вже давно не закінчується на обмеженні доступу ззовні. Треба шифрувати всі канали комунікації — зовнішні та внутрішні, обмежувати доступи за політиками, застосовувати мікросегментацію мереж та виявляти загрози в реальному часі.

Для цього у Microsoft розроблено цілий ряд продуктів, наприклад:

Azure Firewall — захист ресурсів віртуальної мережі Azure за допомогою орієнтованого на хмарне середовище брандмауера. Брандмауер Azure розгортається за хвилини, запобігає розповсюдженню шкідливих програм, забезпечує аналіз внутрішнього та зовнішнього трафіку в режимі реального часу та легко масштабується.

Захист від DDoS-атак — служба адаптивної аналітики загроз автоматично відстежує та усуває DDoS-атаки, функція усунення ризиків DDoS-атак очищає трафік на периметрі мережі до того, як трафік може вплинути на роботу додатків та служб.

Для забезпечення захисту мережі у Microsoft також є інші рішення, які слід впроваджувати під потреби конкретної компанії.

До кожної компанії — індивідуальний підхід

Більшість сервісів Zero Trust налаштовується так, що користувач навіть не бачить і не помічає цього — він не включається у цей процес.

Отже, модель Zero Trust забезпечує комплексну безпеку компанії на 6 рівнях. Безумовно, важко впровадити одразу всі рішення, які закривають потенційні вразливості у повному обсязі, тож треба діяти поступово: розробити повний план впровадження безпеки, можливо навіть на пів року або рік, та поетапно розгортати необхідні сервіси.