Как думаете, люди в большинстве своем надежно защищены от кибератак? По данным Positive Technologies, их количество растет каждый год. При этом более 70 % из них имеют конкретную цель. Несмотря на то, что инциденты с участием физических лиц составляют около 12 %, это не значит, что к вопросу личной информационной безопасности можно подходить легкомысленно. Если кто-то украдет ваши данные, он точно найдет способ их монетизировать.
Выбор хакера-2021
Вот характерная деталь — две наиболее популярные уязвимости у злоумышленников в 2021 году. Помните WannaCry? Что-то старое, из докороновирусной эры, верно? На самом деле это вполне себе реалия настоящего. Он активно заражает машины прямо сейчас, а в марте 2021 года количество пострадавших организаций увеличилось в сорок раз по сравнению с октябрем 2020 года.
Вторая популярная активно эксплуатируемая уязвимость этого года находится в устаревшей файлообменной программе Accellion FTA. То есть, огромное количество людей нарушает важнейшее правило «Не пользуйтесь устаревшим ПО» и получает из-за этого огромное количество проблем.
Кроме того, из почтовых ящиков никуда не делись фишинговые письма — самый популярный среди злоумышленников способ «закинуть» вам в систему вредоносное ПО. Они используются в 6 из 10 успешных атак. Это лишний повод внимательно читать письма и сразу напрягаться, если что-то идет не так. А программы-вымогатели (тоже ведь привет из прошлого, верно?) используются более чем в 60 % атак.
И на всякий случай. Если вы работаете в госсекторе, промышленной компании, научном или образовательном учреждении, стоит быть особенно внимательным, общаясь с кем-то в интернете. По статистике, большинство атак направлено именно на эти учреждения и их сотрудников.
Любим обозревать на Хабре самые интересные и дискуссионные темы из мира IT. Если хотите быть в курсе новостей, традиционно входящих в топ читаемых, подписывайтесь на наш блог.
А что насчет дивного корпоративного мира?
Можно согласиться с тем фактом, что у частных лиц в большинстве своем все плохо с обеспечением безопасности, но как насчет корпоративного сектора? Ладно человек, он может не понимать последствий, но в случае с организациями на кону ведь стоят репутация и деньги? Лучшей мотивации для обеспечения безопасности, казалось бы, не найти.
1Password опросил 500 компаний, работающих в сферах IT и DevOps и выяснила, что ситуация следующая — организации знают о своих проблемах, но лишь немногие близки к их решению.
В среднем, четыре из пяти компаний уязвимы для атак, потому что «плохо работают с безопасностью». Причиной этого 1Password называет следующее: современные технологии (облака, микросервисы и другие) позволяют ускорить циклы разработки, однако обеспечение безопасности требует времени (которого нет). Также не редки такие вопиющие ситуации, когда API-токены, SSH-ключи и сертификаты безопасности находятся в конфигурационных файлах. Так разработчики упрощают жизнь себе, а заодно и злоумышленникам.
Стоит признать, что в целом, компании относятся к себе довольно самокритично, около 80 % из них признают, что не справляются с обеспечением нужного уровня безопасности. Сотрудники же рассказывают, что занимаются такой работой без всякой системы и тратят на нее около 25 минут в день. 60% опрошенных компаний сталкивались с утечкой данных в той или иной форме, а более 80 % сотрудников до сих пор имеют доступ к чувствительной информации своего бывшего работодателя.
У каждой четвертой организации, принявшей участие в опросе, чувствительные данные наподобие паролей хранятся более чем в 10 различных точках. А половина респондентов призналась, что даже не знает точного числа этих мест, настолько их много.
И, самый главный (а возможно, самый очевидный) инсайт. Многие сотрудники признают, что никакой стратегии по обеспечению информационной безопасности у них нет. Стратегия здесь — решать проблемы по мере их возникновения. Главное последствие такого подхода — проблем становится все больше, а их решение требует все больше ресурсов. Многие сотрудники утверждают, что работа с корпоративной безопасностью — это «худшая часть рабочего дня».
«В области корпоративной безопасности сейчас абсолютный дикий Запад и чтобы исправить эту ситуацию, требуется изменение мышления», — пишет 1Password в своем отчете.
Что нужно делать?
Совсем недавно ФБР и Агентство по кибербезопасности и защите инфраструктуры США выпустили актуальные рекомендации. Свои советы подготовила и компания 1Password. Характер этих документов позволяет сделать окончательные и очень грустные выводы об общем (очень низком) глобальном уровне информационной безопасности. Озвучим здесь несколько моментов из них.
- На уровне компаний необходимо общее понимание важности информационной безопасности. Организация надежна настолько, насколько надежно ее самое слабое звено. Необходимо выделить на обучение сотрудников достаточное количество времени.
- Внедрение политики информационной безопасности должно быть официальным и задокументированным, чтобы сотрудники поняли, что отношение компании к вопросу серьезное.
- Политика и используемые технологии постоянно должны обновляться и пересматриваться в соответствии с меняющимся характером угроз.
Также среди советов от ФБР (наверняка эти парни что-то знают про безопасность) есть следующие:
- сделайте бэкапы данных;
- не переходите по подозрительным ссылкам;
- вовремя обновляйте ОС и свой софт;
- используйте надежные пароли;
- подключите двухфакторную аутентификацию.
Американские спецслужбы, ради всеобщего блага, даже подготовили полноценные листовки по безопасной работе в интернете, совсем как учитель информатики в вашей родной школе (только выглядят они чуть поинтереснее). Вот материалы по бэкапам, безопасной работе с RDP, необходимости апдейтов, сложным паролям, и двухфакторной авторизации.
Таким образом, чтобы оказаться в прекрасном мире будущего, где все максимально надежно, никого не взламывают и данные не воруются, осталось всего ничего. Соблюдать несложные рекомендации и сделать все посильное, чтобы их соблюдали и другие люди. Звучит не такой уж и сложной задачей.
Комментарии (13)
A1054
06.09.2021 15:46+17О чем статья?
Нет, я ни разу не считаю PR клеймом, но какой-то минимум пользы для читателя и информации должен же быть.
RiddickABSent
06.09.2021 15:56Лучшие друзья начинающего безопасника ЛастПасс + ВераКрипт + ЮбиКей.. или я ошибаюсь?
Darkhon
06.09.2021 19:30+6Почему именно LastPass? Он всё-таки проприетарный, платный. Есть же KeePassXC с открытым исходным кодом.
cahbe
06.09.2021 17:36сделайте бэкапы данных;
А есть хоть кто-то кто ещё не бекапит?
не переходите по подозрительным ссылкам;
И что это даст? В большинстве случаев ссылку вы не видите.
вовремя обновляйте ОС и свой софт;
Напоминаю - "петя" пришёл с обновлением офисной программы медок. обновления винды сами по себе страшнее вирусов.
используйте надежные пароли;
Пришёл на работу где админ использовал надёжный 83457584 значные пароли из знаков, букв, цифр и спецсимволов. Очень удобно. А что бы не забыть все эти пароли хранились в удобном паскее с паролем "кверти"...
подключите двухфакторную аутентификацию.
Не спасает при "утере" телефона. Против лома нет приёма.
engine9
06.09.2021 20:07>А есть хоть кто-то кто ещё не бекапит?
Ха! Стоит выйти из айтишного инфопузыря и пообщаться с людьми далёкими от технологий то можно встретить много всего удивительного. Например, за месяц мне двое людей приносили флешки чтобы скинул фотографии (интернет медленный да не у всех тут) так у людей эти флешки были с огромным количеством данных (судя по папкам, которые хочешь не хочешь, а увидишь когда том примонтируется).
От знакомых слышал за полгода несколько случаев потери важных данных которые так же хранились на флешках или USB HDD. Один потерял курсовую вместе с флешкой, другой убил архив со снимками его пациентов за много лет. Уронил работающий диск на пол с дивана.
А еще один студент, учащийся на сисадмина случайно отформатировал не тот HDD, и вместо того, чтобы немедленно его выкрутить и\или снять образ в контролируемых условиях и на свежую голову, стал его пытаться восстанавливать софтом, который лихорадочно скачивал и тут же применял. Разумеется, указывал тот же том как новое положение восстановленных данных.
И таких историй много...
hddscan
07.09.2021 06:07+2Если кто-то украдет ваши данные, он точно найдет способ их монетизировать.
Какой-то маркетологический слоган.
Мои личные данные крали не менее 20-30 раз. Причем сейчас их крадут практически каждые 2-3 месяца. Складывается впечатление, что у большинства немаленьких компаний секьюрити дырявое, как решето.
Я не знаю, смог ли кто-нибудь монетизоровать мои данные, но лично я пока от этого не сильно пострадал.
ModestONE
07.09.2021 10:38Как у нас с безопасностью?.. Да все также, то есть никак. :) Как пример: admin.rkn.gov.ru - настоятельно не рекомендую вводить что-либо перейдя по ссылке, то есть пытаться залогиниться.
AI4
07.09.2021 14:20+3" и двухфакторной авторизации"
Двухфакторной аутентификации конечно же. Очень хочется верить, что профессионалы просто ошиблись, а то все упорно путают эти понятия...
(Кстати, в документе под ссылкой написано именно "two-factor authenticaton")
kellas
Интересно как в it-сфере обеспечение своей безопасности переносится на пользователей(компании). Как будто условный wannacrypt обстоятельство непреодолимой силы или какой-то природный катаклизм.
То есть вот как у нас с защитой автомобилей от поджёгов? - спойлер: все очень плохо! А что на счет защищенности супермаркетов от краж? Людей от убийств?
Вот только в других сферах полиция работает и пытается привлечь злоумышленников к ответственности, а не "плачет" о ненадежных замках и припаркованных не в том районе авто, раздавая листовки о безопасном перемещении по городу заполненному преступниками.