Наши заказчики периодически спрашивают: что делать, когда базовые задачи по антивирусной защите, защите интернет-канала и резервному копированию уже решены? Куда двигаться дальше? В таких случаях я предлагаю концепцию "6P" — простой и эффективный подход, помогающий сфокусироваться на пяти основных аспектах информационной безопасности и тем самым повысить уровень защищенности компании. Эти направления включают: осведомленность сотрудников, надежные пароли, ограничение привилегированного доступа, своевременное обновление программного обеспечения, защиту от фишинга и периодические проверки на защищённость инфраструктуры.

Personnel Awareness (Осведомленность сотрудников)

Я абсолютно уверен, что осведомленность сотрудников — один из наиболее важных аспектов информационной безопасности. Даже самые дорогие и сложные технологии не смогут защитить компанию, если люди не будут понимать, что такое безопасность и как они могут ей способствовать. Даже самые продвинутые технические меры могут быть бесполезными, если персонал не осознает угроз и не соблюдает основные правила безопасности. Организациям следует регулярно проводить тренинги и обучающие мероприятия, чтобы повысить осведомленность пользователей о различных угрозах. Включение тем по фишингу, социальной инженерии и методам защиты информации — это не просто рекомендация, а необходимость. И чем больше примеров из реальной жизни мы приводим на таких тренингах, тем больше шансов, что сотрудники действительно будут соблюдать правила. Обучение должно охватывать сценарии реальных угроз, такие как попытки обмана через телефон или email, а также способы защиты персональных и корпоративных данных.

В дополнение к обучению можно проводить имитационные атаки (например, фишинговые кампании), чтобы оценить готовность сотрудников к реальным инцидентам. Решения для таких проверок, как Kaspersky Automated Security Awareness Platform, помогут повысить уровень кибербезопасности, формируя у сотрудников практические навыки и культуру безопасного поведения.

Passwords Management (Управление паролями в организации)

Создание сложных паролей — важный шаг, но, честно говоря, эффективное управление паролями в компании важнее. Потому что пользователи часто не воспринимают сложные пароли всерьез и пытаются найти обходные пути. Политики управления паролями являются важнейшим элементом для обеспечения безопасности ИТ-инфраструктуры. Сильная политика паролей требует от пользователей создания сложных паролей длиной не менее 8 символов, включающих комбинацию заглавных и строчных букв, цифр и специальных символов. Пароли не должны содержать словарных слов, личной информации или использоваться повторно для нескольких учетных записей.

Важно обеспечивать регулярную смену паролей, но современные рекомендации указывают на отказ от принудительной частой смены паролей, чтобы снизить неудобства для пользователей и уменьшить вероятность их записи. Вместо этого рекомендую использовать многофакторную аутентификацию и контролировать попытки доступа. Неудачные попытки входа должны быть ограничены для предотвращения атак методом подбора, а учетные записи блокироваться после определенного количества неверных вводов. Хранение паролей в открытом виде должно быть строго запрещено. Для хранения корпоративных паролей можно использовать решения типа Пассворк.

Поддерживать политику сильных паролей можно как штатными средствами, например, Microsoft Default Domain Policy, так и сторонними решениями для усиления парольных политик, например, Strongpass. Эти решения дают большую гибкость в управлении и контроле над политиками паролей.

Понятно, что такие строгие меры могут вызвать недовольство среди пользователей, которые любят простые пароли вроде "123". В одной компании, с которой я работал, сотрудники просто не могли запомнить пароли длиннее четырех символов, и это создавало большую нагрузку на техподдержку. Тогда решили оставить короткие пароли, но добавили второй фактор авторизации используя решение Мультифактор, что позволило повысить безопасность, не создавая проблем для пользователей.
Второй фактор авторизации поможет решить так же проблему записи пароля на бумажке и использование корпоративных паролей в сторонних интернет-сервисах.

Privileged Access (Привилегированный доступ)

Ограничьте количество людей, имеющих привилегированный доступ, внедрите дополнительный мониторинг, а также применяйте практические меры, такие как разделение обязанностей или предоставление временных привилегий для выполнения конкретных задач. Не используйте админский доступ для внутренних сервисов и не забывайте регулярно делать ревизию выданных доступов. Лучшие практики мониторинга привилегированного доступа включают создание подробных аудиторских журналов всех действий привилегированных пользователей, генерацию оповещений в реальном времени для высокорисковой активности и проведение регулярных проверок прав доступа. Решения для управления привилегированным доступом (PAM) могут помочь автоматизировать и централизовать процесс мониторинга. Один из вариантов таких решений — Infrascope или Zecurion.

Patch Management (Управление обновлениями)

К сожалению, многие уязвимости в ПО успешно используются злоумышленниками, хотя заплатки на них уже выпущены. Причина — несвоевременное обновление. Важно не просто обновлять ПО, а сделать этот процесс регулярным. Очень часто системные администраторы просто не успевают проводить обновления из-за высокой загрузки.

Автоматизированное управление обновлениями упрощает процесс: от идентификации отсутствующих обновлений до их развертывания. Автоматизация позволяет устранять уязвимости быстрее, часто в течение 72 часов. Такие решения часто входят в состав антивирусных программ, например, Касперского в редакциях Расширенный и Security Cloud Pro.

Phishing (Фишинг)

Фишинг является одним из наиболее распространенных методов, используемых злоумышленниками для получения доступа к конфиденциальным данным, таким как логины и пароли. Для защиты от фишинга следует использовать почтовые антивирусы, антиспам-фильтры и технологии песочницы. Проверить свою готовность к фишинговым атакам можно с помощью сервиса Trebuchet. Если результаты неудовлетворительные, можно воспользоваться решениями, такими как почтовая песочница FACCT

Pentest (Тестирование на возможное проникновение)

После того как все меры безопасности внедрены, важно регулярно проводить пентесты (penetration test) с помощью специалистов, чтобы убедиться, что ваши защитные меры остаются актуальными и эффективными. Пентесты — важный инструмент для проверки эффективности мер безопасности на практике. Они помогут получить уверенность в надежности защиты или рекомендации по ее улучшению. За проведением пентеста можно обратиться к нашим специалистам.

В заключение

Концепция "6P" может стать отличной отправной точкой для организации, начинающей развивать информационную безопасность. Внедрение надежных политик управления паролями, мониторинг привилегированного доступа, автоматизация обновлений, защита от фишинга и осведомленность сотрудников значительно повышают уровень защищенности без масштабных инвестиций. Эти меры помогут заложить прочный фундамент для дальнейшего развития стратегии информационной безопасности.

Комментарии (6)


  1. smke
    17.11.2024 18:03

    Думаю, пора менять password management на passwordless, красота названия концепции не пострадает


    1. Atolstikov Автор
      17.11.2024 18:03

      Думаю в определённых случаях даже красивее выйдет :)


  1. alker
    17.11.2024 18:03

    По моему мнению, пентест это процесс более высокого уровня зрелости, результаты которого не будут использованы со 100% кпд, если до этого не выстроены процессы мониторинга и реагирования на инциденты безопасности и не применен комплексный подход. Например, пентестер может полгода колупать сеть заказчика без обнаружения, потому что нет мониторинга, или он может обнаружить 0-day уязвимость, но так как нет процесса управления уязвимостями и, соответственно, процесса тестирования и установки обновлений, то такие уязвимости будут возникать регулярно несмотря на то что по этому случаю дыру закроют.

    Просто для вау-эффекта или чтобы проверить ошибки конфигурации - да, на таком уровне подойдет.


    1. Atolstikov Автор
      17.11.2024 18:03

      Согласен с тем, что пентест, как и управление уязвимости должно быть регулярным. Но в данном случае он тоже применим, как вы и написали, больше для вау-эффекта, что бы можно было показать начальству, что вот мы деньги потратили с толком. Пентест можно заменить аудитом. Главное, что бы кто-то со стороны посмотрел на инфраструктуру непредвзято. Ну и те, кто озадачиваются такими вопросам, как управление инцидентами и мониторинг уязвимостей, уже вряд ли будут интересоваться темой этой статьи :) Она больше для новичков в ИТ.


  1. Inomaratadeath
    17.11.2024 18:03

    Ну и так же не забываем про бэкапы-бэкапы-бэкпы.. и ещё раз бэкапы.

    все эти системы защиты выше чаще всего прокалываются на "осведомлённость" сотрудников.

    Если уж утечка персональных данных произошла, то можем только посочувствовать (да-да, банки просто закатывают глаза и говорят -"это не я", то хоть от вирсуов шифровальщиков спасёт отчуждаемый внешний жестяк под подушкой. а лучше 2. один по чётным дням недели,

    второй - по нечётным


    1. Atolstikov Автор
      17.11.2024 18:03

      Я надеюсь бэкапирование все уже воспринимают, как базовую вещь.