Интернет постоянно растёт и улучшается, благодаря этому мы теперь можем свободно общаться с людьми во всем мире. С распространением Wi-Fi мы начали создавать устройства, которые тоже подключаются к интернету, передавая данные по сети. Это замечательно, но обратная сторона медали в том, что у каждого подключенного к интернету человека на планете теперь есть собственные сети и собственные данные, которые могут стать жертвой кражи.

Мы считаем, что повышая осведомлённость об этих уязвимостях и просвещая общественность, можно сделать интернет чуть более безопасным местом. Для бизнеса будет полезно узнать о таких эффективных мерах ИБ как трудоустройство хакеров, симуляция фишинга для своих сотрудников и киберстраховые полисы.

В течение октября, когда отмечался месяц кибербезопасности National Cyber Security Awareness Month, мы каждый день публиковали в твиттере по одному совету. Здесь собрана полная подборка из 31 совета с дополнительными разъяснениями, как защитить себя в нынешних условиях.

Базовые правила


1. Будьте осторожны с тем, что публикуете о себе и других


То, как вы отзываетесь о других в интернете, во многом раскрывает вашу собственную личность. Кроме того, вы можете навлечь на себя неприятности с законом или даже стать уязвимым для кражи или взлома. Люди могут отслеживать, что вы говорите в интернете — так что если вы сказали, что собираетесь в отпуск на неделе, то потенциальному грабителю будет нетрудно найти ваш адрес. Следует проявлять осторожность по поводу нарушения NDA, трудовых договоров и других соглашений, которые вы подписали. Кроме того, нарушением закона может стать раскрытие чужой личной информации или публичные обвинения человека без каких-либо доказательств.

2. Понимайте, какие данные собирает ваша компания — и убедитесь, что они защищены


Для того, чтобы сохранить ваши бизнес-данные в безопасности, вы должны провести аудит и определить, какие из них являются публичной информацией (и, следовательно, не должны тщательно охраняться), у каких средняя степень важности, так что они не сильно отразятся на бизнесе в случае утечки (для них следует установить некоторые меры безопасности) и, наконец, какие данные наиболее важны и конфиденциальны. Последняя категория данных сильно повлияет на бизнес в случае кражи — и их нужно максимально надёжно защищать с самыми строгими правами доступа для сотрудников и партнёров.

3. Используйте несколько факторов аутентификации


Аутентификация — это акт подтверждения идентификационных данных (будь то пользователь, компьютер или другое устройство) путём сравнения предоставленных учётных данных с существующей БД авторизованных пользователей, прежде чем разрешить доступ в систему данной системе или приложению. Например, ввод имени пользователя и пароля для доступа к учётной записи электронной почты. Но вместо того, чтобы полагаться только на пароли, которые становятся все более ненадёжными, мы рекомендуем использовать несколько факторов для аутентификации. Среди этих факторов — некий секрет пользователя (например, имя пользователя/пароль, ответ на секретный вопрос), некая его физическая собственность (например, цифровой сертификат, смарт-карта) и некий биометрический фактор (например, отпечаток пальца, распознавание лиц).

4. Включите HTTPS для своего сайта


Для активации HTTPS на сервере устанавливается сертификат SSL/TLS. Этот сертификат шифрует все данные между браузером и сервером, будь то личная или финансовая информация, которая вводится на веб-странице, или содержимое страниц. Так информация защищается от посторонних (например, от злоумышленников и государственной слежки). Сертификаты SSL могут также привязать ваш бренд к веб-сайту: это позволяет посетителям убедиться, что ваш сайт действительно принадлежит вашей компании, а не мошеннику (в случае фишингового сайта). Сертификат EV SSL чётко демонстрирует это, окрашивая адресную строку браузера в зелёный цвет и показывая название вашей компании.

5. Используйте сильные и уникальные пароли. Хороший пароль: 34bGUI7&89@)). Плохой: 12345 или Eddy1


Многие «чёрные» хакеры продают данные, которые им удалось добыть после взлома. В том числе информацию о тысячах, если не миллионах, пользователей и их паролях. Если вы используете один и тот же пароль на каждом аккаунте, то для хакера станет тривиальной задачей получить доступ ко всем вашим системам. Или хакер может подобрать пароль с помощью брутфорса. Это гораздо сложнее, если пароль длинный, составлен из разнообразных символов и не содержит слов из словаря. Используйте какой-нибудь менеджер паролей, чтобы не забыть уникальные пароли для каждого сервиса.

6. Обновляйте всё программное обеспечение


Хакеры всегда ищут новые уязвимости в программном обеспечении, которое использует ваш бизнес. Найти их бывает настолько же просто, как найти путь в вашей сети Windows. В то же время сами софтверные компании упорно работают над выпуском патчей для исправления этих уязвимостей, так что очень важно обновлять ПО как только выходит обновление.

7. Делайте резервные копии всех данных


Резервные копии гарантируют, что в случае потери данных файлы можно будет восстановить. Всегда следует хранить данные в разных местах, физически разнесённых, чтобы хакеры не могли получить доступ ко всему сразу. И резервные копии нужно регулярно обновлять.

8. Установите файрвол на шлюз в интернет


Файрволы созданы для предотвращения неавторизованного доступа в частную сеть. Можно установить набор правил для определения, какой трафик разрешён, а какой запрещён. Хороший файрвол должен отслеживать и входящий, и исходящий трафик.

Культура безопасности на работе


9. Установите правила для использования собственных устройств на рабочем месте


Некоторые компании разрешают сотрудникам использовать личные мобильные телефоны для работы. Это повышает продуктивность и эффективность, но открывает возможности для атаки, поскольку эти смартфоны могут быть взломаны и использоваться для доступа в вашу корпоративную сеть. Правила BYOD (Bring Your Own Device) помогут просветить сотрудников по поводу использования мобильных технологий и как уменьшить риск такой атаки.

10. Создайте стратегию реагирования на инциденты


Стратегия реагирования на инциденты поможет заранее подготовиться к атаке. Никогда нльзя гарантировать безопасность на 100%, поэтому лучше иметь запасной план на тот случай, если вы станете жертвой кибератаки. Это гарантирует, что вы можете среагировать достаточно быстро и не дадите злоумышленникам получить конфиденциальные данные. Вы успеете предупредить прессу или клиентов, если атака окажется сильнее, чем ожидалось. Также следует убедиться, что есть ответственное лицо для реализации плана реагирования.

11. Обучение сотрудников работе с паролями


Всех сотрудников нужно обучить правильной работе с паролями. В том числе:

  • Не записывать пароль на бумажке (так его могут украсть).
  • Не передавать пароль по онлайновым каналам коммуникации, если те не зашифрованы.
  • Использовать сильные пароли и корпоративный менеджер паролей.
  • Не использовать одни и те же пароли многократно для разных приложений компании или в личных целях.

12. Убедитесь, что сотрудники проверяют наличие буквы S в HTTPS при поиске в интернете


Время от времени сотрудники будут использовать корпоративную IT-сеть для посещения сайтов и регистрации в сервисах для личного или корпоративного использования. Прежде чем передать любую информацию, они всегда должны проверить наличие знака HTTPS в адресной строке браузера. Если сайт не защищён, то нельзя передавать туда никакую информацию.

Примечание: важно также рассказать сотрудникам о фишинговых сайтах (см. совет 15 ниже). Были случаи, когда мошенники использовали сертификаты Domain Validated (DV) SSL, чтобы их сайты выглядели более реальными и надёжными.

13. Используйте безопасные коммуникации по электронной почте и проведите тренинг по рискам фишинговых атак


Почта по-прежнему остаётся слабым звеном в кибербезопасности, а две из самых главных угроз — взлом/утечка данных и фишинг. Следует искать решение для защиты электронной почты, способное шифровать сообщения в пути и в хранилище, с возможностью проверки происхождения сообщений, чтобы для сотрудника стало тривиальной задачей определить поддельные письма и не стать жертвой фишинга. Простота использования для конечных пользователей — ещё один важный фактор, который следует учитывать.

14. Руководители должны распространять культуру кибербезопасности


Во всех корпоративных стратегиях именно высшее руководство первым должно принять эти изменения. Если они покажут пример, то вся компания последует за ними.

15. Симуляция фишинга для поддержания сотрудников в тонусе — в игровой форме для интереса


Организуйте тесты симуляции фишинга для проверки готовности сотрудников. Тесты следует провести до и после тренингов по риску фишинговых атак, чтобы измерить эффект этих тренингов.

Противодействие киберпреступности


16. Создание группы быстрого реагирования


Хотя у вас всегда должен быть один главный человек, ответственный за соблюдение плана реагирования на инциденты, но потребуется команда в помощь ему. Например, пиарщик для публикации пресс-релизов и общения с прессой и представитель отдела продаж для общения с клиентами. В зависимости от размера вашей организации и возможного размера атаки следует убедиться, что в команду входят правильные люди.

17. Проведите анализ инсайдерских угроз


Анализ инсайдерских угроз вскроет потенциальные угрозы для вашей IT-инфраструктуры, которые исходят изнутри организации. Такую угрозу может представлять кто угодно: от нынешних и бывших сотрудников до подрядчиков, вендоров, сторонних поставщиков данных и партнёров.

18. Составьте инструкцию для быстрого реагирования


Убедитесь, что вы готовы быстро и эффективно отреагировать в случае кибератаки. Разошлите план сотрудникам компании и назначьте ответственного за его осуществление.

19. Наметьте план для внешних коммуникаций


Европейские нормы GDPR требуют, чтобы вы проинформировали соответствующий надзорный орган, как только станет известно о взломе. Надзорный орган должен быть в вашей стране и, скорее всего, представляет собой государственную организацию. Также следует запланировать коммуникации со всеми, кого может затронуть инцидент, включая клиентов, подрядчиков и сотрудников.

20. Сообщите сотрудникам о плане реагирования


Знание о плане и о возможных типах атаки поможет сотрудникам помнить о своих обязанностях сохранять конфиденциальность и минимизировать риск утечки информации.

21. Делайте выводы из прошлых ошибок


После взлома и проведения мероприятий по реагированию на инцидент, когда все последствия устранены и можно вернуться к нормальной работе, следует провести аудит. В рамках этого мероприятия можно обсудить действующий план реагирования на инциденты и решить — вносить ли в него какие-то изменения исходя из ошибок, сделанных в первый раз. Возможно, придётся связаться с IT-отделом для внесения изменений в процедуры и коммуникации, чтобы те же самые уязвимости не эксплуатировались снова.

22. Всегда предполагайте наличие уязвимости — вы никогда не защищены на 100%


Тот факт, что в стратегию информационной безопасности вложено много денег и времени, не гарантирует защиты ваших систем. Всегда появится новая уязвимость, которую можно применить в вашей сети, или новый сотрудник, через которого можно провести взлом. Всегда следует предполагать, что у хакеров найдётся возможность проникнуть внутрь.

Будущее ИБ, стратегии для защиты и приватности


23. Страховка для IT-инфраструктуры


Обычные страховые полисы обычно не покрывают потерю данных; и вот здесь в действие вступают киберстраховые полисы. Также следует убедиться, что страховка покрывает ущерб из-за даунтайма, то есть простоя сервисов. Кроме того, вы можете понести ущерб из-за хранения чужих данных или расходов на выполнение нормативных процедур и уведомлений о взломе.

24. Каждая «вещь» (устройства, сенсоры, системы и проч.) должна получить идентификатор


По мере появления более быстрых, эффективных и производительных систем компании объединяют множество устройств и сенсоров в общие сети, которые совместно делят данные — это называется инфраструктурой Интернета вещей (IoT). В рамках этой инфраструктуры каждой «вещи» нужен идентификатор. С уникальным сильным идентфиикаторов они могут аутентифицироваться при подключении к сети и гарантировать безопасную и зашифрованную связь с другими устройствами, службами и пользователями.

25. Убедитесь, что все системы доступны только через СИЛЬНУЮ аутентификацию


Как вы предоставляете доступ к важным данным только после «сильной» аутентификации (см. совет 3 выше), также должен быть ограничен доступ и к бизнес-инфраструктуре. Если вы работаете в банке, то для доступа в сейф нужно одновременно аутентифицироваться в нескольких точках — те же правила действуют в онлайне. Только здесь ещё нужно учесть доступ на основе ролей и предоставление доступа к критическим системам только определённым привилегированным пользователям.

26. Наймите хакера на работу


В мире огромное количество хакеров, которые не собираются нарушать закон, красть ваши данные и продавать их в онлайне. Они хотят помочь миру. Это так называемые «белые» хакеры, и в каждой организации должен быть такой человек, чтобы противостоять «чёрным» хакерам. Как говорится, клин клином вышибают.

27. Немедленно внедрите управление потоком данных


По мере совершенствования технологий наши данные становятся всё сложнее. Чтобы сохранить данные под контролем и избежать утечки, нужно знать, как они перемещаются по организации и как движутся от источника до конечной точки или пользователя.

28. Используйте облако


Облачные сервисы — полезный инструмент, особенно для малых и средних компаний, которые хотят отдать свои данные под защиту крупной компании. При регистрации у облачного провайдера важно убедиться, что вы всё о нём знаете. Где находятся дата-центры, где конкретно хранятся ваши данные и как можно получить доступ к ним.

Повышение устойчивости критических систем


29. Убедитесь, что ваша сеть сегментирована, так что доступ к одной системе не даст доступ к другой


Вся ваша корпоративная IT-сеть не должна быть доступна из одной точки, даже если в этой точке «сильная» аутентификация. Если вы сегментируете сети, то хакер не сможет контролировать их все, получив доступ только к одной. Следует сегментировать системы по важности или по тому, насколько важна сеть для бизнеса. Установите максимально сильную безопасность на самые критические сети.

30. Держитесь выше норм своей отрасли


В большинстве отраслей за рубежом уже существует набор стандартов и лучших практик, которые следует соблюдать для базовой реализации кибербезопасности. Для энергетического сектора есть фреймворк NIST Cybersecurity Framework, для автомобильной промышленности — Фреймворк лучших практик автомобильной кибербезопасности, для индустрии платёжных карт — PCI DSS. Важно держаться выше любых новых норм и гарантировать, что никакие штрафы вас не затронут.

31. Продолжайте изучение новых технологий и вендоров


Наш заключительный совет состоит в том, чтобы быть в курсе последних лучших практик безопасности, операторов, вендоров и технологий. Будьте готовы к обновлению ПО, использованию новых инструментов и технологий для обеспечения безопасности вашей инфраструктуры в интернете.

С этими советами надеемся, что вы осознали важность максимальной безопасности бизнеса. Знайте, что угроза может и более чем вероятно будет исходить изнутри организации, а не снаружи. Всегда предполагайте, что вы открыты для атаки и готовы к тому, что неизбежно произойдёт.

Если вас интересуют облачные и сетевые PKI-решения и решения по управлению идентификацией, вы можете обратиться в компанию GlobalSign — один из крупнейших в мире удостоверяющих центров, который гарантирует безопасность коммерческой деятельности и защищенный документооборот.

Комментарии (1)


  1. vilgeforce
    13.03.2018 16:49

    Но ничего не поможет, если контора не готова принимать сообщения о проблемах со стороны.