Новые технологии часто используются в корпоративной среде без предварительного анализа последствий для информационной безопасности, что создает серьезные проблемы. С какими же основными рисками сталкиваются компании при внедрении новых технологий и как их можно минимизировать?
В последнее время в компаниях растет число молодых и технически грамотных людей, широко использующих технологии во всех сферах своей жизни. Такие сотрудники рассчитывают получить беспрепятственный доступ к данным в любом месте и с любого устройства, в том числе и к личным, и к корпоративным приложениям одновременно. Однако в большинстве случаев они не задумываются о рисках для информационной безопасности, которые могут быть связаны с внедрением новых технологий в корпоративной среде. Эти угрозы стали серьезной проблемой для руководителей по информационной безопасности.
Помимо защиты периметра, мониторинга данных об угрозах и других повседневных обязанностей по противодействию киберпреступникам, пытающимся проникнуть в сеть посредством атак «нулевого дня» и незакрытых уязвимостей, теперь руководителям по информационной безопасности приходится анализировать все возможные средства получения доступа к сети, которые могут заинтересовать злоумышленников, включая используемые сотрудниками инструменты и особенности их поведения.
РАСШИРЕНИЕ ПОВЕРХНОСТИ АТАКИ
Внутренние угрозы стали главной проблемой для отделов ИТ-безопасности и их руководителей, причем они исходят отнюдь не только от сотрудников, которые совершают злонамеренные действия в отношении своей организации. Чаще причина проблем — в невнимательности персонала и пренебрежении мерами безопасности при использовании новых технологий. Именно поэтому сегодня, в 2018 году, 51% организаций озабочены рисками, связанными с влиянием человеческого фактора.
К сожалению, количество внутренних угроз будет только увеличиваться из-за роста таких атак. Согласно прогнозам, к 2022 году количество интернет-пользователей достигнет шести миллиардов. В связи с этим многие киберпреступники все больше внимания стали уделять компрометации пользовательского доступа.
Чтобы минимизировать риски, отделы ИТ-безопасности должны не только знать, какими устройствами и программными инструментами пользуются сотрудники, но и внедрять необходимые средства контроля для обеспечения их защиты.
БЕЗОПАСНОСТЬ ПРИ ИСПОЛЬЗОВАНИИ НОВЫХ ТЕХНОЛОГИЙ
Существует пять основных новых технологий, тенденций и моделей поведения, на которые руководителям по информационной безопасности следует обратить особое внимание.
Повторное использование паролей. Обычно у каждого сотрудника имеется множество учетных записей на разных платформах и в разных приложениях. И многие используют одни и те же учетные данные для всех аккаунтов независимо от того, являются они личными или корпоративными. Это серьезная проблема. Если одна учетная запись будет взломана, киберпреступники смогут получить доступ и к другим аккаунтам. Такая ситуация особенно опасна для облачных сервисов: в случае взлома одного аккаунта будут скомпрометированы все остальные.
Чтобы этого не допустить, ИТ-отделам необходимо постоянно напоминать пользователям о необходимости создания новых паролей, особенно для корпоративных учетных записей, а также ограничить доступ к тем областям сети, для которых у сотрудника недостаточно полномочий. Для этого имеются решения по управлению доступом и удостоверениями с двухфакторной проверкой подлинности, программное обеспечение для управления паролями, облегчающее создание сложных паролей, которые легко запомнить, а также межсетевые экраны для внутренней сегментации сети, ограничивающие доступ к важным частям сети.
Теневые ИТ-ресурсы. Если сотрудники используют технологии, не проверенные ИТ-специалистами, это может привести к утечке данных, возникновению уязвимостей и нарушению нормативных требований в результате того, что конфиденциальная корпоративная информация попадает за пределы утвержденных программ и сетей. Специалистам по ИТ-безопасности необходимо постоянно контролировать, какие устройства и приложения используются в сети. Внедрение защиты конечных точек и межсетевых экранов для Web-приложений помогает минимизировать риск, создаваемый инсайдерами. Эти решения выполняют обнаружение конечных точек и приложений в сети, после чего идентифицируют их и сегментируют в зависимости от риска.
Удаленные подключения. Удаленный формат работы становится все более популярным — сотрудники подключаются к сети из дома, в кафе или в дороге. Хоть это и помогает повысить производительность и эффективность работы, руководители по информационной безопасности должны быть уверены, что такие устройства подключаются к сети через защищенные точки доступа. При использовании общедоступной сети Wi-Fi киберпреступники могут перехватывать данные, передаваемые между конечным пользователем и организацией. Чтобы минимизировать этот риск, необходимо использовать сети VPN и внедрять решения для управления беспроводными сетями.
Фишинг и мошенничество с использованием электронной почты. Этот метод не нов, однако из-за повсеместного использования электронной почты по-прежнему является одним из самых распространенных среди киберпреступников средств атаки. На первый взгляд фишинговые письма выглядят как сообщения от надежных отправителей (банк, коллега и др.), в которых обычно содержатся просьбы отправить учетные данные или перейти по ссылке, что влечет за собой кражу паролей и/или загрузку вредоносного ПО. Чтобы минимизировать вероятность фишинговой атаки и заражения сети, руководителям по ИТ-безопасности необходимо внедрять такие средства контроля, как шлюз защиты электронной почты.
Социальные сети. Социальные сети являются популярным каналом распространения вредоносных ссылок и сбора личных данных, которые могут использоваться для осуществления адресных атак. Руководителям по ИТ-безопасности необходимо строго контролировать следование принятым в компании правилам поведения в социальных сетях и предупреждать сотрудников, чтобы они не принимали запросы на переписку и предложения на добавление в друзья от незнакомцев, особенно если предлагается перейти по ссылке при нахождении в корпоративной сети. Специалисты по безопасности должны установить на рабочие компьютеры программные средства защиты от вредоносного ПО и межсетевые экраны. Кроме того, необходимо научить сотрудников распознавать схемы социальной инженерии, направленные на кражу их данных с целью получения доступа к корпоративным сетям и учетным записям.
Хотя руководители по ИТ-безопасности часто используют различные инструменты, необходимые для минимизации подобных рисков, очень важно, чтобы они применялись унифицированно, а не в виде отдельных изолированных решений. Интеграция и автоматизация работы шлюзов для защиты электронной почты, межсетевых экранов, средств защиты конечных точек, решений WAF, систем управления доступом и других инструментов помогут получить полное представление об активности в сети. Такой подход позволяет быстро выявить потенциально опасное поведение или действия и осуществить централизованное и согласованное реагирование.
ВЫВОДЫ
Поскольку сотрудники, следуя модным веяниям, постоянно привносят в корпоративную сеть новые технологии, ИТ-отделам и их руководителям приходится постоянно следить за их безопасностью. По мере появления новых технологий требуется внедрять соответствующие им решения и процессы, чтобы с виду безобидное поведение не привело к взлому сети и утечке данных. Для этого необходимо быть в курсе всех современных тенденций и использовать интегрированные решения безопасности для минимизации возможных рисков.
Дерек Мэнки, эксперт по глобальной стратегии безопасности в компании Fortinet
Какие из перечисленных болевых точек – повторное использование паролей, теневые ИТ-ресурсы, удаленные подключения, фишинг, социальные сети – представляют наибольшую проблему для российских компаний?
Потенциальные проблемы и сложности для инфраструктуры представляют собой все перечисленные вопросы, но наиболее проблемными мне представляются в первую очередь фишинг и социальные сети – как эффективный канал возможного проникновения в защищаемую инфраструктуру и эксплуатации каких-либо уязвимостей, либо внесения вредоносного кода с одной стороны, и как потенциальный канал утечки практически любой конфиденциальной информации (с учетом социальной инженерии и неосведомленности пользователей) и сбора данных для планирования будущих атак злоумышленников – с другой стороны. Разумеется, и повторное использование паролей, и удаленные подключения, и теневые ИТ-ресурсы несут потенциальную угрозу, но для их нивелирования достаточно грамотных действий административного персонала, в то время как технологии фишинга и социальные сети позволяют злоумышленникам напрямую взаимодействовать с пользователями, что существенно сложнее отслеживать и регламентировать.
Рекомендация интегрировать разрозненные решения безопасности является общим местом. Но в состоянии ли компании ей следовать на практике – финансово и технически?
При внедрении «раздельных» или «распределенных» средств безопасности, когда за каждое возможное направление отвечает свое решение, на первый план выходит несколько проблем – необходимо обеспечить совместимость различных решений между собой, чтобы одни решения не дублировали и не противоречили функциональности других и чтобы принятые решения по обработке трафика трактовались единообразно всеми системами (во избежание ситуаций, когда одной системой трафик был пропущен, а другой заблокирован ввиду отсутствия соответствующей настройки); минимизировать возможные вносимые задержки в обработку пользовательского трафика; обеспечить наряду с безопасностью удобство работы с инфраструктурой для пользователей (чтобы не было необходимости, к примеру, вводить множество разных учетных данных на множестве различных систем); обеспечить возможности быстрого и эффективного управления такой «разношерстной» инфраструктурой.
Таким образом, выбирая решения по безопасности, компания должна руководствоваться соблюдением приемлемого баланса между безопасностью, удобством управления и эффективностью и удобством работы пользователей с данной инфраструктурой после внедрения большого числа различных средств обеспечения ИБ.
Дмитрий Купецкий, системный инженер Fortinet