Утримати корпоративний периметр: основні аспекти кібербезпеки для бізнесу
Щороку кількість кібератак та обсяг спричинених ними наслідків зростає. З 2019 року грошові збитки, викликані зареєстрованими кіберзлочинами у США, зросли майже утричі, до $10,3 млрд у 2022 році. Ця сума дорівнює річним надходженням до бюджету Домініканської Республіки.
Такі наслідки змушують компанії більш серйозно ставитися до власної кібербезпеки, а також стимулюють розвиток нових підходів та практик для захисту даних і доступу. У цьому матеріалі розкажемо, які стратегії та заходи використовують компанії для збереження своєї та клієнтської інформації від злочинців, і дамо чотири важливі поради, що допоможуть створити ефективний захист від кібератак для вашого бізнесу.
Від чого залежить кібербезпека компанії
Формування кібербезпекових заходів в компанії залежить від небезпек, з якими може зіткнутись бізнес. Існує декілька основних загроз, таких як шкідливе ПЗ, DDoS-атаки, фішингові атаки, а також проникнення у внутрішню мережу бізнесу.
Усі вони мають різні механіки впливу, а також розраховані на ураження різних вузлів бізнесу, як-то атаки на інфраструктуру з метою виведення компанії з ладу, або ж націлені на заволодіння корпоративними даними.
У 2022 році компанії витрачали 10% своїх ІТ бюджетів на кібербезпекові заходи. Технологічні компанії, бізнеси з напрямку охорони здоров'я та бізнес-послуг (включно зі страхуванням) лідирують серед усіх галузей за обсягами інвестицій. Оскільки підвищення рівня кібербезпеки в компанії має в собі багато різних підходів, що поєднують технології, процеси та потребують обізнаності співробітників — якісна структура захисту являє собою масштабний проєкт.
І хоча еталону чи must have безпекової інфраструктури не існує, оскільки кібербезпека – це доволі широке поняття і залежить від потреб конкретного бізнесу, ми все ж сформували чотири поради, які допоможуть створити базовий захист, аби працювати без страху атаки.
Порада №1: підходьте до планування захисту системно
Створення будь-чого нового, незалежно від галузі, повинно починатись з аналізу. Кібербезпека не є виключенням, тому і план впровадження кібербезпеки працює за стандартним принципом аналізу ризиків — PDCA (Plan Do Check Act).
Підписуйтеся на наші соцмережі
Тож почати варто з аналізу наявної інфраструктури та ризиків, до яких вона схильна. Це дасть можливість краще зрозуміти ваші потреби й можливості й перейти до етапу планування, з переглядом наявних інструментів, перспектив використання їх вбудованого функціонала. Також додатково проводиться підбір апаратно-програмних комплексів:
- Апаратні фаєрволи, які призначені для фільтрації мережевого трафіку і запобігання несанкціонованому доступу до комп'ютерних систем. Вони можуть блокувати чи дозволяти певний мережевий трафік на основі встановлених правил безпеки.
- Системи DLP (Data Leak Prevention), що виявляють і моніторять рух чутливої інформації, застосовуючи правила та політики безпеки. Якщо виявлено можливий витік, система може заблокувати передачу даних або сповістити адміністратора.
- IDS (Intrusion Detection System), які аналізують мережевий трафік і сповіщають адміністратора або викликають інші заходи безпеки, якщо виявлено ознаки вторгнення чи атаки.
- IPS (Intrusion Prevention System), що вживають заходів для блокування або відхилення потенційно небезпечних пакетів даних або атак.
Наступним етапом є впровадження обраних інструментів та моніторинг їх ефективності, що дозволить визначити чи потрібні додаткові доопрацювання інфраструктури. Після якісного аналізу вживаються заходи для усунення причин відхилень від запланованого результату, якщо такі були. Вони можуть включати внесення змін в плануванні, або налаштуваннях обладнання чи протоколів реагування на загрози безпеки тощо.
Серед іншого, важливим в плануванні також є принцип раціональності — не завжди фінансові витрати на дорогі програмні чи апаратні рішення є економічно виправданими. Важливо виходити з потреб, які має ваша компанія, керуватись саме оцінкою ризиків, раціональністю та здоровим глуздом, як і вчиняє більшість компаній на ринку, оскільки витрата коштів має бути виправданою та приносити користь.
Порада №2: спостерігайте за новинами у сфері, аби ваш захист був актуальним
Технічні атаки розвиваються доволі інтенсивно, оскільки вразливостей в сучасних технологіях багато, а от використовувані при “нападі” методи соціальної інженерії мало змінюються, але вдосконалюється за якістю підготовки та виконання. Протоколи/сценарії/технології захисту з’являються теж досить швидко, але, звісно ж, тільки після того, як вразливість було зафіксовано або використано зловмисниками.
Постійний розвиток та вдосконалення системи захисту, котрих можна досягнути комплексним моніторингом вразливостей та пошуком рішень на спеціалізованих ресурсах, а також аналізом трендів – єдиний підхід, що допоможе актуалізувати кібербезпеку.
Важливо вчасно отримати свіжу і якісну інформацію та, на щастя, існує дуже велика кількість джерел де її можна знайти. Найбільш актуальними для спеціалістів будуть CVE (база загальновідомих вразливостей системи), блоги розробників антивірусів та фаєрволів, а також ресурси компаній, що надають послуги penetration test-ів. Також існує велика кількість ресурсів та видань, які пишуть про новини у світі кіберзахисту, наприклад The Hacker News, CyberScoop та Threatpost.
Порада №3: працюйте не тільки з технічним захистом, подбайте про освіченість ваших працівників
Шкідливе ПЗ, що потрапило в систему, може робити різні протиправні дії на зараженому обладнанні: видаляти чи зашифровувати інформацію на дисках, сканувати введення з клавіатури з метою перехоплення паролів, чи відкрити backdoor для зловмисника і надати йому віддалений доступ до зараженого ПК тощо. Більшість складних атак зараз відбуваються з використанням фішингу різного роду: через email, текстові повідомлення, дзвінки телефоном чи у месенджерах, або ж підробку DNS записів для перенаправлення на підроблений сайт чи клонування легітимних email повідомлень з підміною вмісту.
Найчастіше у моїй практиці на роботі трапляється саме через email-розсилку. Але у повсякденному житті у друзів та знайомих все почастішали випадки повідомлень та дзвінків з обманом. На щастя, більшість випадків фішингу очевидні – зазвичай це щось дуже примітивне і розраховане на неуважність. Але якщо ваші колеги недостатньо інформовані, як правильно діяти в тій чи іншій ситуації – аутентифікація та фаєрволи навряд врятують ситуацію. Під час проведення навчання для працівників з кібербезпеки, слід зосередити увагу на кількох ключових аспектах, які допоможуть покращити загальний рівень обізнаності та забезпечити ефективний захист:
- Попрацюйте над розпізнаванням електронних листів чи повідомлень, які можуть бути фішинговими. Поясніть методи соціальної інженерії та ризики витоку інформації через взаємодію зі зловмисниками.
- Зверніть увагу на важливість створення сильних паролів та їх регулярну зміну. Поясніть принципи управління правами доступу та обмеження доступу лише до необхідних ресурсів.
- Підкресліть важливість регулярного оновлення програмного забезпечення та встановлення патчів для закриття вразливостей.
- Викладіть методи безпечного обміну інформацією в мережі та через електронну пошту. Заохочуйте використання шифрування для захисту конфіденційних даних.
- Поясніть важливість заходів фізичної безпеки, таких як блокування комп'ютерів при відсутності, управління доступом до приміщень і зберігання пристроїв у безпечних місцях.
- Навчіть колег важливості резервного копіювання даних та розуміння процедур відновлення в разі втрати чи пошкодження інформації.
- Забезпечте розуміння корпоративних політик та процедур безпеки. Поясніть, які дії слід вживати в різних сценаріях та як дотримуватися внутрішніх правил.
- Навчіть виявляти та повідомляти про будь-які підозрілі або небезпечні ситуації. Заохочуйте активну участь у процесах звітування та аналізу інцидентів.
Порада №4: проведіть оцінку своєї структури кібербезпеки згідно із визначеними стандартами
Основне правило визначення якості ваших протоколів кібербезпеки — це її ефективність. А виміряти її можна тільки оцінкою ризиків та кількістю інцидентів атак. Тобто якщо інциденти трапляються часто — це означає, що система функціонує недостатньо ефективно.
Звісно ж, повністю захиститись від проблем будь-якого роду — це недосяжний золотий грааль, тому варто прагнути до постійного зменшення кількості інцидентів. Якщо ж при оцінці захищеності ви все ж хочете спиратись на певний рівень, який вважається достатнім, у 2022 році було оновлено міжнародний ІТ стандарт ISO/IEC27001. Раніше вимоги стосувались інформаційної безпеки в цілому, але тепер виокремлюється і кібербезпека.
Згідно зі стандартом, компанії зобовʼязуються виконувати певні процедури для збереження захисту, як-то проводити оцінки ризиків, ідентифікувати загрози, вразливості та можливі наслідки, контролювати фізичні та логічні доступи до інформації, чи забезпечувати конфіденційність та цілісність інформації через застосування шифрування та інших технічних засобів.
Є й інші стандарти та фреймворки, як-то NIST Cybersecurity Framework (CSF), але вони не дуже поширені в Україні.
Коротка післямова
Нові загрози зʼявляються щодня, навіть якщо дивитись тільки на вразливості вже відомого ПЗ. На додаток до них розробляються віруси, трояни, хробаки тощо. Тож засоби кібербезпеки адаптуються до умов, намагаються прогнозувати й грати наперед, розробляючи більш надійні й ефективні засоби та інструменти. Бути захищеним від усіх видів атак неможливо, але підготуватися до найбільш поширених та вірогідних із них цілком реально.
Підписуйтеся на наші соцмережі
