Як бізнесам ефективно захищати свою інфраструктуру в 2024 році: радять чотири експерти з кібербезпеки
Кіберзагрози стають дедалі серйознішою проблемою для бізнесу всіх розмірів. Хакери не планують зупинятися, вигадуючи нові атаки та успішно експлуатуючи «вічну класику». Що треба знати, щоб перемагати у цьому двобої?
Кібератаки можуть завдати значної шкоди репутації компанії, призвести до втрати даних та фінансових збитків, а також спричинити перебої в роботі. Так, згідно з Identity Theft Resource Center 2022 Data Breach Report, у 2023 році хакери здійснили 2365 атак, жертвами яких стали 343 338 964 особи. А тим часом середня світова вартість витоку даних у 2023 році становила $4,45 млн, що на 15% більше, ніж три роки тому.
Роль кібербезпеки у збереженні статків компанії дуже відчутна. Тож з нагоди Дня пароля міжнародний True Value Added IT-дистриб'ютор BAKOTECH запитав у чотирьох експертів, як бізнесу ефективно захищати свою інфраструктуру та зменшити ризик серйозних збитків.
Фішинг стає дедалі ефективнішим. За даними Verizon про витоки даних у 2023 році, 49% кіберзлочинців отримали доступ через зламані паролі.
Менеджери паролів не захищають від фішингу, де дані перехоплюються в режимі реального часу.
Висновок: пароль, який неможливо скомпрометувати, — це той, якого не існує.
Яка є альтернатива звичайним паролям?
Passwordless Authentication — це дієва заміна пароля, яка набирає популярність. Згідно з дослідженням, у 2023 році понад 71% респондентів серед ІТ-фахівців у віці 30 років і молодше віддавали перевагу безпарольній автентифікації.
FIDO2/WebAuthn наразі вважається «золотим стандартом» автентифікації. Він працює на основі криптографії, що передбачає обмін публічного та безпечне зберігання приватних ключів. Отже, автентифікація стає стійкою до фішингу та інших видів атак на основі паролів.
Як налаштувати автентифікацію без пароля:
- Переконайтеся, що ви розумієте, як усі працівники наразі входять у систему.
- Підготуйте інфраструктуру. Бажано впровадити сервіс, що може реалізувати єдиний вхід (Single-Sign-On) у вебсервіси та додатки.
- Налаштуйте різні варіанти безпарольної аутентифікації: 1) Passkey — телефон, планшет або ПК як власний ключ безпеки. 2) Мобільний додаток на телефоні. 3) Апаратний ключ безпеки з вбудованим біометричним сенсором або без нього.
Існує безліч шляхів атаки на інфраструктуру. Загалом ІТ-інфраструктура — це як середньовічне місто, до якого ведуть різні дороги. Щоб у місто не зайшли розбійники, потрібно на кожному вході поставити охорону.
У нашому випадку під охороною мається на увазі впровадження багаторівневої стратегії кібербезпеки, яка враховує захист облікових записів, керування привілеями доступу, послідовний моніторинг, налаштування прав користувачів та безпечного віддаленого доступу.
Рішення та методи для комплексного захисту бізнесу
Сучасному бізнесу потрібен більш комплексний підхід до захисту своїх цифрових активів, який враховував би не тільки ІТ-адміністраторів, а й кожну групу користувачів.
Розглянемо всі групи окремо.
- Бездоганний досвід для співробітників: єдиний вхід (SSO), багатофакторна автентифікація (MFA) та інші функції забезпечують безпечний доступ без шкоди для продуктивності.
-
Детальний контроль для ІТ-адміністраторів: керування привілейованим доступом (PAM) дозволяє призначати певні ролі та дозволи, забезпечуючи користувачам доступ лише до ресурсів, необхідних для виконання їхніх завдань. Це знижує ризики без шкоди для ефективності роботи.
-
Cloud Architect: архітектори потребують рішення, які інтегруються з хмарною інфраструктурою, щоб забезпечити стабільну безпеку на всіх платформах. Отже, рішення має підтримувати хмарні додатки та гібридні середовища, дозволяючи архітекторам керувати хмарними ресурсами та захищати їх без впливу на продуктивність.
-
Захист програмних облікових записів: окрім керування доступом людей, організації також повинні захищати технічні облікові записи, такі як токени, ключі API та інші. Це дозволить адміністраторам централізувати контроль, автоматизувати ротацію секретів і контролювати доступ, забезпечуючи безпеку автоматизованих процесів і міжмашинного зв’язку.
Які переваги впровадження системи управління обліковими записами
Інтелектуальна платформа захисту облікових записів гарантує безпечний доступ з мінімальними привілеями, виявленням загроз та реагуванням у реальному часі. Ось кілька її переваг:
- Зниження ризику внутрішніх загроз завдяки обмеженню доступу до конфіденційної інформації.
- Суворий контроль доступу до локальних і хмарних програм, служб та ІТ-інфраструктури.
- Зменшення потенційного впливу зломів.
- Підвищення підзвітноісті за допомогою детального журналювання та журналів аудиту.
- Оптимізація робочих процесів.
- Зменшення навантаження на ІТ-команди.
- Збереження високого рівня безпеки.
Культура кібербезпеки — це система цінностей, норм та поведінки, у якій захист даних від кіберзагроз стає пріоритетом для всіх співробітників на всіх рівнях. Власне, співробітники — це ваша перша лінія захисту від атак на кшталт фішингу та соціальної інженерії, які стають популярнішими.
Упровадження культури кіберобізнаності в компанії починається з підтримки керівництвом. Саме керівники задають потрібний тон, який згодом мотивує всіх співробітників.
Освітня програма має два підходи:
- постійний — для нагадування про активні загрози й нові тактики хакерів;
- орієнтований на нових співробітників для вивчення основних принципів кіберобізнаності
Ефективність вимірюється за результатами участі в тренінгах, симуляціях фішингу та вікторинах.
Кіберообізнаність формує більш відповідальну поведінку користувачів, які починають жвавіше реагувати на нетипову активність, звертатися за допомогою до фахівців з безпеки, коли помічають щось незвичне, та дбати про захист даних.
Що отримує компанія, якщо впроваджує регулярні тренінги
- Зменшення ризику, кількості інцидентів та пов'язаних із ними витрат і репутаційних збитків.
- Економію часу та грошей.
- Підвищену продуктивність, адже організації та їхні працівники залишаються працездатними й продуктивними.
- Відповідність внутрішнім політикам, регуляторним та галузевим стандартам.
- Відповідність контрактним угодам та вимогам кіберстрахування.
- Розширення можливостей та зростання співробітників.
На мою думку, в контексті трендів захисту даних головними залишаються DLP, CASB та Zero Trust. Вони стабільно допомагають компаніям збудувати надійний захист від витоків конфіденційної інформації.
Розглянемо кожний детальніше.
DLP
Data Loss Prevention (DLP) — це запобігання витокам конфіденційних даних (навмисним чи випадковим) завдяки аналізу потоків інформації, яка виходить за периметр організації.
DLP необхідно застосовувати як in transit (тобто, коли дані намагаються вивантажити з корпоративного середовища), так і at rest (коли співробітники зберігають корпоративні дані в незахищеному вигляді в SaaS застосунках, на кшталт Salesforce, Google Drive, M365 та інших).
Optical Recognition для DLP так само є однією з ключових функцій, яка дає змогу сканувати зображення на наявність конфіденційних даних.
CASB
CASB (Cloud Access Security Broker) — це система, що діє як посередник між користувачами та хмарними ресурсами, забезпечуючи контроль доступу, моніторинг активності та відповідність нормативним вимогам. Він інтегрується з SaaS-додатками компанії та сканує дані додатків на наявність відкритої конфіденційної інформації. Наприклад, в зоні інтересу брокера безпеки — PDF-документ у відкритому доступі без пароля в корпоративному Google Drive, документ, розшарений публічно у Salesforce тощо.
Інтеграція DLP і CASB дає змогу запобігти витоку корпоративних даних at rest.
Zero Trust
Метод Zero Trust покладається на аутентифікацію кожного запиту до ресурсів, незалежно від його джерела. Це допомагає зменшити поверхню атаки, надаючи користувачам доступ лише до необхідних ресурсів.
Такий підхід мінімізує вплив крадіжок облікових даних і фішингових атак внаслідок необхідності використання декількох факторів аутентифікації. Також він знижує ризик, пов'язаний з вразливими пристроями, включно з IoT.
Налаштувавши Zero Trust, команда забезпечує захист всіх ресурсів компанії: self-hosted додатків, SaaS, приватних мереж, пристроїв співробітників та даних на них та інших.
