Внимание к человеческому фактору и четкие правила

Однако недавно, условно сочтя периметром столь популярные облачные сервисы, мы включили в свои продукты и услуги решения по управлению идентификацией, поскольку они существенно повышают эффективность защиты периметра с учетом человеческого фактора. Это относится к учетным записям как обычных пользователей, так и администраторов с особыми правами. Учетные записи админов обычно относят к так называемой серой зоне безопасности, поскольку в их отношении часто нет четкой картины происходящего. Мы также видим, что управление учетными записями рядовых пользователей можно организовать намного лучше, если автоматизировать предоставление, изменение и ликвидацию необходимых прав пользователя с момента его приема на работу и до расставания с компанией.

Сегодня, когда подавляющее большинство офисных работников уже давно трудится на дому, отпала необходимость специально продвигать решения удаленного доступа от Stallion, очень простые и безопасные в эксплуатации. Тем не менее, можно отметить, что для одного продукта мы создали особенно удобный дополнительный модуль, который позволяет дополнительно идентифицировать пользователя с помощью широко используемых в Эстонии Mobiil-ID или Smart-ID без необходимости в калькуляторе PIN-кодов или мобильных приложениях.

Некоторые компании просто не имеют ИТ-специалистов с необходимой компетенцией в области кибербезопасности. Кому-то из них не удалось найти сотрудника подходящей квалификации, а в некоторых случаях нанимать специалиста нецелесообразно. Таким компаниям мы предлагаем услугу полного администрирования, то есть помимо установки, гарантий и обновлений программного обеспечения занимаемся повседневным удаленным управлением решениями по обеспечению безопасности.

Мы помогаем оптимизировать базы правил брандмауэра – удаляем старые, ненужные и при необходимости обновляем существующие правила. При этом наш опыт, знания и передовые методы позволяют создавать и изменять правила и сегментацию сети на основе коммерческой логики и потребностей конкретных пользовательских ролей, а не просто разрешив или запретив некоторый сетевой трафик. Это необходимо для того, чтобы избавиться от накопленного на протяжении истории лишнего груза, повысить безопасность систем и привести их в соответствие последним требованиям нормативных актов.

Одна из конкретных вещей, которой определенно следует уделить больше внимания, – это повышение прозрачности систем, то есть возможности видеть ситуацию. Трудно принять защитные меры, если неизвестно, что и от чего нужно защищать. Сегодня можно найти очень хорошие и относительно простые в управлении инструменты, позволяющие начальнику и всей службе кибербезопасности наилучшим образом выполнить эту часть их работы. Эти инструменты позволяют находить в компьютерной сети устройства, затерявшиеся в недрах реестра, а также еще не распознанное оборудование – например, устройства интернета вещей, обычно не администрируемые ИТ-специалистами. После идентификации устройства такой инструмент анализирует версии установленного на устройстве программного обеспечения, выявляет их уязвимые места и дает рекомендации по обновлениям или альтернативным мерам защиты. При желании или необходимости можно задать и автоматические обновления.

У Stallion есть три различных решения систем обнаружения – от относительно простого сканирования уязвимых мест и веб-сервисов до значительно более мощных углубленных решений типа XDR (англ. eXtended Detection and Response). При этом любое из них станет очень полезным дополнением к современным мерам защиты межсетевого экрана и конечного устройства.

Еще раз хотелось бы подчеркнуть, что сама по себе кибербезопасность бессмысленна, она должна опираться на конкретные коммерческие потребности. Важно модернизировать политики межсетевых экранов, потому что, в первую очередь в давно созданных компаниях, могут обнаружиться правила, которым более двадцати лет, их значение или потребность в них давно утрачены, и такие правила только повышают риски. Кроме того, передовые практики предусматривают правильную сегментацию сети на основе профилей заданий, приложений и серверов.

В течение многих лет самыми актуальными темами были интернет вещей и облачные сервисы, однако в вопросах их безопасности, к сожалению, дела не слишком хороши. Если поддержку облачных сервисов, с большей или меньшей степенью доверия, можно оставить на долю поставщика услуги, то в случае устройств IoT, как правило, никому не известно, могут ли, где и какие данные они передавать помимо того, что предполагалось. Кроме того, программное обеспечение устройств интернета вещей зачастую не так просто обновить, даже если производитель и выпускает обновления. В этом случае должны и могут быть применены дополнительные меры безопасности.

Помимо этого, важное значение имеет управление привилегированными учетными записями, т. е. адекватный контроль над профилями администраторов компьютерных сетей, серверов и приложений. Часто бывает так, что руки так и тянутся разобраться в делах администратора, который имеет доступ ко многим критически важным службам и частям инфраструктуры, однако нет никакого способа как-то ограничить его действия или точно узнать, что он там делает. То же действительно и в случае, когда та или иная услуга или администрирование сервера отданы партнеру на аутсорсинг. Однако это не обязательно. Мы можем очень четко определить условия доступа – его время и продолжительность, местоположение администратора, доступные части инфраструктуры, запрещенные и разрешенные действия и т. д., записывать все выполненные действия и обращаться к записям при возникновении сомнений.

Еще в прошлом году мы наблюдали тенденцию к смещению фокуса атак злоумышленников с корпоративных сетей на домашние компьютерные сети с прицелом на пользователей, вынужденных работать на дому. Очевидно, что домашняя сеть защищена слабее, чем корпоративный интранет. Поэтому пока пользователь сидит дома, намного проще выудить его реквизиты или важные данные, чтобы использовать их для атаки на компанию. Специалисты по кибербезопасности приходится много заниматься защитой сотрудников своей компании и их домашних компьютеров.

Не упрощает ситуации и экспоненциальный рост популярности «умных» лампочек, розеток, камер наблюдения и другой бытовой техники, подключенной к интернету вещей, уровень безопасности которой зачастую не выдерживает критики. А значит, эти устройства могут использоваться в качестве плацдарма для атак на другое оборудование, подключенное к домашней сети. Поиск решений для защиты и домашних, и промышленных устройств IoT – постоянно растущая тенденция, которая актуальна уже несколько лет и, безусловно, останется актуальной.

Обусловленная пандемией дистанционная работа привела и к резкому росту использования всевозможных облачных сервисов. К сожалению, слишком часто перевод на облако совершался в спешке и не слишком продуманно с точки зрения безопасности. Переселение данных и приложений на облачные серверы в этом году продолжается, как и гонка специалистов по кибербезопасности, стремящихся сделать развернутые облачные решения максимально недоступными для кибер-мошенников.

Программы-вымогатели тоже никуда не исчезнут. По оценкам, в прошлом году они нанесли убыток на сумму порядка двадцати миллиардов долларов. Согласно прогнозам на этот год, убытки могут вырасти еще на 50%. Таким образом, защита периметра и рабочих станций продолжает оставаться актуальной, а борьба с программами-вымогателями потребует серьезных усилий, поскольку преступники становятся опытнее и хитрее, выбирают все более эффективные векторы атак.

Основная цель киберпреступников – деньги, будь то мошенничество, кража банковских реквизитов, вымогательство, торговля крадеными данными или иные преступления. Таким образом, жизненно важной задачей поставщиков решений кибербезопасности, профессионалов и других специалистов по кибербезопасности по-прежнему остается держаться на шаг или несколько шагов впереди преступников.