Современные компьютерные угрозы: что реально угрожает бизнесу?

В настоящее время у бизнеса есть силы и возможность привлечь специалистов для быстрого роста компании – с точки зрения экономики, который, к сожалению, не всегда идет в ногу с информационной безопасностью. Тут-то и начинаются проблемы.

Говорить о проблемах с информационной безопасностью в малом бизнесе не приходится, так как руководители в состоянии проконтролировать порядок в небольшом коллективе сотрудников, наряду с тем, что интерес со стороны злоумышленников невелик. Когда же компания перешагивает порог в тысячу сотрудников и появляются сотни удаленных офисов (филиалов) – наступает переломный момент, который (в отсутствие должного внимания со стороны "безопасников") погубит бизнес.

На сегодняшний вопрос о современных компьютерных угрозах бизнесу с большим штатом у меня есть свой "ТОП 5"-ответ.

База данных для тестирования

Так уж сложилась жизнь, что перед выкладкой изменений в программном продукте на производственную среду следует произвести тестирование последнего. Максимально приближая тестовую среду к производственной, можно безопасно выявить изъяны новой системы и не обрекать пользователей на мучения в виде ошибок в неподходящий момент.

Базы данных для тестирования в данном случае не исключение. Говоря об администраторах баз данных – такие же люди, которым свойственно ошибаться и спешить, что, особенно при больших объемах, сильно угрожает бизнесу и по сей день.

Речь идет об утечке информации по средствам доступа, к примеру, новых разработчиков к тестовой среде, в которой имеется полная копия базы данных с финансовой информацией или персональными данными клиентов.

Отсутствие code review

Возвращаясь к разработке – обозначим еще один "модный" ныне момент. Нередко сталкиваюсь с непониманием у бизнеса того факта, что увеличение числа разработчиков зачастую ведет к снижению качества и скорости самой разработки программного обеспечения.

В отсутствие должного уровня понимания между бизнесом и групп информационной безопасности с ИТ компания пополняется немаленьким штатом разработчиков. Сей факт таит в себе угрозу – в отсутствие систем проверки исходного кода либо старших групп (доверенных лиц) с полномочиями code-reviewer компания обрекает себя на появление в системе разного рода back door’ов либо простого и банального размещения в системах хранения исходного кода логинов и паролей к базам данных производственной среды.

Отсутствие SIEM-систем

Рост компании обусловлен не только увеличением числа сотрудников, но также и ростом инфраструктуры. Открываем современные стандарты безопасности – в каждом можно увидеть строки с информацией о том, что нельзя пренебрегать информацией в log файлах, что требуется реагировать своевременно и обязательно с созданием инцидентов, в частности, безопасности. Как уже было обозначено выше, люди есть люди, со своими земными особенностями, бизнесу не стоит надеяться только на администраторов.

Когда речь заходит о сотнях и тысячах мест, которые генерируют события о входе в систему или специфических работах на удаленных станциях, то мало верится в то, что силами только сотрудников можно контролировать безопасность системы. Ведь факт удаленного входа в систему – это только событие, которое еще предстоит обработать на предмет соответствия прав. К примеру, почему под аккаунтом логиста входят на сервер финансового департамента, а это реальные случаи, когда сотрудники продавали за деньги свои аккаунты и заявляли о компрометации через сутки.

Иными словами, не внедряя в свою инфраструктуру SIEM-систему (рис. 1), бизнес сам подталкивает себя в небезопасную сторону.

Отсутствие TOCACS like

Наименование угрозы для бизнеса звучит странновато, но сейчас проясним. Продолжая тему роста инфраструктуры, не могу не отметить угрозу, которая возникает, к примеру, в момент расставания с недобросовестным сотрудником, имеющим доступ к сетевой инфраструктуре. Представьте себе картину – в отдел сетевых ресурсов поступает заявка на смену логинов и паролей для сотни сетевых управляемых коммутаторов и маршрутизаторов.

Далеко не все компании могут похвастаться наличием на убедительное количество процентов добросовестных и ответственных сотрудников, которые в отсутствие аппаратных платформ для управления доступом, в частности, к сетевым устройствам (к примеру, по протоколу TOCACS (рис. 2)), смогут оперативно решать подобные вопросы.

В данном случае над компанией нависает угроза остановки предприятия на неопределенное количество времени. Ведь желание злоумышленника навредить порой намного больше, нежели возможность сделать свою работу на 100% качественно и своевременно соответствующими сотрудниками компании, – потому как людям свойственно ошибаться.

Отсутствие "умных брандмауэров"

Как это ни странно звучит, но завершает "ТОП5" современных угроз бизнесу симбиоз социальной инженерии и вредоносного программного обеспечения. Угроза выходит за рамки отсутствия только "умных брандмауэров" и подразумевает постоянную работу отдела информационной безопасности с сотрудниками на поприще знаний из области ИБ.

По разным причинам в больших компаниях есть текучка кадров. Служба информационной безопасности не всегда способна покрыть нужду в повышении осведомленности сотрудников в области информационной безопасности на 100%, что, в свою очередь, обеспечивает будущее угрозе потери данных.

Бич нашей с вами современности – способность "заработавшихся" сотрудников распаковывать и запускать файлы из писем на своей рабочей станции. Остается только придумать, как подтолкнуть к открытию файла, который не всегда будет заблокирован антивирусом, если таковой имеется. Именно тут и появляется социальная инженерия.

Реальный случай из жизни, к сожалению, с потерей данных. Есть отделы, для которых как огонь звучат слова из тела письма о надобности решить тот или иной вопрос, незакрытие которого ведет к штрафным санкциям, если не сотрудника, то предприятия. К письму в качестве доказательной базы, под видом документов, прикрепляется архив с вредоносным программным обеспечением. В порыве сотрудник не замечает, как сам запускает исполняемый файл, не являющийся вирусом, задачей которого является нанесение ущерба, к примеру, в виде удаления всех документов с заданным расширением (на сетевых дисках, в частности).

Бизнесу не стоит останавливаться только на работе специалистов ИБ с сотрудниками по повышению осведомленности. Сегодня на рынке имеется несколько производителей "умных брандмауэров". На борту у этих устройств, помимо обновляемой базы вышеописанных случаев, имеется и антивирусная система (не может не радовать тот факт, что у этих устройств в почете отечественный антивирус).

Очень важно обезопасить периметр по средствам "умных брандмауэров". Ведь удаление файлов – это не весь арсенал злоумышленников!

Подытоживая информацию о современных угрозах для бизнеса.

Заводя базу данных в тестовой среде – позаботьтесь о маскировании критичных для бизнеса данных, список которых обязан быть в отделе информационной безопасности.

Выводите новых разработчиков с учетом возможности покрыть их программный код проверками доверенных специалистов и систем анализа кода.

Расширяя инфраструктуру – не экономьте на отсутствии SIEM и системе управления учетными данными сетевых устройств.

Не упускайте из поля зрения проблемы повышения осведомленности сотрудников в области информационной безопасности, равно как отсутствие "умных брандмауэров".