О том, кто такой Chief Information Security Officer (CISO), написано множество публикаций, поэтому мы лишь напомним, что это директор по информационной безопасности в организации. Этот руководитель отвечает за обеспечение ИБ и его ошибки могут дорого обойтись компании.
В этой статье мы рассмотрим несколько наиболее распространенных ошибок, которые допускают руководители ИБ при планировании и организации процессов защиты. Да, эти ошибки хорошо известны, но из года в год множество организаций наступает на одни и те же грабли и об этом мы хотели бы сегодня поговорить.
С ростом зависимости от технологий в нашей личной и профессиональной жизни крайне важно иметь надежные меры кибербезопасности для защиты от таких угроз, как хакеры, вредоносное ПО и утечки данных. Ошибки в этой области могут иметь серьезные последствия, включая потерю конфиденциальной информации, финансовый ущерб и ущерб репутации организации.
Отсутствие обновлений ПО
О том, что необходимо устанавливать критические обновления безопасности тоже сказано немало. Однако, что происходит на практике? Во многих организациях управление процессами обновления программного обеспечения централизованно не выстроено. Это означает, что установка обновлений отдается на откуп администраторам и владельцам отдельных систем. Например, если администратор СУБД считает нужным установить то или иное обновление он сам разрабатывает план обновления и выполняет работы. Если он не считает нужным устанавливать обновление, то работы не выполняются и система остается незащищенной.
Такой «партизанский» подход недопустим. CISO должен разработать единую политику установки обновлений по всей компании. При выпуске вендором нового обновления оно должно в обязательном порядке быть протестировано на стенде. То есть в организации должна быть развернута точная копия целевой системы, на которой проверяется работоспособность обновления. После успешной проверки должен составляться план выполнения работ по обновлению, в котором обязательно должен быть пункт с действиями по откату обновления в случае проблем.
Таким образом, установка обновлений должна вестись централизованно по всей компании. Также CISO должен организовать регулярные проверки на наличие уязвимостей. Специалисты отдела ИБ ИБ должны еженедельно проводить сканирование всех ресурсов с помощью таких инструментов, как MaxPatrol для выявления уязвимостей. В случае, если обнаруживается новая уязвимость, владелец соответствующей системы должен оперативно ее закрыть. Этот процесс тоже нельзя пускать на самотек, так как пока уязвимость не закрыта, инфраструктура организации остается под угрозой.
Уязвимости нулевого дня, для которых еще нет исправления от поставщика, могут быстро стать уязвимостями N‑day, то есть исправление к ним было выпущено, но организация еще не применила его. Уязвимости N‑day потенциально более опасны, чем уязвимости нулевого дня, поскольку существование уязвимости теперь общеизвестно, и злоумышленники быстро разрабатывают эксплойты и ищут организации, которые еще не установили исправления. Печально известная программа‑вымогатель WannaCry, посеявшая хаос по всему миру, была уязвимостью N‑day в протоколе сервера SMBv1 Microsoft, более известном как EternalBlue.
Слабые пароли
Использование слабых и легко угадываемых паролей является распространенной ошибкой, которая может серьезно повлиять на кибербезопасность. Пароли являются первой линией обороны от несанкционированного доступа к онлайн‑аккаунту или устройству, поэтому крайне важно использовать надежные и уникальные пароли, которые другим трудно угадать или взломать.
Слабые пароли используют общие слова или фразы или включают легко угадываемую личную информацию, такую как имя или дата рождения. Эти пароли могут быть легко взломаны злоумышленниками с помощью автоматизированных инструментов, которые затем могут быть использованы для получения доступа к учетной записи или устройству.
Приведем несколько примеров слабых паролей: Qwerty1!, 1 234 567 890, P@ssw0rd — все это слабые пароли. Первый использует последовательность клавиш на клавиатуре, второй состоит только из цифр, а третий хоть и состоит из букв, цифр и спецсимволов, но также как и первые два является широко известным и входит во все словари паролей.
Использование слабых паролей ставит под угрозу конфиденциальную информацию и безопасность самой учетной записи или устройства. Прежде всего, необходимо использовать в организации парольные политики, требующие использование паролей, длиной не менее 12 символов (да, 8 уже маловато!), состоящих из больших и маленьких букв, цифр и специсимволов. Также пользователи должны менять свои пароли не реже одного раза в полгода.
При этом надо следить, чтобы пользователи не разглашали свои пароли. Например, не наклеивали бумажки с паролями на монитор.
Также, организации могут воспользоваться возможностями многофакторной аутентификации (MFA) и двухфакторной аутентификации (2FA), чтобы усилить безопасность учетных записей. Например, при подключении удаленного пользователя к OWA неплохо было бы запрашивать дополнительный одноразовый пароль, который приходит пользователю по СМС.
Пренебрежение резервным копированием
Пренебрежение резервным копированием необходимых данных является серьезной ошибкой при обеспечении кибербезопасности, поскольку это может иметь серьезные последствия в случае кибератаки или другого инцидента, приводящего к потере данных. Регулярное резервное копирование создает копию важных файлов и информации, которую можно использовать для восстановления исходных данных в случае их потери или повреждения. Без резервного копирования восстановление потерянных или поврежденных данных может быть невозможным, что приведет к значительным сбоям, финансовым потерям или другим негативным последствиям.
Помимо защиты от потери данных, регулярное резервное копирование критически важных данных также может помочь восстановить данные, зашифрованные в результате атак программ‑вымогателей. Хотя бэкап не может помешать злоумышленникам пытаться вымогать деньги у жертв, угрожая утечкой украденных данных, он может помочь компаниям восстановить основные услуги и свести к минимуму перебои в работе бизнеса, вызванные такими атаками.
Однако, важно понимать, что бэкапы недостаточно только делать, их необходимо регулярно проверять, иначе есть риск столкнуться с ситуацией, когда восстановить данные после сбоя невозможно, потому что с бэкапом возникли проблемы. Особенно часто такое бывает при восстановлении баз данных.
Таким образом, CISO должен проконтролировать разработку регламента резервного копирования и проверки бэкапов.
Фишинг
В последние годы фишинг стал настоящей бедой большинства крупных организаций. Все более изощренные фишинговые атаки являются печальной реальностью нашего цифрового мира, представляя серьезную угрозу личной и финансовой безопасности. Мошеннические электронные письма или веб‑сайты кажутся законными, но обманывают жертв, заставляя их выдавать конфиденциальную информацию, такую как пароли, номера кредитных карт и другие данные, к которым злоумышленники стремятся доступ. Более того, эти атаки часто служат точками входа для распространения вредоносного ПО, что представляет собой еще один риск для устройства и систем данных жертвы.
Здесь CISO необходимо организовать процесс обучения персонала. До всех сотрудников компании необходимо донести опасность фишинговых атак. Пользователи должны понимать опасность перехода по незнакомым ссылкам из писем. Отдельная история это различные атаки, реализуемые с помощью мессенджеров, например тот же Fake Boss, когда мошенники представляются руководством компании.
Что касается технических средств, которые могут помочь обнаружить фишинг, то можно настроить дополнительные предупреждения о том, что это письмо от внешнего отправителя, для тех писем, которые отправлены не из домена компании.
Пренебрежение обучением сотрудников кибербезопасности
В продолжение предыдущей темы пренебрежение обучением сотрудников передовым методам кибербезопасности является ошибкой, поскольку это делает людей в организации уязвимыми для кибератак. Люди часто считаются самым слабым звеном в защите кибербезопасности организации, поскольку киберпреступники могут легко обмануть или манипулировать ими, используя фишинг или тактику социальной инженерии. Если сотрудники не обучены распознавать и предотвращать эти атаки, они могут невольно подвергнуть риску данные и системы организации.
Обучение сотрудников передовым методам кибербезопасности имеет важное значение для общей стратегии кибербезопасности организации. Поэтому не стоит забывать о проверках знаний сотрудников. Здесь можно использовать различные тесты, но в случае с тем же фишингом лучшей проверкой является отправка определенной группе сотрудников писем с ссылками на внешний ресурс. Само письмо может содержать просьбу ИТ отдела протестировать новый веб ресурс. Дальше смотрим сколько человек перешло по ссылке и сколько ввело учетные данные на этом ресурсе. С теми кто попался проводим дополнительную работу и через какое‑то время снова проводим такую проверку. CISO должен инициировать проведение обучения пользователей и проверок их знаний.
Опора на устаревшие меры безопасности
Проблема, с которой столкнулись компании со старыми, устаревшими AV‑решениями, заключалась в том, что они были основаны на обнаружении вредоносных файлов с помощью сигнатур — обычно хэша файла, или путем идентификации контрольных строк, содержащихся в двоичном файле, с помощью поисковых методологий, таких как правила YARA.
У этого подхода оказалось несколько слабых мест. Во‑первых, авторы вредоносных программ начали обходить обнаружение на основе сигнатур, просто дополняя файлы дополнительными байтами для изменения хэша вредоносного ПО или используя различные способы шифрования строк, которые не могли быть легко прочитаны при двоичном сканировании. Во‑вторых, злоумышленники, намеревающиеся украсть данные компании или нанести ущерб с помощью программ‑вымогателей, больше не пытались просто записать вредоносные, обнаруживаемые файлы на машину жертвы. Вместо этого тактика злоумышленников эволюционировала и стала включать атаки «без файлов» в памяти, использование встроенных приложений и процессов («жить за счет земли») и взлом сетей путем фишинга пользователей для получения учетных данных или кражи ресурсов с помощью майнинга криптовалют. Устаревшие AV‑решения не имели ресурсов для работы с новой волной тактик, методов и процедур.
Поэтому в крупных компаниях антивирусы регулярно пропускают вредоносы, что приводит к массовым заражениям. Здесь от CISO требуется быть в курсе современных технологий, таких как песочницы и облачные сервисы для обнаружения подозрительных файлов. Необходимо внедрять новые средства защиты и совершенствовать уже имеющееся. Не стоит забывать, что информационная безопасность это непрерывный процесс.
Защита личных данных пользователей
Здесь мы снова возвращаемся к проблемам с обычными пользователями. Многие люди размещают информацию о себе в социальных сетях, при этом они могут достаточно подробно рассказывать о своем месте работы, указывать текущую должность, выкладывать фото.
Все это может помочь злоумышленникам при реализации атак социальной инженерии. Понятно, что здесь CISO не так просто вмешаться в этот процесс неконтролируемого распространения информации.
Однако, руководитель ИБ должен донести до всех пользователей опасность распространения подобной информации. Так в политике безопасности организации необходимо указать то, какие сведения об организации являются конфиденциальными и не подлежат распространению.
Кстати, не лишним было бы поручить одному из сотрудников службы ИБ на регулярной основе искать в сети какую информацию сотрудники публикуют в социальных сетях. Зачастую можно узнать много интересного не только о том, какие сведения они распространяют, но и как вообще относятся к компании и не собираются ли уволиться.
Заключение
В этот список сознательно не включены проблемы с несоблюдением требований регуляторов, потому что в большинстве организаций, как правило требования того же ФЗ № 152 выполняются... как минимум на бумаге.
В статье мы привели семь основных ошибок, которые допускают руководители ИБ в организациях и которые затем могут привести к неприятным последствиям. Часть из этих проблем можно решить техническими средствами, а для других потребуется внедрение организационных мер и регулярная работа с пользователями.
Однако, выполнение предложенных рекомендаций позволит существенно повысить уровень защищенности организации в целом.
Интересуетесь информационной безопасностью на уровне бизнеса? Приглашаем вас на два открытых урока курса «CISO / Директор по информационной безопасности»:
Управление рисками ИБ: как избежать инцидентов и защитить бизнес - 7 июля
Повысить зрелость информационной безопасности в рамках бюджета, первые шаги - 16 июля
Разберём ключевые риски, ошибки CISO и современные подходы к защите компании.
Участвуйте бесплатно, чтобы понять, насколько это направление вам подходит.
Регистрируйтесь — и начните выстраивать системную ИБ с нуля.