ОРГАНІЗАЦІЯ СИСТЕМИ КІБЕРБЕЗПЕКИ У ВАШІЙ КОМПАНІЇ

Кібербезпека давно є в центрі уваги. Компанії все частіше стикаються із серйозними збоями системи, машстабними витоками інформації, порушеннями конфіденційності та значними фінансовими втратами. Разом  тим, багато керівників до цих пір не знають як підійти до інформаційної безпеки та не застосоувують потрібних заходів, що приводить до значним збиткам. Аби не робити подібних помилок, рекомендуємо ознайомитися з можливими ризиками, стратегіями та рішеннями, які допоможуть захистити вашу компанію від кіберпогроз.

ОРГАНІЗАЦІЯ СИСТЕМИ КІБЕР­БЕЗПЕ­КИ У ВАШІЙ КОМПАНІЇ

Кібербезпека давно є в центрі уваги. Компанії все частіше стикаються із серйозними збоями системи, машстабними витоками інформації, порушеннями конфіденційності та значними фінансовими втратами. Разом  тим, багато керівників до цих пір не знають як підійти до інформаційної безпеки та не застосоувують потрібних заходів, що приводить до значним збиткам. Аби не робити подібних помилок, рекомендуємо ознайомитися з можливими ризиками, стратегіями та рішеннями, які допоможуть захистити вашу компанію від кіберпогроз.

Що таке інформа­цій­на безпека

Давайте почнемо з того, що інформаційна безпека (ІБ) — не якийсь особливий сервер чи крутий антивірус, який можна просто «поставити та забути». Це комплекс адміністративно-технічних заходів, які не дозволяють зловмисникам отримати доступ до даних або ІТ-систем підприємства. Це безперервний процес, який потребує постійної уваги та контролю.

А якщо враховувати те, що кількість цифрових активів впевнено росте та все більше аспектів бізнесу оцифровується та автоматизується — приділяти увагу організації ІБ точно варто.

Що загрожує ІБ

Увагу хакера потрібно заслужити, тому що це складна, висококваліфікована та достатньо небезпечна робота, але не обов’язково бути криптобіржою, аби вами зайнялися шахраї. Можна потрапити під масову атаку, мета якої заразити якомога більше вразливих ПК або стати метою цільової атаки, де хакер підбирає інструменти взлому спеціально під слабкі місця вашої інфраструктури. Більше того, завжди інсують внутрішні ризики у вигляді ваших власних працівників.

Якою б не була атака, маосва чи таргетована, проти ва можуть бути використані наступні засоби:

Шкідливе програмне забезпечення

котре шахраї створюють самостійно, аби за його допомогою пошкодити комп’ютер користувача або дані на ньому. Таке ПЗ часто поширюється під видом цілком нешкідливих файлів або поштових вкладень. Шкідливе ПЗ має багато обличь:

Віруси

програми, які заражають файли шкідливим кодом

Троянська програма

котра ховається під маскою легального ПЗ

Шпіонське ПЗ

програми, які таємно стежать за діями користувача та збирають необхідну інформацію

Програми-вимагачі

котрі шифрують файли та дані, аби отримати викуп за їхнє відновлення

Рекламне ПЗ

програми рекламного характеру, за допомогою яких може поширюватися шкідливе ПЗ

Ботнети

мережі комп'ютерів, які заражені шкідливим ПЗ

SQL-ін'єкція

один з найдоступніших способів взлому сайта. Його суть в інтеграції в дані довільного SQL кода. Цей вид кібератак також використовується для крадіжки інформації із баз даних

Фішинг

атаки, мета яких обманом отримати конфіденційну інформацію користувача. Злочинці частіше всього просто надсилають жертвам електронні листи й представляються важливою організацією, і отримують доступ до необхідних даних

Атаки посередника

атака, в ході якої кіберзлочинець перехоплює дані під час їх передачі. Він стає проміжною ланкою в ланцюгу й жертви про це навіть не підозрюють

DDoS-атаки

коли злочинці створюють надлишкове навантаження на мережі та сервера об’єкту атаки, через що система припиняє нормально працювати та нею стає неможливо користуватися

Кожен із цих заходів, так чи інакше, загрожує конфіденційності, цілісності та доступності даних, що тягне за собою репутаційні та фінансові збитки та втрату продуктивності. Розберемося які ризики можуть бути тут

Порушення конфіденційності

програми, які заражають файли шкідливим кодом

Порушення доступності

котра ховається під маскою легального ПЗ

Порушення цілісності

програми, які таємно стежать за діями користувачів та збирають необхідну інформацію

ЯК міні­мі­зу­вати збитки

Взломують всіх, і до цього потрібно бути готовим. Грамотний підхід до кібербезпеки включає кілька рівнів захисту для комп’ютерів, мереж, програм та даних. Організація має налаштувати правильну взаємодію людей, процесів та технологій для розгортання ефективного захисту від кібератак. ось кілька очевидних, але від цього не менш ефективних порад.

Конфіденційність

Тут все просто — чим менше вам потрібно щось приховувати від сторонніх очех, чим частіше ви видаляєте старі дані та сегментуєте сервіси  — тим менша можлива шкода

Доступність

Чим сильніше ви залежите від ІТ, тим серйозніша буде шкода. Кращий вихід — бути готовим працювати без ІТ. Якщо у вас відключили в офісі інтернет, працівники мають продовжити свою роботу. Наприклад, вони можуть зайнятися задачами, які не потребують інтернету. Завжди можна провести зустрічі, мітинги або влаштувати тімбілдінг. Й такі рішення мають бути підготовлені заздалегідь. А якщо ви є публічним сервісом, ідеальним варіантом буде сповіщення користувачів про проблеми із сервісами та орієнтованим часом відновлення

Цілісність

Резервне копіювання — це перший та найважливіший крок, який мінімізує шкоду при видаленні або зміні даних. Навіть якщо шифрувальник захопив всі ваші дані, на всіх ваших ПК та серверах, ви завжди зможете дістати свіжий бекап. А ще, бекапи захищають від помилок працівників, які випадково видаляють чи псують дані
Звісно, кількість кіберзлочинів та прийомів шахраїв продовжує рости. Зокрема, їх поширеню сприяє і пандемія. Тому, компаніям необхідно не тільки серйозно задуматися про те, як зміцнити кіберзахист своєї ІТ-інфраструктури, але й про те, як підвищити кіберграмотність своїх працівників. І аутсорс інформаційної безпеки може вирішити цю проблему

OUTSOURCE ІБ У ВАШІЙ КОМПАНІЇ

А тепер перейдемо до хороших новин  — практично від усіх атак, загроз та ризиків можна себе захистити. А займатися організацією ІБ необов’язково мають ваші працівники, ви завжди можете передати ці задачі на аутсорс. Лишається лише обрати підходяший тип послуг:

ПЕНТЕСТЕРИ

спеціалісти по взлому інформаційних систем та проникнення в них, які використовують свої навички для визначення слабких місць та вразливостей з метою їх своєчасного закриття та запобіганню їх експлуатацію зловмисниками

BLACK-BOX PENTEST
коли хакер знає лише назву компанії чи сайту та має самостійно провести розвідку за відкритими даними, аби знайти всі вразливі міцся вашої ІТ-інфраструктури
GRAY-BOX PENTEST
коли ви даєте частину інформації, або доступ до коду вашого сайту чи продукту. В такому випадку пентестер стає на місце хакера, котрий уже потрапив в інфраструктуру, або отримав дані, або є вашим працівником
WHITE-BOX PENTEST
коли ви взагалі нічого не приховуєте від пентестера і всіляко сприяєте аудиту інформаційної безпеки

OUTSOURCE ІБ У ВАШІЙ КОМПАНІЇ

А тепер перейдемо до хороших новин  — практично від усіх атак, загроз та ризиків можна себе захистити. А займатися організацією ІБ необов’язково мають ваші працівники, ви завжди можете передати ці задачі на аутсорс. Лишається лише обрати підходяший тип послуг:

ПЕНТЕСТЕРИ

спеціалісти по взлому інформаційних систем та проникнення в них, які використовують свої навички для визначення слабких місць та вразливостей з метою їх своєчасного закриття та запобіганню їх експлуатацію зловмисниками

BLACK-BOX PENTEST
коли хакер знає лише назву компанії чи сайту та має самостійно провести розвідку за відкритими даними, аби знайти всі вразливі міцся вашої ІТ-інфраструктури
GRAY-BOX PENTEST
коли ви даєте частину інформації, або доступ до коду вашого сайту чи продукту. В такому випадку пентестер стає на місце хакера, котрий уже потрапив в інфраструктуру, або отримав дані, або є вашим працівником
WHITE-BOX PENTEST
коли ви взагалі нічого не приховуєте від пентестера і всіляко сприяєте аудиту інформаційної безпеки
Коштують такі послунги від $5k до $15k, та виконуються протягом місяця командою експертів. В результаті, ви отримуєте звіт з інформацією про вдалі та невдалі вектори атаки та рекомендації по усуненню вразливостей. Важливо розуміти, що замовляти пентест необхідно тоді, коли ви уже інтегрували всі необхідні засоби захисту, інакше пентест пройде по “найкоротшому шляху” та весь потенціал не буде розкрито

Постачальники засобів безпеки

Дистриб’ютор програмного забезпечення від великих вендорів, які не продають своє ПЗ напряму клієнтам. Типові приклади вендорів: IBM, Cisco, Symantec. Взаємодія з такими постачальниками припускає експертизу на вашому боці, тобто спеціаліста по інформаційній безпеці, котрий зможе обрати рішення, налаштувати систему та супроводжувати її. Постачальники надають перевагу співпраці із середніми та великими компаніями (від 100 працівників) у яких є свій ІБ-спеціаліст. Важливо розуміти, що їх задача  — продати свій продукт. Тому для кожної проблеми вони будуть пропонувати платні рішення іне будуть намагатися вирішити проблему архітектурно

SOC (Security Operation Center)

Це інфраструктура із великою кількістю взаємопов’язаних компонентів, в основі якої знаходиться SIEM (Security information and event management). Основна задача SIEM — привести до єдиного формату велику кількість логів від різних джере для зручності визначення між ними взаємозв’язку. SOC збирає, агрегує, шукає кореляції в логах аби знайти ознаки взлому. Це досить дорога послуга, оскільки вона вимагає зберігання великого об’єму логів, дорогих SIEM-систем та штату висококваліфікованих аналітиків. В той же час, дана послуга дуже ефективна, так як дозволяє виявити найскладніші атаки з використанням  0-day вразливостей, котрі не знаходить антивірус. Вважається, що кращі антивіруси відбивають 99% атак, а 1%, що залишився, знаходиться лише експертами в «ручному режимі». Важливо розуміти ще і те, що SOC не зупиняє загрощи, а лише їх знаходить

Підготовка до сертифікації

Якщо діяльність вашої компанії підлягає під регулювання, то ви маєте відповідати тим чи іншим стандартам. Наприклад, PCI DSS, якщо ви хочете процесувати карти, GDPR, якщо у вас серед клієнтів є хоч один європеєць, ISO 27001, Cyber Essential для роботи із держорганами Великої Британії. Задача — пройти сертифікацію, а реальна безпека вторинна. Зазвичай така підготовка коштує $5k-15k

Поліграфологи

Як би дивно не звучало, та «детектор брехні» найбільш ефективний захист від витоку даних. Так, на ринку є багато систем DLP (Data Loss Prevention), але вони ефективні лише в тому випадку, коли процеси налагоджені та регламентовані включаючи конкретні дії. До того ж, DLP коштує дорого, складний в експлуатації та потребує наявності спеціаліста, який досконально розбирається у ваших бізнес-процесах. Як показує практика, завжди простіше запитати працівника при прийомі на роботі, тим більше, що коштує це  $50-$100

Комлпексні послуги (MDR)

Ідеальне рішення для всіх компаній, в яких нема своїх ІБ-спеціалістів. В даному випадку, задачою підрядника буде підбір найефективніших засобів для організації системи кібербезпеки свого клієнта

А ВАША ІТ-ІНФРА­СТРУК­ТУРА ЗАХИЩЕНА?

Як показує практика, в 90% випадків увага безпеці приділяється по залишковому принципу. Це не тому що Іт-спеціалісти некомпетенті або не справляються із своєю роботою, а тому, що у фокусі їх уваги інші задачі — максимально швидко надати сервіс та підтримати його в робочому стані. Через поспіх — десь лишаються відкриті порти, а десь встановлюються слабкі паролі. Це і є найкращі точки входу для зловмисників. Якщо ви прийняли рішення зайнятися організацією системи кібербезпеки та захистити свій бізнес від кібератак, ви можете прямо зараз зв’язатися із командою dis.works, котра підбере для вас ефективне рішення
Жольнай Кирило,
CEO DIS.works & CO-CEO os.eco

А ВАША ІТ-ІНФРАСТРУКТУРА ЗАХИЩЕНА?

Як показує практика, в 90% випадків увага безпеці приділяється по залишковому принципу. Це не тому що Іт-спеціалісти некомпетенті або не справляються із своєю роботою, а тому, що у фокусі їх уваги інші задачі — максимально швидко надати сервіс та підтримати його в робочому стані. Через поспіх — десь лишаються відкриті порти, а десь встановлюються слабкі паролі. Це і є найкращі точки входу для зловмисників. Якщо ви прийняли рішення зайнятися організацією системи кібербезпеки та захистити свій бізнес від кібератак, ви можете прямо зараз зв’язатися із командою dis.works, котра підбере для вас ефективне рішення
Жольнай Кирило,
CEO DIS.works & CO-CEO os.eco