Перевод сотрудников на удаленный формат работы не лучшим образом отразился на информационной безопасности компаний. Если не взять ситуацию под контроль, то новости про масштабные взломы и вымогательства будут появляться в новостях ежедневно, считает независимый эксперт по информационной безопасности Денис Батранков. Что можно с этим сделать, он рассказал для GlobalCIO|DigitalExperts.

Какие новые уловки изобрели кибермошенники во время пандемии?

Основной фокус кибермошенников сместился на домашние компьютеры и мобильные устройства, которые используются для подключения к корпоративным сетям. Очень много молодых специалистов по ИТ работает сегодня в компаниях, и они применяют в основном простейшие и разрозненные методы защиты: только VPN, только антивирус или только логин/пароль. Да, на курсах повышения квалификации говорят, что это необходимые, но совершенно не достаточные методы – к сожалению, они уже не работают: данные о многих последних утечках свидетельствуют о том, что хакеры уже находятся в корпоративных сетях и лишь ждут момента, чтобы монетизировать те данные, к которым они получили удаленный доступ от имени сотрудников и за счет повышения уровня привилегий.

Специалисты по информационной безопасности давно говорят, что права доступа сотрудников очень многих предприятий неадекватны исполняемым ими обязанностям. Люди, работая из дома, имеют доступ абсолютно ко всему объему корпоративной информации, и, таким образом, любой взлом (даже самого обычного сотрудника, – не обязательно топ-менеджера) приводит к утечкам грандиозных масштабов, заражениям, попыткам вымогательства со стороны хакеров и, в итоге, к убыткам. Злоумышленники остались такими же – им просто дали больше прав доступа в компьютерные сети.

Когда люди сидели внутри компании, то периметровая защита в какой-то степени могла минимизировать имеющиеся угрозы, но сегодня многие переехали домой и постепенно «сдают» злоумышленникам свои права доступа, одновременно заражая сети из-за того, что используют свои мобильные устройства для личного доступа на порносайты, хакерские порталы и другие небезопасные ресурсы, контролирующиеся атакующими.

Если как можно скорее не взять ситуацию под контроль, то новости про масштабные взломы и вымогательства будут появляться в новостях ежедневно. Но и это лишь вершина айсберга, ведь 99% взломов происходит скрытно, и о них никто не оповещает новостные агентства.

Какие отрасли пострадали больше всего?

Пострадали все отрасли, и, что особенно тревожно, не только коммерческие, но и государственные организации. Пожалуй, лучше всех на сегодня защищены финансовые организации как благодаря усилиям Центрального банка, который постоянно разрабатывает лучшие методики защиты для финансовых организаций и требует их обязательного использования, так и за счет стандартизации защиты платежных систем MasterCard, VISA, МИР.  Поскольку банки чаще всего становятся мишенью для атак (ведь финансовая выгода является основным драйвером взломов), внедрение и аудит надежных средств информационной защиты давно стали нормой для банковской сферы.

Но страдают не только предприятия, но и обычные люди: подвергается взлому их личная почта и instagram, у них крадут личные фотографии и переписку, злоумышленники получают доступ к важной персональной информации. И у обычного человека вообще нет практически никакой возможности защититься, только если у него в друзьях нет хорошего безопасника, который посоветовал бы простейшие вещи: менеджеры паролей, надежную домашнюю защиту и другие методики.

Как рекомендуете выстраивать защиту компании в современных условиях,
когда все на удаленке?

Наука говорит, что нужно контролировать как защиту самого устройства, с которого вы работаете в Интернете, так и все соединения, которые это устройство устанавливает.  Но именно тут сталкиваются частные и корпоративные интересы: люди отказываются ставить корпоративную защиту на свои личные устройства. Одно из возможных решений – выдавать сотрудникам для удаленной работы корпоративные компьютеры и ноутбуки, настроенные в соответствии со всеми правилами безопасности. Другой подход – брать личные устройства в аренду, что даст право работодателю установить все необходимые средства защиты и контроля.

Сегодня основным компонентом защиты должен стать межсетевой экран нового поколения – шлюз доступа в сеть для всех удаленных сотрудников. Такой шлюз выполняет сразу несколько функций: обеспечивает проверку соответствия защиты домашнего устройства требованиям компании и гарантирует, что контент сотрудника не содержит вредоносных вложений, не несет в себе следов удаленного управления хакером, а данное пользовательское устройство не пытается взломать другие удаленно подключенные к этой же сети компьютеры. При этом администраторы компании должны не просто установить межсетевой экран, а тщательно проверять и регулярно обновлять его настройки в соответствии с лучшим практиками (к которыми относятся, в частности, блокировка вредоносных URL категорий, запрет скачивания исполняемых файлов, проверка атак на браузеры функциями встроенной системы обнаружения атак, проверка подключений к известным бот-сетям на основе встроенной базы знаний об угрозах и др.). Следует также подключить облачные базы анализа угроз, которые обмениваются друг с другом данными новых атаках.

Что нового появляется в сфере защиты от кибермошенников, на что
следовало бы обратить внимание?

В основе эффективной системы защиты должен лежать качественный анализ событий. Иногда мы в спешке не видим признаков атаки, пропускаем тревожные «звонки» и попадаемся в простейшие ловушки. Конечно, тут требуются высококвалифицированные специалисты, и если таких людей нет в штате, правильным решением было бы использовать аутсорсинг – пригласить людей, которые имеют больше опыта, целенаправленно следить за информационной безопасностью вашей организации. Так же, как врачи-специалисты проводят максимально точное обследование пациентов, подготовленный опытный безопасник, находящийся в курсе всех современных технологических тенденций, новых угроз и методов противодействия, лучше распознает атаку и вовремя ее заблокирует. Он в состоянии выявить угрозу и в трафике, и в файлах, и в конкретных действиях. Необходимо учитывать, что поскольку в современном мире все информационные процессы идут непрерывно и круглосуточно, требуется такой же подход и к защите. Рынок предлагает такую круглосуточную защиту, но это дорого. Поэтому здесь требуется сделать выбор: готова ли организация раз за разом терять и затем восстанавливать информацию, либо все же стоит вложить средства в построение и поддержание комплексной системы непрерывной защиты. И для этого сегодня есть все возможности. Одна из них – сервисы информационной безопасности, предоставляемые независимыми компаниями, создаваемые сейчас некоторыми специалистами по ИБ. Такие сервисы (Managed Detection and Response – MDR) постоянно отслеживают и анализируют информационные потоки в своих системах, оповещают пользователя об подозрительных событиях и при обнаружении атаки сразу блокируют ее. Продукты, предназначенные для сбора и анализа событий и защиты устройств клиентов, относятся к классу Endpoint Detection and Response (EDR). Но и они уже замещаются продуктами нового поколения – eXtended Detection and Response (XDR). Если вам предлагают такие сервисы, то это современно и правильно.