01.08.22 14:15

Новости

Автор:

Администратор

Шесть дыр в кибербезопасности, которые вам нужно заткнуть прямо сейчас

 Мы проливаем свет на легко упускаемые из виду кибертрещины, которые могут превратиться в серьезные провалы, разоблачающие ваш бизнес.

Мы проливаем свет на легко упускаемые из виду кибертрещины, которые могут превратиться в серьезные провалы, разоблачающие ваш бизнес.


Автор: Дэйви Уиндер, IT Pro

 

Тот факт, что вы не являетесь крупным предприятием или известным именем, не означает, что вашему бизнесу не нужно беспокоиться о нарушениях безопасности. Действительно, вы можете удивиться, узнав, что на самом деле все обстоит как раз наоборот: малые предприятия наиболее уязвимы, и злоумышленники это знают. Правительственное «Исследование нарушений кибербезопасности», проведенное в 2021 году, показало, что только 31% опрошенных предприятий имеют планы обеспечения непрерывности, связанные с кибербезопасностью, и менее 15% провели аудит уязвимостей в области кибербезопасности.

 

Это понятно. У малого бизнеса «меньше времени и ресурсов, чтобы сосредоточиться на кибербезопасности, которая часто отодвигается на второй план по сравнению с деятельностью, связанной с продажами», - говорит Хемант Кумар, генеральный директор и соучредитель Enpass. Тем не менее, у них есть «часто более крупные компании в качестве клиентов, что увеличивает потенциальную выгоду и делает последствия взлома более серьезными». Неудивительно, что кибербезопасность отходит на второй план, если учесть, что решения часто рассматриваются как «дорогие и чрезмерно сложные», по словам Пита Бауэрса, главного операционного директора NormCyber. «Но в то время как решения корпоративного уровня могут иметь ценники корпоративного уровня, - продолжает Бауэрс, - есть несколько простых бесплатных и недорогих мер, которые владельцам малого бизнеса было бы разумно внедрить».

 

Важно помнить, что не существует такого понятия, как «100%-ная безопасность», и в реальном мире смягчения угроз на этом пути могут возникнуть препятствия. Тем не менее, понимание того, на чем сосредоточить свои ресурсы, позволит вам лучше снизить риск. Хитрость заключается в том, чтобы знать, какие дыры в безопасности у вас есть, а какие нужно заткнуть «статистикой».

 

1. Идентификация и аутентификация

 

По словам Тома Бриджа, главного менеджера по продуктам JumpCloud, идентификация – это «вероятно, первая проблема, с которой сталкиваются малые предприятия в отношении безопасности». Это вопрос о том, кто использует устройство и как вы можете это доказать, а для крупных предприятий «существует целая индустрия, занимающаяся идентификацией и безопасностью с использованием строгой аутентификации и единого входа (SSO)». Однако для небольших предприятий есть одна загвоздка: «Эти технологии часто основаны на Microsoft Active Directory, а это не предназначено для малого бизнеса».

 

Что вы можете сделать, так это использовать возможности управления паролями, многофакторной аутентификации (MFA) и принципа наименьших привилегий, чтобы устранить пробелы в безопасности вашей идентификации и аутентификации. Простая политика паролей просто не подойдет, поскольку повторное использование паролей распространено повсеместно, и многие люди выбирают один из самых распространенных паролей из соображений удобства.

 

Простое решение заключается в применении надежных уникальных паролей для всех критически важных приложений и учетных записей. «Генераторы случайных паролей – отличный вариант для гарантированного одноразового использования, а менеджеры паролей помогают пользователям оставаться в курсе последних событий», - рекомендует Джон Гудакр, директор британского исследовательского и инновационного проекта «Digital security by design» и профессор компьютерных архитектур в Манчестерском университете.

 

Любая политика управления идентификацией должна также включать надежный процесс многофакторной аутентификации (MFA) везде, где это возможно. Ли Ролл, директор компании Everything Tech, поставщика управляемых услуг, говорит, что недавнее исследование Microsoft показало, что 99,9% клиентов, которые обращались к ним с кибератаками, могли предотвратить атаки, если была бы активирована MFA. «Если поставщик не поддерживает ее, - говорит Рэлл, - пришло время искать другого». По правде говоря, нетрудно найти поставщиков, которые ценят MFA как аргумент в пользу продажи. «Многофакторная аутентификация уже давно используется в банковской отрасли, - говорит Адам Саймонс, инженер по системам и безопасности GRC International Group, - и сейчас она используется во многих основных продуктах, таких как Microsoft Office 365, Google Workspace и Apple iWork. Включение MFA не является панацеей от компрометации учетной записи, но это может значительно усложнить задачу злоумышленникам».

 

Это подводит нас к последней линии защиты, когда речь заходит о безопасности личных данных: принципу наименьших привилегий, который просто означает обеспечение того, чтобы доступ к данным и системам был открыт только тем, кто в них нуждается. «Если каждый сотрудник вашей компании может вносить системные изменения и получать доступ к важным данным, то достаточно одной учетной записи, чтобы быть скомпрометированным вредоносным ПО или киберпреступником, и все будет кончено», - заключает Саймонс. «Неизбежно, что в мире малого бизнеса сотрудникам часто приходится работать в разных ролях и системах, поэтому вам, возможно, придется взвесить безопасность и удобство, но положить большой палец на чашу весов безопасности редко бывает плохим шагом».

 

2. Управление исправлениями

 

По мнению Джейми Ахтара, генерального директора и соучредителя CyberSmart, дыра в безопасности, которая наиболее остро нуждается в устранении в большинстве малых предприятий, – это исправление. 

 

«Со временем даже в самом лучшем программном обеспечении обнаруживаются уязвимости, оно подвергается взлому или просто устаревает», - говорит он. «Проблема в том, что эффективность исправлений зависит от количества клиентов, которые регулярно обновляют свои операционные системы и программное обеспечение». И это может быть трудно сделать для малого бизнеса. 

 

Инструменты управления исправлениями могут помочь централизовать процесс, но настоящий ключ заключается в том, чтобы войти в рутину установки исправлений. «Неправильно сконфигурированное, устаревшее и неисправленное программное обеспечение – это три основные уязвимости, которые пытаются использовать хакеры», - говорит  Кен Гэлвин, старший менеджер по продуктам Quest. Возможность автоматизации этого процесса особенно выгодна для небольших предприятий, не имеющих ИТ-команды. «Ищите инструменты со встроенным сканированием уязвимостей, которые могут найти уязвимые устройства и подсказать вам, как устранить проблемы», - рекомендует он.

 

3. Электронная почта и фишинг

 

Может показаться странным считать электронную почту, столь важную для большинства компаний, дырой в безопасности, но это так. «Система деловой электронной почты – это открытая входная дверь, которая принимает практически любое сообщение, отправленное на действительный адрес электронной почты», - объясняет Гэлвин. Даже после того, как вы удалили опасные вложения, фишинговые атаки будут продолжаться, и они представляют собой угрозу, с которой вам практически невозможно справиться.

 

«Большая часть вашего успеха в предотвращении этих попыток будет контролироваться вашими сотрудниками», - отмечает Гэлвин. Конечно, обучение безопасности и фильтрация электронной почты, а также антивирусное программное обеспечение помогают смягчить основные проблемы. Но для лучшей защиты он рекомендует «улучшить видимость и контроль над устройствами, которые получают доступ к вашей сети, с помощью таких инструментов, как программное обеспечение для унифицированного управления конечными точками». Это может быть большой запрос и большие расходы для малого бизнеса. Однако эти точки доступа к вашим платформам и сервисам предоставляют огромные возможности для злоумышленников, поэтому инвестиции в их защиту имеют первостепенное значение.

 

Если ваши сотрудники все же стали жертвами фишинговой атаки, помните, что то, как вы реагируете постфактум, все равно может повлиять на общую среду угроз. «Если малый бизнес действительно становится жертвой фишинг-атаки, всегда важно сообщать об этом в Action Fraud, - советует Гудакр, - и помните, что не следует наказывать сотрудников, поскольку это отбивает у них охоту сообщать о будущих инцидентах».

 

4. Удаленный рабочий стол

 

Использование протокола удаленного рабочего стола (RDP) и других инструментов удаленного доступа резко возросло за последние несколько лет, поскольку предприятия все чаще используют гибридную модель. Однако это может быть рискованно. «С этим окном в вашу бизнес-среду, - говорит Гэлвин, - если хакерам удастся найти открытые порты с помощью программного обеспечения для тестирования на проникновение, такого как Cobalt Strike, может быть реализован взлом паролей для получения доступа к этим открытым портам, что приведет к полному захвату контроля над ИТ-системой».

 

Йоан Питерс, руководитель практики Kroll по киберрискам в регионе EMEA, рекомендует, чтобы доступ к удаленному рабочему столу был возможен только через виртуальную частную сеть (VPN) или решение для виртуального рабочего стола, чтобы свести к минимуму вероятность проникновения злоумышленника и, насколько это возможно, установить дистанцию между критически важными для бизнеса ресурсами и персональными системами сотрудников.

 

5. Облако

 

«В 2022 году ваш малый бизнес будет защищен настолько, насколько защищен ваш самый слабый поставщик облачных услуг», - говорит Тим Макки, главный стратег по безопасности Исследовательского центра кибербезопасности Synopsys. Фактически, защита конфиденциальных данных от несанкционированного доступа к инфраструктуре неавторизованными пользователями – одна из наиболее важных задач для бизнеса любого размера. Поскольку компании все больше полагаются на облачные платформы, такие как Google Workspace и Microsoft Office 365, чтобы предоставить больше возможностей своим сотрудникам, кибератаки угрожают превратиться в полномасштабную дыру в безопасности. 

 

«У малого бизнеса может не быть собственной службы безопасности, - говорит Бурак Агка, инженер по безопасности в Lookout, - но защита данных может быть согласована с безопасными ИТ-практиками, касающимися того, как пользователи получают доступ к инфраструктуре и данным в ней». Ли Рэлл рекомендует серьезно подумать об инвестировании в поставщика управляемых услуг. «Чем дольше вы «управляете» своими ИТ самостоятельно, тем больше вы будете подвергаться риску»,- предупреждает он. «Малые предприятия должны привыкнуть платить кому-то за то, чтобы он позволял им спать по ночам, с самых первых дней своего бизнеса. У большинства провайдеров есть масштабируемая ценовая модель, позволяющая им оставаться в рамках вашего бюджета».

 

6. Ненадежные приложения

 

У малого бизнеса часто нет ресурсов, чтобы провести тщательную проверку безопасности, и это может привести к распространению опасного программного обеспечения в сети вашей компании. «В первую очередь это относится к мобильным приложениям, - говорит Агка, - особенно потому, что пользователи могут неосознанно скачивать приложения, которые после установки загружают вредоносное ПО на устройство».

 

Хотя это может быть трудно обеспечить в эпоху «принеси свое собственное устройство» (BYOD), программное обеспечение безопасности является обязательным для каждого смартфона и планшета, которые используются в условиях малого бизнеса. «Проактивная защита от вредоносных программ имеет решающее значение для обеспечения защиты ваших сотрудников и данных от субъектов угроз», - говорит Агка. 

 

Этот совет особенно актуален, поскольку многие малые предприятия практически не имеют представления о том, какие уязвимые активы на самом деле существуют в их инфраструктуре. Сатья Гупта, основатель и технический директор Virsec, напоминает нам, что здесь также следует учитывать атаки на цепочки поставок, которые могут привести к развертыванию скомпрометированного или вредоносного программного обеспечения. «В последнее время эти атаки становятся все более масштабными и позволяют злоумышленнику внедрять вредоносный код в бизнес без необходимости использовать уязвимость или украденные учетные данные», - говорит Гупта. Хорошее решение для управления приложениями может помочь смягчить эту проблему.

 

Ссылка на источник