- Чому внутрішні системи не охороняються
- «Хто буде нас зламувати?»
- «Наш ресурс доступний тільки з локальної мережі»
- «Про ресурс знають тільки наші співробітники»
- Як захистити внутрішні сервіси компанії
- Як вийти із замкнутого кола
Автор
Георгій
Фахівець з інформаційної безпеки
Практично будь-який бізнес в міру зростання обростає внутрішніми системами: трекера завдань, файлообмінниках, порталами допомоги, базами знань. Впровадження нових систем часто хаотично: заздалегідь не планується, бюджет не закладено і потрібно терміново. Розробку таких систем не завжди вирішуються віддавати на аутсорс і передають власним IT-підрозділам.
Результатом роботи в стислі терміни і з дефіцитом бюджету і досвідчених кадрів можуть стати вразливі з точки зору безпеки системи. Цими уразливими можуть скористатися зловмисники.
Чому внутрішні системи не охороняються
Вимоги стійкості до кібератаки закладаються не завжди. Компанії відмовляються від роботи над безпекою не тільки через економію термінів і бюджету. Існує думка, що внутрішнім системам не потрібна захист:
«Хто буде нас зламувати?»
міф
Зломи - це підступи конкурентів і помста колишніх співробітників. Якщо з конкурентами відносини не зіпсовані, а працівники звільняються без конфліктів, список зацікавлених у зломі осіб скорочується до хакерів. А їм «до нас немає діла, адже у нас нічого красти». Нецільової злом часто сприймається як щось далеке і малоймовірне.
реальність
Нецільова (випадкова) атака - сценарій, при якому зловмисник атакує сотні і тисячі цілей, але не намагається отримати доступ до якогось конкретного ресурсу.
Щоб перевірити, чи намагається хтось отримати несанкціонований доступ, подивіться error.log вашого сайту або аналогічні лог-файли роутера і файрволла будь-якої компанії.
Як тільки помилка в системі (CMS, веб-сервері, FTP і т.д.) виходить в публіку, кіберзлочинці відразу починають її використовувати. Дані постійно оновлюються: на exploit-db щомісяця публікується близько 200 експлойтів, а на cve-details з публікується в середньому близько 8 000 вразливостей різних систем.
Ще одна поширена причина злому - людський фактор: помилки розробників, адміністраторів і користувачів. Щоб скористатися такими помилками, не обов'язково мати високу кваліфікацію, мати доступ до серйозних обчислювальних потужностей або знати чарівне слово. досить запиту google hacking в пошукову систему.
Іноді для отримання пароля досить простого пошукового запиту.Після отримання облікових записів співробітників потрапити в мережу компанії і дістатися до внутрішніх ресурсів не складе великих труднощів.
Приклад пошукового запиту, який видає ресурси, на яких неправильно налаштована обробка помилок, що значно спрощує атаку за допомогою SQL-ін'єкцій
«Наш ресурс доступний тільки з локальної мережі»
міф
Якщо сервіс доступний тільки по локальній мережі або VPN, його складно зламати. Тому додатковий захист йому не потрібна.
реальність
Підключитися до локальної мережі більшості організацій не так складно, як здається. Точкою входу може стати будь-який доступний ззовні мережевий вузол, наприклад роутер або принтер.
Згадайте приклади зараження вірусами-вимагачами «WannaCry» в травні 2017 року. Тоді постраждали навіть великі організації, захищеність яких не ставилася під сумнів: німецькі залізниці , британські лікарні , французька промисловість .
Навіть після того, як кібератака була розібрана в мас-медіа, компанії не вжили кроків для запобігання подібних інцидентів у майбутньому. У червні почалася нова хвиля зараження шифрувальником «Petya» і «NotPetya», які для свого поширення використовували все ті ж помилки березня 2017 . Зараження одного комп'ютера вело до ураження великої частини локальної мережі в тому числі тому, що за їх безпекою не стежили - вони ж не підключені до інтернету.
У будь-якому випадку, відвідування локальних ресурсів і експлуатація їх вразливостей є обов'язковою і невід'ємною частиною кібератаки.
Тисячі вразливих принтерів HP з відкритою панеллю керування може погуглити будь-який користувач
«Про ресурс знають тільки наші співробітники»
міф
Якщо компанія не збирається афішувати запуск веб-сервісу, наявність системи безпеки не так критично.
реальність
Навіть якщо проект не буде розрекламований, пам'ятайте, що:
- Реєстрація доменних імен відстежується не тільки «Паркувальниками доменів» , Але і хакерами, тому що атака на що розробляється сервіс має більше шансів на успіх;
- На піддомені адресу можна вгадати за допомогою банального перебору або отримати в результаті експлуатації вразливостей DNS-серверів;
- Випадкова розголос при листуванні, згадка в log-файлах і сотні інших причин призводять до того, що сервіс спливає у видачі пошукових систем.
Як захистити внутрішні сервіси компанії
Унікального рішення, яке б запобігало витоку інформації, відображало мережеві атаки і давало при цьому гарантії, не існує.
Є маса універсальних порад:
- Відмова від простих паролів;
- Своєчасна установка оновлень;
- Захист особистих пристроїв співробітників;
- Впровадження DLP і IPS систем;
- Закупівля фаєрволів і антивірусів.
На практиці поради марні, якщо співробітники їх не використовують. Жодна система захисту не зможе виключити людський фактор, а зменшення його впливу на захищеність організації залежить від співробітників.
Поки у персоналу немає мотивації дотримуватися елементарних заходів безпеки, «автоматика» безсила. Найпростіший варіант - підвищувати обізнаність співробітників про кіберзагрози зокрема і інформаційної безпеки в цілому.
Якщо розробляєте внутрішній сервіс самі, пам'ятайте, що підхід "безпека на потім» не спрацює. Коли система запущена і працює, питаннями її захищеності починають займатися тільки, коли реальний інцидент вже виник.
Як вийти із замкнутого кола
Закладати вимоги до безпеки на етапі технічного завдання. Так безпеку впроваджується як функціональність програми, а не в якості повинності.
Якщо в компанії вже запущені десятки внутрішніх сервісів, розроблених без оглядки на безпеку, то в якості першого кроку радимо оцінити поточний стан інформаційної безпеки внутрішніх ресурсів, можливі ризики і виробити комплекс заходів щодо зниження можливого збитку. Кращим рішенням буде замовити аудит системи у фахівців і щорічно повторювати цю процедуру.