Проверяй и никогда не доверяй
Передовой опыт
Данные называют нефтью XXI века. Но чем выше их ценность, тем больше ущерб при потере. Компании, которые не уделяют достаточно внимания безопасности данных, рискуют столкнуться с наказаниями со стороны регуляторов, понести репутационный ущерб, а то и вовсе потерять бизнес. Даже сотрудники теперь несут персональную ответственность за инциденты, связанные в угрозой безопасности. Мариса Мейер, глава Yahoo!, поплатилась ежегодным бонусом за утечку персональной информации миллиона пользователей.
Почему кибератаки и взломы оказываются успешными? Чтобы от них защититься, необходимо использовать продвинутые решения для предотвращения угроз и отслеживания подозрительной активности в сети, настраивать строгие политики безопасности доступа, которые будут следовать за пользователем, с какого бы устройства он ни получал доступ к сервисам и данным. Но даже самые совершенные средства могут быть бессильны против человеческого фактора. Согласно исследованию VMware, безответственные сотрудники или те, которые не прошли обучение основам кибербезопасности, представляют существенную угрозу для компаний — так считает почти половина (49%) ИТ-руководителей в России.
Чтобы нивелировать этот фактор и повысить общий уровень безопасности в компании, необходимо решать проблему сразу на всех уровнях: организационном, процессном, технологическом и культурологическом. Необходимо добиться того, чтобы сотрудники следовали правилам так называемой цифровой гигиены и культуры обращения с данными и ИТ-системами. Вместо того чтобы все запрещать, тем самым невольно поощряя сотрудников к использованию теневых ИТ (не авторизованных в рамках данной организации), например сторонних облачных хранилищ, социальных сетей, программ из недоверенных источников, лучше объяснить правила игры и возможные последствия их несоблюдения.
Мы разработали ключевые принципы соблюдения цифровой гигиены. Важно, чтобы они доносились до сотрудников всех уровней: от топ-менеджмента и ИТ-администраторов до рядовых сотрудников и ключевых подрядчиков.
Первый принцип заключается в том, что пользователи должны иметь минимальный необходимый доступ к данным и ИТ-системам компании. Чем выше права пользователя, тем критичнее будет ущерб, если их используют хакеры для входа в систему. Во время взломов Target и Sony хакерам удалось войти в сеть этих компаний с правами администратора — последствия оказались ужасными.
Необходимо всегда использовать шифрование для бизнес-критичных приложений и данных как во время их передачи, так и хранения.
Для доступа во внутреннюю систему компании пользователи должны проходить двухфакторную аутентификацию. Простая связка логин-пароль уже вряд ли является серьезным препятствием для хакера.
Как показали истории со зловредными программами WannaCry и Petya, которые вызвали настоящую компьютерную пандемию, своевременное обновление ПО критически необходимо для защиты от взломов. Всегда нужно устанавливать патчи и обновлять системы до последних версий, как только они выпускаются.
Помимо этого мы рекомендуем практиковать "безопасность с нулевым уровнем доверия" (zero trust information security). Этот подход предложила в 2015 году компания Forrester. Идея заключается в построении единого континуума информационной безопасности от самого ядра ЦОДа до мобильного устройства согласно нескольким принципам. Первый: доступ ко всем ресурсам происходит безопасно независимо от расположения. Второй: любой трафик, откуда бы он ни шел, считается потенциально опасным, авторизуется, анализируется и инспектируется. Третий принцип: жесткий контроль прав доступа и предоставление только минимально необходимых полномочий. И последний: проверяй и никогда не доверяй — нужно не только инспектировать, но и протоколировать весь трафик.
Только недавно с развитием программно определяемых сетей удалось воплотить в жизнь идею микросегментации сети, которая как раз и позволяет реализовать на практике идею безопасности с нулевым доверием. Микросегментация подразумевает разделение сети на отдельные сегменты, каждый из которых имеет свой межсетевой экран, при этом каждый такой сегмент может быть размером всего с одну виртуальную машину. Такой подход значительно сокращает поверхность атаки и, самое главное, усложняет распространение вредоносного ПО в случае преодоления внешнего периметра сети вредоносным кодом и заражения сервера или ПК. Даже если один из компьютеров будет заражен, остальные системы за пределами микросегмента будут в безопасности. Микросегментацию удобно описать на примере WannaCry: попадая в сеть компаний, вирус распространялся от одной машины к другой, шифруя данные. Применение микросегментации позволило бы остановить вирус в пределах, например, одной машины и существенно уменьшить ущерб. Пусть даже задачей WannaCry была не кража данных, а вымогательство денег, на месте этого шифровальщика может быть любой другой "зловред", заточенный под сбор и хищение ценной информации.