В связи с постоянным появлением новых угроз организациям нужно улучшить свою безопасность и защитить себя от сетевых вторжений и других видов атак, которые могут нанести урон инфраструктуре. Мэри Шеклет, президент консалтинговой компании Transworld Data, делится на портале InformationWeek советами о том, как это правильно сделать.
В декабре прошлого года в мировой прессе прокатилась новость об очень изощренной кибератаке, якобы совершенной хакерской группой APT29. Атака была нацелена на федеральные министерства и ведомства США, в том числе госдепартамент, министерства обороны, внутренней безопасности и торговли. Атака, по всей видимости, осуществлялась через вредоносное ПО, которое было встроено в одну из версий ПО компании SolarWinds, предоставляющей решения для управления сетью. Но это еще не все.
В прошлом месяце поставщик решений для сетевой безопасности Malwarebytes сообщил, что его атаковал тот же злоумышленник, кто скомпрометировал ПО SolarWinds, только на этот раз атака была предпринята после взлома электронной почты. Доступ к ней хакеры получили через эксплуатацию уязвимостей в облачных службах Microsoft.
Какие действия нужно предпринять организациям в связи с постоянным появлением новых угроз, чтобы усилить свою безопасность и защитить себя от сетевых вторжений? Ниже приводится девять советов, которые помогут это сделать.
1. Проверьте свои сети
Большинство компаний комплектуют свой арсенал инструментов безопасности брандмауэрами, средствами обнаружения вторжений/проникновений и определенными элементами управления доступом и разрешениями для пользователей. С ростом так называемой гражданской разработки, а также с распространением множества распределенных сетей по всему периметру предприятия, ИТ-служба может не иметь прямого контроля над всеми ИТ-активами. Это может представлять угрозу безопасности.
Чтобы справиться с этой ситуацией ИТ-отдел может установить сети с нулевым доверием и ПО для обнаружения и управления активами, которые могут идентифицировать любую новую сеть, ПО или устройство, установленное в компании. Сеть с нулевым доверием также управляет элементами управления доступом и разрешениями пользователей с немедленной идентификацией любого неавторизованного пользователя, действия или устройства, которое зарегистрировано в сети.
2. Разработайте единую практику распространения нового ПО и обновлений
Если предприятие планирует устанавливать новое ПО, пакеты безопасности или обновить ПО от поставщика на множестве устройств, координация действий по обновлению должна равномерно охватывать всех конечных пользователей и целевые локации, а также затрагивать все устройства и платформы. Для этих целей поставщики предлагают воспользоваться платформами по распространению ПО. Предпочтительным методом обновлений ПО и патчей безопасности является «принудительное» распространение новой версии софта. Оно предусматривает, что ИТ-отдел автоматически распространяет новое ПО или обновление на конечное устройство, сеть или платформу.
Другим методом является «вытягивание», когда пользователя уведомляют о доступности новой версии ПО в зависимости от того, сможет ли он получить или загрузить новую версию в свою сеть или устройство. Это лучшая методология, потому что вам не нужно беспокоиться о том, что пользователь по какой-то причине не сможет загрузить обновление или новую версию софта, оставив себя (и компанию) открытым для уязвимостей.
3. Проверьте своих поставщиков
Компрометация SolarWinds произошла из-за того, что вредоносное ПО было встроено в клиентскую версию ПО. ИТ-специалистам нужно извлечь урок из этого, проверив методы обеспечения безопасности своих поставщиков — как они работают с ЦОДами, операционным ПО, бизнес-партнерами и конечными продуктами, которые они продают клиентам. Чтобы удостовериться в надежности поставщика, вы можете запросить у него последний аудит безопасности систем, методологии и ПО, чтобы определить, удовлетворяют ли его методы обеспечения безопасности вашим запросам. Найдите время, чтобы внимательно изучить все условия контрактных обязательств с поставщиком, особенно тех, которые касаются его ответственности в случае взлома его системы. Наконец, важно проверить лиц, которые будут назначены для контакта с поставщиками, поскольку человеческий фактор или корыстные намерения способствуют многим нарушениям безопасности. Что вы знаете о них? Что может рассказать о них вендор?
4. Регулярно проводите идентификацию IP, сделайте ее частью мониторинга безопасности
Регулярное ведение журнала IP-адресов и географических местоположений, которые имеют доступ к вашим сетям, позволяет на ранних стадиях обнаружить признаки потенциального нарушения безопасности. В настройках журналов нужно указать, что предупреждения должны поступать в режиме реального времени. Их следует постоянно контролировать на предмет аномалий.
5. Почаще встречайтесь со своим аудитором по ИТ-безопасности
Посещение аудиторов по ИТ-безопасности довольно часто разочаровывает сотрудников ИТ-отдела, потому что ключевым участникам проверки приходится отвлекаться, чтобы отвечать на их вопросы. В сегодняшней нестабильной среде безопасности комплексный аудит ИТ-безопасности должен проводиться как минимум ежегодно, а проверки на наличие уязвимостей и потенциальную возможность по проникновению — ежеквартально. Аудитор также должен сотрудничать с вами для проверки результатов внешних аудиторских проверок ваших ключевых ИТ-поставщиков.
Выделяя аудиторам бюджет на оплату их услуг также следует запросить дополнительные ресурсы, которые они могут предоставить бесплатно. Дело в том, что аудиторы посещают многие другие компании и многое знают об их уязвимых местах и передовом опыте. Если вам нужно улучшить ту или иную область безопасности, ваши аудиторы часто могут предложить вам бесплатный шаблон политики, которую вам нужно ужесточить, или рекомендации о том, как усовершенствовать процессы безопасности. Эти моменты можно включить в план аудиторской проверки.
6. Проверьте политики безопасности во всех ИТ-средах
Для компаний нет ничего необычного в наличии надежных политик и процедур безопасности в производственной среде, но при этом они не уделяют достаточного внимания безопасности ПО в тестовых и промежуточных средах. Она должна обеспечиваться во всех областях ИТ, независимо от того, находятся ли они в производстве или тестируются.
7. Заблокируйте и выключите устройства
Есть все еще много компаний, которые нарушают элементарные правила безопасности — оставляют IoT-устройства и настольные компьютеры, в том числе с подключением к Интернету, включенными в периоды простоя. Устройства, которые в течение определенного периода времени не используются, должны «распознаваться» сетевым ПО и автоматически отключаться. Если сотрудник потерял устройство, его следует немедленно заблокировать.
8. Пересмотрите свои полисы страхования ИТ-ответственности
Точно так же, как вы оцениваете контракты своих поставщиков в плане ответственности за безопасность, вы должны пересмотреть свои собственные полисы, чтобы убедиться, что они учитывают все известные вам риски. Если часть из них отсутствует, поговорите со своим страховщиком или запросите новые предложения по страхованию ответственности. Наконец, проинформируйте совет директоров и высшее руководство о том, каковы ваши обязательства — как по ИТ, так и по самому бизнесу.
9. Подготовка и переподготовка пользователей
Для пользователей и ИТ-специалистов следует проводить регулярные курсы повышения квалификации в области ИТ и корпоративной безопасности. Если у вас есть периферийные технологии и вы зависите от конечных пользователей, не имеющих формального ИТ-образования, чтобы управлять периферийными сетями и оборудованием, эти люди должны пройти полный курс обучения методам обеспечения безопасности. Им также нужно предоставить консультанта из команды ИБ. Регулярное обучение, переподготовка, размещение напоминаний о важности соблюдения правил безопасности на рабочих местах — все это поможет сотрудникам быть информированными и подготовленными к неожиданным ситуациям.