В последнее время в СМИ часто стали появляться новости о происшествиях в области информационной безопасности:
- кража средств с кредиток;
- утечка информации о персональных данных;
- кража конфиденциальных сведений, интеллектуальной собственности;
- блокировка компьютеров посредством программ вымогателей.
Причем, страдают не только мелкие предприятия и физические лица, а довольно крупный бизнес, где, казалось бы, заботятся об информационной безопасности. Пострадавшими оказываются правительственные организации, крупные сети, занимающиеся продажами, банки. Они тратят колоссальные средства, для защиты своей информации, но не могут ничего сделать с кибератаками.
А между тем, есть традиционные методы, с помощью которых можно было бы предотвратить такие атаки. Например, делать постоянно релизы и использовать безопасные конфигурации.
В этой статье разберем инструменты, которые можно применить для защиты своего бизнеса. Это наиболее проверенные методы защиты информации, с помощью которых можно отбить наиболее распространенные атаки.
Наиболее распространенные угрозы для SMB
SMB или Server Message Block — сетевой протокол для удаленного доступа к сетевым ресурсам: файлам, папкам, принтерам. Основные угрозы для него в интернете:
- Воровство информации, которая является важной для предприятия и носит конфиденциальный характер. Заинтересованные в краже бывают неудовлетворенные своим положением или уволенные сотрудники.
- Фишинг. Злоумышленник подделывает сообщения, делая их похожими на информацию от известного источника. Например, вам приходит письмо, основная цель которого вынудить вас кликнуть по ссылке. При этом скачивается вирусное ПО.
- Дефейс сайта — хакерская атака, при которой нужная вам страница пи переходе на сайт подделывается на другую, например, с рекламой или даже угрозой.
- Программа-шантажист — вредоносное ПО, которое блокирует вход в компьютер, вымогая отправить деньги по реквизитам или на электронный кошелек за его разблокировку.
- Возможна потеря данных по неосторожности или стихийного бедствия.
Что нужно сделать в первую очередь для обеспечения безопасности?
Ваша сеть должна не только быть хорошо организованной, но и хорошо управляться. От этого во многом зависит информационная безопасность. Чтобы оценить насколько эффективно настроено управление вашей ИТ-инфраструктурой, постарайтесь ответить на такие вопросы:
- Какие устройства подключаются к ПК внутри локальной сети?
- Какие устройства подключают ваши работники?
- Какое ПО используется на каждом ПК?
- Настраивались ли компьютеры в соответствии с требованиями информационной безопасности изначально?
- Разграничены ли у вас доступы сотрудников к конфиденциальной информации?
- Понимают ли сотрудники свою роль в обеспечении информационной безопасности предприятия?
Дальше рассмотрим некоторые бесплатные или дешевые программы, с помощью которых можно получить ответы на вопросы выше и повысить безопасность сети вашего предприятия. Эти инструменты не являются догмой, но, тем не менее, это достаточно большой перечень бесплатных и дешевых инструментов, с помощью которых вы повысите уровень вашей информационной безопасности.
Свою работу рекомендуем разбить на три этапа:
- Определить, какие устройства расположены в вашей локальной сети и базовые требования по безопасности.
- Организация базовых требований по безопасности и обучение сотрудников.
- Подготовка к возможным происшествиям, попыткам хакерских атак.
Первый этап. Какая информация нуждается в защите?
В первую очередь мониторим локальную сеть на предмет того, какие устройства подключены, какие данные нуждаются в защите. Это четко нужно понимать, чтобы стать более грамотным в вопросах информационной безопасности и обеспечить достаточный уровень ее защиты.
У каждой компании есть конфиденциальная информация, утрата наиболее ценной ее части может быть равной утрате бизнеса. Кроме того, некоторые сотрудники могут стремиться завладеть этой информацией с целью извлечения выгоды. Например, украсть базу ваших клиентов, информацию, являющуюся интеллектуальной собственностью или данные о финансовом положении вашей компании.
Украсть данные они могут через локальную сеть, а для этого нужно иметь доступ. Нужно понимать, какая информация является наиболее ценной в вашей компании, кто и как ее может использовать. Некоторая информация нуждается в защите по закону, например, персональные данные. Пример информации, которая может быть ценна для компании и нуждаться в защите:
- персональные данные;
- базы сотрудников и клиентов;
- интеллектуальная собственность;
- финансовая информация.
Определяем, какие устройства подключены в сеть
Если организация небольшая, то, скорее всего, вы и так знаете, какие устройства подключены в сеть. Однако рекомендуется завести таблицу в экселе с перечнем оборудования и обновлять ее при подключении нового устройства. В этой таблице также нужно отмечать, какая информация защищена.
Для выяснения того, как организована локальная сеть более крупного предприятия, выполняют следующие действия:
- При наличии беспроводной сети заходим в ПО сетевого маршрутизатора и выясняем, какие устройства подключены в «локалку» и есть ли надежное шифрование WPA2.
- Использование сетевого сканера для крупной локальной сети. Есть платные и бесплатные программы. Идентифицируем все подключенные устройства.
- Используйте логии событий, произошедших в сети для каждого подключенного устройства по протоколу DHCP.
Для работы вам понадобятся такие инструменты:
Nmap. Сетевой сканер (утилита) для мониторинга сети и проверки безопасности. Ее используют также для управления обновлением служб, определения времени безотказной работы компьютера . Nmap использует информацию в IP-пакетах, для того чтобы определить, какие устройства есть в сети, какое ПО используют, под управлением какой операционной системы они работают, какой тип брандмауэров используются и другие характеристики.
ZenMap. Официальный графический интерфейс сканера безопасности Nmap. Бесплатное приложение с открытым исходным кодом, цель которого — упростить использование Nmap для новичков и предоставить расширенные функции для опытных пользователей Nmap.
Spiceworks. Бесплатная программа, которая определит не только устройства, подключенные в сеть, но и установленное ПО на них.
Определяем, какое установлено ПО в сети на локальных компьютерах
Следить за тем, какое установлено программное обеспечение на компьютерах ваших сотрудников важно для эффективного управления информационной безопасностью сети. Наибольшие риски для нее — вредоносные программы, проникающие на устройства. Программное обеспечение должно быть лицензированным и периодически обновляться.
Существует юридическая ответственность за использование нелицензионного ПО.
Если оно не обновляется вовремя, это может быть главной причиной заражения компьютеров вирусами, которые впоследствии произведут атаки на ваши операционные системы. Понимание того, какое ПО установлено на компьютерах в сети и контроль инсталляции программ, защита учетных записей уменьшит вероятность хакерских атак на вашу сеть.
В этом направлении нужно провести такую работу:
- Создайте таблицу со списком программ, которые используют сотрудники вашей организации для работы.
- Ограничьте число пользователей с правами администратора.
- Используйте сложные пароли для администратора.
- Обяжите администратора работать под другой учетной записью для чтения почты, работе в интернет и других приложениях.
- Запретите установку не одобренных операционной системой приложений. Для этого можно использовать программу Applocker.
Программы, которые можно использовать:
Windows Applocker. Бесплатная программа от Microsoft Windows, которая позволяет вам указать, какие пользователи или группы могут запускать определенные приложения в вашей организации.
Netwrix. Коллекция бесплатных инструментов, которые позволяют с максимальной точностью определять и классифицировать конфиденциальную информацию, снизить подверженность ее риску и вовремя обнаруживать угрозы, чтобы избежать утечки данных.
OpenAudIT. Это приложение, которое сообщает вам, какое ПО находится в вашей сети, как она настроена и когда изменяется. На ПК с Windows можно запросить оборудование, программное обеспечение, параметры операционной системы, параметры безопасности, параметры IIS, службы, пользователей и группы и многое другое.
Второй этап. Защита компьютеров и обучение сотрудников
Политика информационной безопасности включает и обучение сотрудников, которые должны знать, как предотвратить возможные атаки на сеть. Перед выполнением этого этапа задайтесь вопросами:
- Настраивались ли ПК и мобильные устройства с учетом информационной безопасности?
- Установлен ли на устройствах хороший антивирус, который вовремя обновляется?
- Знают ли ваши коллеги о современных способах защиты информации?
Как выполнить основные требования по безопасности?
Вирусы используют уязвимости в ОС и в используемых приложениях для получения доступа к вашей информации. Поэтому ваша ОС и все программы, инсталлированные на ПК, должны быть правильно настроены и постоянно обновляться. В последние версии ОС Windows уже встроены специальные программы для защиты от вредоносного ПО, например, Windows Device Guard, Windows Bitlocke.
Для безопасности вашей сети рекомендуется выполнять следующие действия:
- Узнавайте, какие обновления для ОС Windows еще не установлены с помощью программы безопасности Microsoft Security Analyzer (сканер). Время от времени его запускайте.
- Убедитесь, что используете последнюю версию браузера, лучше пользоваться Google Chrome, он автоматически обновляется.
- Обязательно установите хороший антивирус и следите, чтобы он обновлялся
- Ограничьте своих сотрудников в применении съемных носителей. Пусть они делают это только в случае необходимости, если нужно по работе.
- На компьютерах с ОС Windows установите программу Enhanced Mitigation Experience Toolkit (EMET). Она предвидит наиболее распространенные действия и методы, которые злоумышленники могут использовать для компрометации компьютера, и помогает защитить, перенаправляя, завершая, блокируя и аннулируя эти действия и методы.
- Используйте несколько уровней идентификации там, где можно. Например, для доступа к почте или локальной сети. Можно использовать SMS-сообщения с паролями.
- Поменяйте пароли для всех ОС, приложений, новых устройств при добавлении их в сеть.
- Если на жестком диске ПК есть ценная информации, шифруйте его. Используйте шифрование при передаче такой информации по email или при удаленном доступе.
Для выполнения этих действий пригодятся такие программы:
- Bitlocker. Выполняет шифрование на компьютерах с ОС Windows. Имея такую программу, будет уверенность в том, что у вас не украдут данные, их не смогут прочесть, даже если вы их случайно потеряете или ваш компьютер будет сломан.
- FireVault. Функция шифрования для устройств Mac. Использует шифрование XTS-AES-128 с 256-битным ключом, чтобы препятствовать вредоносным программам к информации на вашем загрузочном диске.
- Qualys Browser Check. Выполнит анализ безопасности ваших браузеров и плагинов, а также сделает несколько системных проверок, включая Top4 Security Controls.
- OpenVAS. Полнофункциональный сканер уязвимостей. Его возможности включают в себя тестирование без проверки подлинности, тестирование с проверкой подлинности, различные высокоуровневые и низкоуровневые итернет и промышленные протоколы, настройку производительности для крупномасштабного сканирования и мощный внутренний язык программирования для реализации любого типа теста на уязвимость.
- Microsoft Baseline Security Analyzer. Анализатор безопасности, предоставляет упрощенный метод выявления отсутствующих обновлений безопасности и распространенных неправильных настроек безопасности
- CIS Benchmarks. Готовые инструкции по созданию сетей с учетом требований информационной безопасности в PDF- файлах.
Если вы настроили свою сеть, применив все правила безопасности, осталось только обучить сотрудников соблюдать их. Здесь есть 2 момента: нужно обучить сотрудников всем требованиям информационной безопасности и постоянно повышать их уровень знаний.
Требования по информационной безопасности, которые должны знать сотрудники
Назначьте ответственных сотрудников, которые будут работать с конфиденциальной информацией. Они должны понимать свою ответственность.
Самыми распространенными атаками является фишинг, его должны уметь распознавать сотрудники. Например, на электронную почту пишут люди, используя непонятные термины, но при этом, настаивая на срочности, просят обойти процедуры безопасности или предоставить конфиденциальную информацию.
Коллеги должны руководствоваться здравым смыслом, если есть что-то странное и непонятное, то это похоже на атаки. Требуйте от сотрудников использования сложных паролей, поощряйте двухфактурную аутентификацию, где есть возможность.
Постоянно требуйте сотрудников обновлять свои устройства и ПО на них.
Поддержка уровня знаний
Для поддержки уровня знаний коллег по безопасности достаточно:
- Убедиться, что сотрудники понимают, что поддержка информационной безопасности на компьютерных устройствах является частью их работы.
- Объясните им, какими методами можно защитить вашу организацию.
- Распространяйте среди коллег материалы по информационной безопасности, используйте онлайн ресурсы.
Третий этап. Как реагировать на инциденты в сети?
Теперь нужно разобраться, как реагировать на хакерские атаки. Ведь, несмотря на то, что ваше предприятие отлично выстроило работу по информационной безопасности, инциденты в сети будут происходить и нужно с ними справляться и быстро восстанавливать работу.
Работая в этом направлении важно регулярно создавать копии наиболее ценных данных и проверять их правильность.
Как управлять резервными копиями?
Работа по управлению резервными копиями требует систематичности, это монотонная работа. Однако она является лучшим вариантом для восстановления работоспособности вашего бизнеса в случае хакерских атак. Работа по управлению резервными копиями состоит из таких шагов:
- Каждую неделю создавайте резервную копию. Это должно выполняться в автоматическом режиме.
- Иногда проверяйте правильность резервной копии, восстанавливая систему, используя одну из них.
- Хотя бы одна из резервных копий должна быть недоступна по сети, чтобы до нее не мог добраться вирус.
Программы, которые помогут
- Выполнять резервное копирование с помощью ОС Windows. Выберите Панель управления->Система и обслуживание->Резервное копирование и восстановление.
- Apple Time Machine. Встроенная функция резервного копирования для Mac. Служит для автоматического резервного копирования ваших личных данных, включая приложения, музыку, фотографии, электронную почту и документы..
- Amanda Network Backup. Представляет собой решение для резервного копирования, которое позволяет ИТ-администратору настроить один главный сервер для резервного копирования нескольких компьютеров.
- Bacula. Утилита для резервного копирования и восстановления.
Как подготовиться к инцидентам в сети?
Конечно, не хотелось бы, что инциденты происходили, но нужно понимать, что это все же может произойти. Потому, чем вы лучше подготовитесь, тем быстрее восстановите работоспособность свого бизнеса. Ваша команда должна работать слажено, вы должны знать, к кому можно обратиться, если есть признаки атаки.
В первую очередь в организации должны быть назначены люди, которые будут принимать решения в случае атак. Это могут быть:
- свои ИТ- специалисты;
- сторонняя организация;
- юристы и страховые организации.
Оставьте им свои контакты и всегда держите «под рукой» их.
Вы должны знать законы, связанные с нарушениями информационной безопасности:
- «О персональных данных»;
- «Об информации, информационных технологиях и о защите информации»;
- «О коммерческой тайне».
- «О национальной платежной системе»;
Что делать, если произошел инцидент?
Если характер атаки вам неизвестен, то обратитесь к своему консультанту по информационной безопасности. В любом случае вам нужно уведомить, всех лиц, которые отвечают за информационную безопасность. Если в результате атаки были раскрыты чьи-то личные данные, подготовьтесь к тому, чтобы уведомить этих людей.
Рассмотрите возможность в вашем случае обратиться к юристу, а если необходимо, то информируйте об атаках полицию.