Лента новостей последнее время напоминает сводку с киберфронта: легли серверы крупной авиакомпании, остановились аптечные сети, пострадали ритейлеры. Кажется, что от атак не застрахован никто. Возникает логичный вопрос: если даже у корпораций с их бюджетами на безопасность возникают такие проблемы, что делать среднему и малому бизнесу?
Мой опыт показывает, что причина многих громких взломов кроется не в хитроумных многоходовых операциях, а в досадных мелочах и пренебрежении базовыми правилами цифровой гигиены. Инструменты для взлома стали пугающе доступны, и теперь любая компания, вне зависимости от размера, находится под постоянным прицелом.
Давайте посмотрим на ситуацию глазами собственника, который не обязан разбираться в тонкостях XDR-систем, но должен обеспечить IT-устойчивость своего бизнеса. Что стоит знать, что предпринять?
Шесть принципов информационной безопасности
1. Модель нулевого доверия и строгий контроль доступа
Основной принцип Zero Trust: «никогда не доверяй, всегда проверяй». В компании не должно быть пользователей, которым доверяют по умолчанию. Каждый запрос на доступ к данным должен проверяться. Это означает внедрение мультифакторной аутентификации и систем управления привилегированным доступом (PAM), чтобы права выдавались гранулярно и только на то, что необходимо для работы.
2. Мониторинг и обнаружение угроз
Необходимо проактивно отслеживать подозрительную активность. Иногда для этого создают специальные «ловушки» (honeypots), например, сервис с названием «Управление паролями», который на самом деле никуда не ведет. Любая попытка доступа к нему немедленно вызовет тревогу и покажет, что кто-то пытается изучить вашу инфраструктуру изнутри.
3. Регулярная гигиена безопасности
Это основа основ. Сюда входят:
- Жесткая парольная политика: пароли должны быть сложными, регулярно меняться, и система должна помнить предыдущие, чтобы их нельзя было использовать повторно.
- Своевременное обновление: Никакого устаревшего ПО и операционных систем с известными уязвимостями. Технический долг в IT – это прямой путь к росту рисков.
- Пентесты: регулярные проверки на прочность, имитирующие действия злоумышленников.
4. Резервное копирование и аварийное восстановление
Классическое правило «3-2-1» (три копии данных, на двух разных носителях, одна из которых находится за пределами офиса) еще никто не отменял.
В одной компании основные резервные копии «1С» хранились на том же сервере, что и рабочие данные, и были зашифрованы вместе с ними. Спасением стала выгрузка из «1С», которую когда-то настроил специалист и забыл отключить после внедрения процесса резервирования. В этой ситуации компании просто повезло. А бывают ситуации более плачевные, если не соблюдать это правило.
5. Управление человеческим фактором
Самое слабое звено в любой системе защиты – человек. Причем угроза может исходить как от сотрудника, который даже не подозревает, что совершает ошибку, так и от того, кто действует со злым умыслом.
Расскажу две истории про человеческий фактор.
- Случайная ошибка «аналогового» пользователя. Сотрудники одной компании получили очень правдоподобное фишинговое письмо якобы от известного подрядчика с просьбой подписать спецификацию. В письме были указаны корректные ИНН и другие реквизиты компании. Нашелся человек, который, не задумываясь, кликнул по ссылке, ввел свои данные, и его учетная запись была скомпрометирована. А поскольку у него был доступ к файловому серверу, последствия не заставили себя ждать. Эта история – классический пример того, как одна ошибка сводит на нет многие технические усилия по защите.
- Осознанные действия обиженного сотрудника. Часто перед увольнением сотрудник начинает копировать папки с регламентами, клиентские базы или другие ценные данные. Такие аномальные действия, например, внезапная попытка выгрузить месячный отчет, чего сотрудник никогда раньше не делал, должны стать поводом для немедленной реакции.
Эти примеры показывают, что важно не только обучать персонал, но и внедрять системы мониторинга аномальной активности, а также разделять обязанности так, чтобы ни у кого не было неограниченных прав «на все».
6. Стратегические инвестиции в кибербезопасность
Безопасность – это не то, на чем можно экономить. Хорошим ориентиром считается выделение на информационную безопасность около 10% от всего IT-бюджета. Это не расходы, а инвестиции в стабильность и непрерывность бизнеса.
Как провести аудит учетных записей
Одна из самых частых точек входа для злоумышленников – это слабый контроль учетных записей. Исследования показывают, что до 30% атак начинаются с уязвимостей в неактивных «учетках» и слабых паролях (Cybersecurity Ventures, 2022). Решение вопроса уязвимости учетных записей – это базовая гигиена, с которой стоит начать наведение порядка.
Вот минимальный чек-лист для проверки.
1. Контроль доступов и «мертвых душ»
Первым делом нужно навести порядок в правах доступа. Часто это самая большая брешь в безопасности.
- Ревизия «забытых» учеток. Проверьте и отключите учетные записи уволенных сотрудников и тех, кто не заходил в систему более двух месяцев. Такие аккаунты – легкая мишень для взлома, так как за ними никто не следит.
- Аудит прав администратора. Регулярно пересматривайте, у кого есть права администратора. Часто их выдают временно для решения задачи, а потом забывают забрать.
- Ограничение удаленного доступа. Убедитесь, что доступ к серверам (например, по RDP) есть только у тех, кому это действительно необходимо для работы.
- Актуализация групп доступа. Периодически проверяйте, кто и на каком основании имеет доступ к важным ресурсам, таким как VPN или общие папки.
2. Парольная гигиена
Это фундамент, о котором все знают, но часто пренебрегают.
- Жесткая политика паролей. Внедрите обязательные требования: длина не менее 8 символов, наличие заглавных букв, цифр и символов. Система должна блокировать пользователя после нескольких неудачных попыток входа.
- Исключения только для сервисов. Убедитесь, что пароли, которые не нужно менять, есть только у технических учетных записей (например, для работы программ), но не у реальных людей.
- Смена паролей «локального админа». Не забывайте регулярно менять стандартные пароли локальных администраторов на всех серверах и рабочих компьютерах.
3. Базовые настройки инфраструктуры
Несколько ключевых технических мер, которые укрепляют защиту:
- Централизованное управление. Все компьютеры в офисе должны быть объединены в один домен для централизованного контроля.
- Аудит системных политик. Проведите ревизию групповых политик, чтобы отключить устаревшие и потенциально опасные правила.
- Включение логирования. Настройте систему так, чтобы она фиксировала все критически важные события безопасности (например, попытки входа с неверным паролем или доступ к системным файлам).
- Автоматическое завершение сессий. Настройте автоматический выход из системы для неактивных пользователей, например, через час бездействия. Эта простая мера может остановить атаку шифровальщика, не дав ему закончить работу.
Может показаться, что проверка по всем этим пунктам – долгое и сложное занятие. На самом деле, базовый аудит учетных записей, который закрывает самые очевидные риски, – это быстрая процедура, с высоким уровнем автоматизации. По нашему опыту, экспресс-проверка занимает 2-4 часа. Инженер подключается к системе и с помощью пошаговых инструкций и скриптов собирает ключевую информацию: список неактивных учетных записей, аккаунты с паролями без срока действия, состав групп администраторов и тех, у кого есть права удаленного доступа и т.д. По результатам работ эксперт составляет пояснительную записку с выявленными рисками и рекомендациями по устранению. Это классический пример работы принципа Парето: потратив минимум времени, можно выявить и устранить до 80% распространенных уязвимостей, которые злоумышленники используют в первую очередь.
Безопасность – это комплексный процесс, а не проект
Все громкие взломы последних лет доказывают одну простую мысль: абсолютной защиты не существует. Да это и не нужно. Цель – не построить неприступную крепость, а сделать так, чтобы взлом компании был слишком долгим, дорогим и невыгодным для атакующих.
Безопасность – это не разовый проект, а непрерывный процесс, состоящий из мониторинга, обновлений, обучения сотрудников и постоянного улучшения. И начать этот путь проще всего с малого – с наведения порядка в учетных записях и паролях. Это тот самый гигиенический минимум, который мгновенно повышает уровень защищенности и помогает не стать легкой добычей для кибермошенников.
Не ждите, пока ваша компания окажется в новостных заголовках, начните наводить порядок уже сегодня.
Читайте:
А мне казалось, с протоколов объмена ...
Советы верные!
Прекрасно понимаю автора - советы для "предпринимателей без больших бюджетов на информационную безопасность". Давать советы огромным холдингам вряд ли возможно. У них СБ - это не два запаренных человека.
Тем не менее, добавлю и свои советы.
В безопасности есть сухой термин "категорирование". Продумайте, проанализируйте, какую информацию и где вы храните. Специалист по безопасности должен понимать структуру информационного поля. Он не должен быть "сторожем на бахче" со строгим видом раздающий права доступа. И немного поправлю автора - нужно отслеживать не "подозрительную активность", а активность по отношению к контролируемым ресурсам. Несомненно, что какую-то информацию необходимо запретить к хранению в сети. Случаи когда супер закрытая информация находилась на ноуте, забытом на автобусной остановке, имеются. ))
Я уж не говорю про интимные фотографмии некоторых звезд.
Для правильно организации нужны хорошие - просты и понятные - инструкции. Все-таки нельзя блокировать нормальную жизнь в организации созданием невыносимых условий. Все-таки первой задачей службы ИБ является защита особоценной информации, а не оборона от пользователей.
Неужели не бывает так, что каким-нибудь почтовым клиентом пользуются только для "Сегодня у нашего товарища день рождения...", а требования к паролям "не менее 8 символовы, цифра, символ, значок...".
А в каждой ли организации есть человек, который ответственен за содержание файлового хранилища? Не за архивирование, а именно за содержание? А кто знает, что из особоохраняемой информации там хранится?
Авдей безусловно прав в том, что человек - слабое звено. Но это хотя бы можно понять. Но сложнее понять специалист службв ИБ, который в целом не знает, что он защищает и скопом запрещает все попавшие под руку действия.
Давненько здесь не был, лето.
Все-таки склонюсь к вам, коллеги. Дело далеко не в жесткой политике паролей. Схему безопасности прежде всего надо продумать. А это и протоколы, и категории, и защита ресурсов.
Мы с год назад уже обсуждали экономику безопасности. Да, не стоит экономить на ИБ, но вбивать огромные бюджеты для хранения гифок и эмодзи вряд ли стоит. Пароль - это самая последняя линия защиты. Как и в жизни - у нас есть город с полицией, ваш участок с забором, дом с ключем, комната с защелкой, ну и сейф с паролем/кодом.
Вряд ли кто будет хранить старые носки в сейфе под паролем.
Очевидно, что с информацией, представляющей реальную ценность, не работают на компьютерах, подключенных к сети. Это должны быть отдельные машины без возможности подключения кабелем, по вайфай, блютус или еще как. Иногда еще и со съемными дисками, которые хранятся отдельно под контролем. И людей, которые имеют доступ к этой машине сильно ограниченное количество, лучше один человек.
Вопрос в том что считать конфиденциальной информацией.
Рад видеть, что мы заговорили о действительно важном, если не критичном, для любого бизнеса в наши дни.
Совершенно согласен с тем, что
Хотя, если это процесс, то давайте сначала обсудим этот процесс по шагам, включая границы применимости и возможные рекомендации. Бесконечная тема.
Обычный вопрос: это заголовок автора или редакции ресурса?
Леонид, Изначально я закладывал в статью мысль, что работа с учетными записями — это один из важнейших и самых доступных шагов в обеспечении «цифровой гигиены», но не обязательно единственный первый шаг. Однако редакция, используя свое право, изменила заголовок. Это изменение поменяло основной замысел статьи, представив аудит именно как тот самый главный шаг, с которого стоит начинать.
Содерджательно вы абсолютно правы: протоколы обмена (TLS/SSL, DNSSEC, безопасные VPN-транспорты, и т.п.) — это фундаментальный слой защиты данных в движении. Без них любая передача информации уязвима к перехвату, подмене или MITM-атакам. Однако я постарался ключевой тезис статьи сделать глубже: даже идеальные протоколы не спасут, если злоумышленник получил доступ через "чужую" учетную запись. Учетные записи это "ключи от королевства " в AD средах, компроментация одной из ключевых записей позволяет обойти любые криптографические протоколы изнутри сети. Поэтому аудит учетных записей это "низко висящий плод" для быстрого снижения рисков, не требующий больших компетенций от ИТ команды . Также безопасность принято рассматривать многослойно, то есть ни один из слоев (EDR, IAM, протоколы и т.п.) не является "единственно верным началом" по умолчанию -поэтому заголовок и правда выглядит провокационно.
Иван, сложно не согласиться. ИБ это всегда про определенный уровень зрелости и понимания ценности/важности. Малый и отчасти средний бизнес исторически обретает ценность через инцидент. Я задумывал статью как простой напоминание как не усложняя снизить ряд базовых рисков со стороны ИТ до того как они были реализованы.
Евгений, обычный ответ здесь: заголовок - правка редакции.
Я вкладывал в статью ключевой тезис: часть контроля учетных записей — это одна из важнейших и самых доступных превентивных мер в части безопасности. И ее несложно автоматизировать, я во всех своих проектах сделал ее простой и эффективной, не требующей больших ИТ компетенций в операционке.
И вы также абсолютно правы - это непрерывный процесс, аналогичный контролю за здоровьем.
Аналотий, если углубиться то сложный вопрос на самом деле. К сожалению малый средний бизнес чаще всего пренебрегает вниманием в части ИБ, либо от инцидента до инцидента. Причин много. В статье я работаю с двумя : зрелость и сложность в реализации. Количество угроз в наши дни и их успешность вынуждает быть более зрелым и понимать что базовые меры избежать многих рисков очень просты. Конечно нужен ответствественный за данные, т.к. в текущей цифровизацией это критически важный актив. Сегменту SMB это пока видится сложным и избыточным.
Благодарю за ответ, Авдей!
Понимаю ваш подход. Брошенных учеток действительно много. До очередного инцидента.