Лента новостей последнее время напоминает сводку с киберфронта: легли серверы крупной авиакомпании, остановились аптечные сети, пострадали ритейлеры. Кажется, что от атак не застрахован никто. Возникает логичный вопрос: если даже у корпораций с их бюджетами на безопасность возникают такие проблемы, что делать среднему и малому бизнесу?
Мой опыт показывает, что причина многих громких взломов кроется не в хитроумных многоходовых операциях, а в досадных мелочах и пренебрежении базовыми правилами цифровой гигиены. Инструменты для взлома стали пугающе доступны, и теперь любая компания, вне зависимости от размера, находится под постоянным прицелом.
Давайте посмотрим на ситуацию глазами собственника, который не обязан разбираться в тонкостях XDR-систем, но должен обеспечить IT-устойчивость своего бизнеса. Что стоит знать, что предпринять?
Шесть принципов информационной безопасности
1. Модель нулевого доверия и строгий контроль доступа
Основной принцип Zero Trust: «никогда не доверяй, всегда проверяй». В компании не должно быть пользователей, которым доверяют по умолчанию. Каждый запрос на доступ к данным должен проверяться. Это означает внедрение мультифакторной аутентификации и систем управления привилегированным доступом (PAM), чтобы права выдавались гранулярно и только на то, что необходимо для работы.
2. Мониторинг и обнаружение угроз
Необходимо проактивно отслеживать подозрительную активность. Иногда для этого создают специальные «ловушки» (honeypots), например, сервис с названием «Управление паролями», который на самом деле никуда не ведет. Любая попытка доступа к нему немедленно вызовет тревогу и покажет, что кто-то пытается изучить вашу инфраструктуру изнутри.
3. Регулярная гигиена безопасности
Это основа основ. Сюда входят:
- Жесткая парольная политика: пароли должны быть сложными, регулярно меняться, и система должна помнить предыдущие, чтобы их нельзя было использовать повторно.
- Своевременное обновление: Никакого устаревшего ПО и операционных систем с известными уязвимостями. Технический долг в IT – это прямой путь к росту рисков.
- Пентесты: регулярные проверки на прочность, имитирующие действия злоумышленников.
4. Резервное копирование и аварийное восстановление
Классическое правило «3-2-1» (три копии данных, на двух разных носителях, одна из которых находится за пределами офиса) еще никто не отменял.
В одной компании основные резервные копии «1С» хранились на том же сервере, что и рабочие данные, и были зашифрованы вместе с ними. Спасением стала выгрузка из «1С», которую когда-то настроил специалист и забыл отключить после внедрения процесса резервирования. В этой ситуации компании просто повезло. А бывают ситуации более плачевные, если не соблюдать это правило.
5. Управление человеческим фактором
Самое слабое звено в любой системе защиты – человек. Причем угроза может исходить как от сотрудника, который даже не подозревает, что совершает ошибку, так и от того, кто действует со злым умыслом.
Расскажу две истории про человеческий фактор.
- Случайная ошибка «аналогового» пользователя. Сотрудники одной компании получили очень правдоподобное фишинговое письмо якобы от известного подрядчика с просьбой подписать спецификацию. В письме были указаны корректные ИНН и другие реквизиты компании. Нашелся человек, который, не задумываясь, кликнул по ссылке, ввел свои данные, и его учетная запись была скомпрометирована. А поскольку у него был доступ к файловому серверу, последствия не заставили себя ждать. Эта история – классический пример того, как одна ошибка сводит на нет многие технические усилия по защите.
- Осознанные действия обиженного сотрудника. Часто перед увольнением сотрудник начинает копировать папки с регламентами, клиентские базы или другие ценные данные. Такие аномальные действия, например, внезапная попытка выгрузить месячный отчет, чего сотрудник никогда раньше не делал, должны стать поводом для немедленной реакции.
Эти примеры показывают, что важно не только обучать персонал, но и внедрять системы мониторинга аномальной активности, а также разделять обязанности так, чтобы ни у кого не было неограниченных прав «на все».
6. Стратегические инвестиции в кибербезопасность
Безопасность – это не то, на чем можно экономить. Хорошим ориентиром считается выделение на информационную безопасность около 10% от всего IT-бюджета. Это не расходы, а инвестиции в стабильность и непрерывность бизнеса.
Как провести аудит учетных записей
Одна из самых частых точек входа для злоумышленников – это слабый контроль учетных записей. Исследования показывают, что до 30% атак начинаются с уязвимостей в неактивных «учетках» и слабых паролях (Cybersecurity Ventures, 2022). Решение вопроса уязвимости учетных записей – это базовая гигиена, с которой стоит начать наведение порядка.
Вот минимальный чек-лист для проверки.
1. Контроль доступов и «мертвых душ»
Первым делом нужно навести порядок в правах доступа. Часто это самая большая брешь в безопасности.
- Ревизия «забытых» учеток. Проверьте и отключите учетные записи уволенных сотрудников и тех, кто не заходил в систему более двух месяцев. Такие аккаунты – легкая мишень для взлома, так как за ними никто не следит.
- Аудит прав администратора. Регулярно пересматривайте, у кого есть права администратора. Часто их выдают временно для решения задачи, а потом забывают забрать.
- Ограничение удаленного доступа. Убедитесь, что доступ к серверам (например, по RDP) есть только у тех, кому это действительно необходимо для работы.
- Актуализация групп доступа. Периодически проверяйте, кто и на каком основании имеет доступ к важным ресурсам, таким как VPN или общие папки.
2. Парольная гигиена
Это фундамент, о котором все знают, но часто пренебрегают.
- Жесткая политика паролей. Внедрите обязательные требования: длина не менее 8 символов, наличие заглавных букв, цифр и символов. Система должна блокировать пользователя после нескольких неудачных попыток входа.
- Исключения только для сервисов. Убедитесь, что пароли, которые не нужно менять, есть только у технических учетных записей (например, для работы программ), но не у реальных людей.
- Смена паролей «локального админа». Не забывайте регулярно менять стандартные пароли локальных администраторов на всех серверах и рабочих компьютерах.
3. Базовые настройки инфраструктуры
Несколько ключевых технических мер, которые укрепляют защиту:
- Централизованное управление. Все компьютеры в офисе должны быть объединены в один домен для централизованного контроля.
- Аудит системных политик. Проведите ревизию групповых политик, чтобы отключить устаревшие и потенциально опасные правила.
- Включение логирования. Настройте систему так, чтобы она фиксировала все критически важные события безопасности (например, попытки входа с неверным паролем или доступ к системным файлам).
- Автоматическое завершение сессий. Настройте автоматический выход из системы для неактивных пользователей, например, через час бездействия. Эта простая мера может остановить атаку шифровальщика, не дав ему закончить работу.
Может показаться, что проверка по всем этим пунктам – долгое и сложное занятие. На самом деле, базовый аудит учетных записей, который закрывает самые очевидные риски, – это быстрая процедура, с высоким уровнем автоматизации. По нашему опыту, экспресс-проверка занимает 2-4 часа. Инженер подключается к системе и с помощью пошаговых инструкций и скриптов собирает ключевую информацию: список неактивных учетных записей, аккаунты с паролями без срока действия, состав групп администраторов и тех, у кого есть права удаленного доступа и т.д. По результатам работ эксперт составляет пояснительную записку с выявленными рисками и рекомендациями по устранению. Это классический пример работы принципа Парето: потратив минимум времени, можно выявить и устранить до 80% распространенных уязвимостей, которые злоумышленники используют в первую очередь.
Безопасность – это комплексный процесс, а не проект
Все громкие взломы последних лет доказывают одну простую мысль: абсолютной защиты не существует. Да это и не нужно. Цель – не построить неприступную крепость, а сделать так, чтобы взлом компании был слишком долгим, дорогим и невыгодным для атакующих.
Безопасность – это не разовый проект, а непрерывный процесс, состоящий из мониторинга, обновлений, обучения сотрудников и постоянного улучшения. И начать этот путь проще всего с малого – с наведения порядка в учетных записях и паролях. Это тот самый гигиенический минимум, который мгновенно повышает уровень защищенности и помогает не стать легкой добычей для кибермошенников.
Не ждите, пока ваша компания окажется в новостных заголовках, начните наводить порядок уже сегодня.
Читайте:
Понял. Интересно, как Вы видите весь процесс - если можете поделиться.
Скажем, для меня первый шаг - подготовка и постоянное обновление списка угроз и атак. Из этого, если есть идеи, вытекает всё остальное, что хотелось бы и можно было бы сделать.
В таком списке меры по контролю (в полном объеме) учетных записей всех категорий пользователей безусловно необходимы, но нужно понимать ситуацию в возможно большем объеме, особенно в крупной компании. Внутренние угрозы иногда важнее и серьёзнее внешних.
Например, такие угрозы.
Евгений, в части типовой угрозы из статьи я бы шел по общепринятому сценарию (тезисно, с позиции CIO)
1. Требуется требуется модель угроз, необязательно сложная. Традиционный риск -ориентированный фундамент. сложно с вами не согласиться. Это наиболее очевидный шаг.
2. Контроль УЗ:
- Автоматизированный аудит (неактивные/избыточные привилегии) — скрипты powershell,
AD Audit Plus
- Соответствующая парольная политика + MFA для всех, включая сервисные аккаунты.- Сегментация доступа (на основе ролей, для всех, включая команду ИТ) — чтобы скомпрометированный аккаунт ≠ доступ ко всему. ИБ в зоне ответственности например аутсорсера/другого сотрудника не из команды ИТ
3. Непрерывность процесса и контроль глубины:
- мониторинг аномалий ( нетипичное поведение, события в ловушках honeypots и пр.)
- регулярная ревизия модели угроз( регламент, с выдачей соответствующих заключений и документаций)
- Автоматизированная защита данных . DLP как максимум, либо частичная функциональность со стороны сервисов AD, СУБД, файловых служб, антивирусной защиты, сетевого трафика и пр.
Мой коллега на примере ситуации аналогичной вашему примеру написал статью, дополняющую наши с вами тезисы.