Информационная безопасность
Управление рисками как важнейший навык CISO нефтегазовой отрасли
В прошлом году мы провели исследование, целью которого было выяснить, чем живут директора по информационной безопасности. Информационная безопасность вообще и роль CISO в частности становятся все более значимыми для бизнеса. Из списка навыков, наиболее важных для успешного выполнения своих задач, все больше респондентов выбрали «управление рисками» и другие бизнес-навыки.
Однако, многие до сих пор рассматривают технические компетенции и глубокое знание применяемых IT-систем в качестве ключевых навыков как для работы, так и для своего дальнейшего развития. Хотя технические знания и являются базовыми для CISO и ему нужно разбираться в новых технологиях, индустрии, пора осознать, что сложность применяемых сегодня IT-систем слишком высока, чтобы у руководителей по информационной безопасности даже потенциально могло быть полное представление о технической стороне дела. Приоритетным для руководителя по информационной безопасности должно быть не повышение своих технических компетенций, а развитие таких навыков, как управление рисками, эффективное руководство командой и коммуникации с бизнесом. В современных реалиях все решает именно персонал.
По сути, постоянное усложнение как IT-систем, так и защитных технологий привело к тому, что сейчас ключевые для бизнеса решения принимаются на уровне узких специалистов. Поэтому крайне важно, чтобы, с одной стороны, руководитель отдела информационной безопасности мог доверять своим специалистам, а с другой — они также доверяли бы его суждениям и решениям. Но не слепо следовали приказам, а понимали, что они как команда делают общее дело, и имели бы возможность как профессионалы высказывать свою экспертную оценку ситуации. Только тогда CISO может быть уверен, что принимаемые его специалистами решения направлены на улучшение работы бизнеса, а не наоборот.
Иногда вместо увеличения штата специалистов по информационной безопасности бизнес охотнее согласовывает увеличение бюджетов на закупку тех или иных решений, и здесь очень важно не поддаться соблазну закупить побольше систем. Гораздо важнее определить ключевые знания и навыки, которыми должны обладать собственные специалисты, и те компетенции, которые вы можете отдать на аутсорсинг. На фоне тотальной нехватки специалистов на рынке полезно рассматривать аутсорсинг как способ расширить возможности отдела и ускорить выполнение запросов бизнеса.
Несмотря на то, что роль директора по информационной безопасности стала более важной для ключевых стейкхолдеров — совета директоров или генерального директора, они по-прежнему гораздо чаще обращаются за помощью, когда уже что-то случилось. К счастью, как правило, это самое «случилось» — у конкурентов или других игроков той же отрасли. Но это все равно показывает, что в большинстве компаний информационная безопасность не рассматривается как инструмент управления бизнес-рисками. Да и на вопрос о том, как руководство измеряет эффективность отдела ИБ, многие по-прежнему отвечают, что ключевыми показателями до сих пор остаются количество инцидентов или скорость реакции на них.
В современной концепции кибериммунитета, которой придерживается «Лаборатория Касперского», успешно защищенной компанией является не та, которая сможет свести к минимуму количество атак, приведших к ущербу, или быстро расследовать инциденты, а та, бизнес которой может, несмотря на эти инциденты, успешно развиваться. Помимо того, рост сложности ИТ-систем и их взаимосвязей со сторонними сервисами, а также ужесточение законодательства означает, что ни в коем случае не стоит игнорировать возможные юридические последствия решений, принимаемых специалистами по защите информации, как инструмента управления бизнес-рисками.
Ландшафт угроз для систем промышленной автоматизации. 2019 год: главное
- В 2019 году Kaspersky ICS CERT было выявлено 103 уязвимости в промышленных системах, системах IIoT/IoT и других типах решений.
- 33 из обнаруженных уязвимостей до сих пор не исправлены производителями соответствующих продуктов, хотя они получили для этого всю необходимую информацию.
- Эксплуатация 30,1% выявленных уязвимостей может привести к удаленному выполнению произвольного кода, 14,6% – к DoS. Эксплуатация 13,6% уязвимостей позволяет повышать привилегии или же перехватывать сессии.
- Абсолютное большинство обнаруженных Kaspersky ICS CERT уязвимостей, для которых в 2019 году были опубликованы CVE, по шкале CVSS v.3 имеют вес не менее 7.0 и относятся к группе наиболее критичных.
- Уязвимости возникают из-за ошибок, допущенных при разработке программного обеспечения. Самой популярной в 2019 году стала ошибка под номером CWE-787 “Out-of-bounds Write” (по классификации ошибок Common Weakness Enumeration).
- В 2019 году вредоносные объекты были заблокированы на 46,6% компьютеров АСУ. Во втором полугодии 2019 года этот показатель составил 39,2% – на 2 п.п. меньше, чем в предыдущем полугодии.
- Процент компьютеров АСУ, на которых были заблокированы вредоносные объекты, различен в разных индустриях, например, автоматизация зданий (38%), автомобилестроение (37,6%), энергетика (36,6%), нефть и газ (36,3%) и инжиниринг и интеграторы АСУ (32,7%).
- В Республике Казахстан в течение второго полугодия 2019 года хотя бы один раз вредоносные объекты были заблокированы на 43,1% компьютеров АСУ, что на 1,7 п.п. меньше, чем в первом полугодии 2019 года (44,8%).
- Во всех регионах мира основным источником угроз по-прежнему является интернет. Однако в Северной Европе (6,8%), Западной Европе (10%) и в Северной Америке (12,6%) процент компьютеров АСУ, на которых были заблокированы угрозы из интернета, значительно ниже, чем в Восточной Европе (17,2%), на Ближнем Востоке (21,2%), в Латинской Америке (24,2%), Центральной Азии (30,8%), Африке (34,6%) и Юго-Восточной Азии (35,8%).
Многие типы вредоносного ПО, не будучи заблокированными на компьютерах АСУ, представляли бы серьёзную опасность для работы предприятия. Среди всех этих угроз воздействие вредоносных программ-вымогателей может быть наиболее пагубным. В 2019 году программы-вымогатели были заблокированы на 1,0% компьютеров АСУ. Во втором полугодии 2019 этот показатель составил 0,61%, в первом полугодии, по уточненным данным – 0,76%.
На первом месте в рейтинге стран – жертв вредоносных программ-вымогателей в 2019 году была Бангладеш (3,13%). За ней следуют Алжир, Вьетнам, Индонезия, Египет, Китай, Чили, Белоруссия, Индия, Казахстан, Украина, Малайзия, Тунис, Италия и Таиланд.
Печально известная программа-вымогатель WannaCry всё ещё жива. Среди всех пользователей продуктов «Лаборатории Касперского», подвергшихся атакам троянских программ-вымогателей в 2019 году, более 23% были атакованы именно WannaCry. При этом процент атакованных этой программой компьютеров АСУ ещё выше – более 35%.
Количество обнаруженных уязвимостей
- В 2019 году на сайте было опубликовано 509 уязвимостей, выявленных в различных компонентах АСУ ТП. Это число превышает аналогичный показатель за 2017 и 2018 год, что, на наш взгляд, связано с повышением внимания к безопасности решений промышленной автоматизации со стороны исследователей безопасности и не говорит о снижении качества разработки этих продуктов.
- Большая часть уязвимостей затрагивает автоматизированные системы управления в энергетике (283), технологическими процессами различных производственных предприятий, относимых к критической инфраструктуре (274) и водоснабжением и канализацией (162).
- Больше половины выявленных в системах АСУ ТП уязвимостей (358, в прошлом году — 284) получили оценку более 7 баллов по шкале CVSS версии 3.0, что соответствует высокой и критической степени риска.
Типы выявленных уязвимостей
- Как и в 2018 году, среди наиболее распространенных типов уязвимостей – переполнение буфера (Stack-based Buffer Overflow, Heap-based Buffer Overflow, Classic Buffer Overflow), некорректная проверка входных данных (Improper Input Validation) и инъекции (SQL Injection, Code Injection, Command Injection).
- 17,3% всех опубликованных уязвимостей связаны с проблемами аутентификации (Improper Authentication, Authentication Bypass, Missing Authentication for Critical Function) и с проблемами управления доступом (Access Control, Incorrect Default Permissions, Improper Privilege Management, Credentials Management).
При этом:
- Большинство уязвимостей (420) могут эксплуатироваться удаленно без аутентификации.
- Эксплуатация большинства уязвимостей (480) не требует от злоумышленника специальных знаний и высокого уровня навыков.
- Для 23 уязвимостей опубликованы эксплойты, что повышает риск их злонамеренного использования.
Уязвимые компоненты АСУ ТП. Наибольшее количество уязвимостей было выявлено в:
- инженерном ПО (103,20%),
- сетевых устройствах промышленного назначения (78, 15%),
- SCADA/HMI-компонентах (63,12%),
- РСУ (56,11%)
- ПЛК (47,9%).
Проблемы безопасности систем промышленной автоматизации зачастую связаны с уязвимостями в общих программных компонентах, которые используются вендорами в составе множества их решений. Среди таких компонентов – операционные системы (ОС), менеджеры лицензий, модули, реализующие различные механизмы защиты, а также фреймворки для разработки и выполнения программ автоматизированного управления технологическим процессом.
Атаки программ-вымогателей
Во втором полугодии 2019 года мы провели детальный анализ данных о блокировании Trojan-Ransom. Всего во втором полугодии программы-вымогатели были заблокированы на 0,61% компьютеров АСУ. По уточненным данным, в первом полугодии этот показатель составил 0,76%.По итогам 2019 года программы-вымогатели были заблокированы на 1,0% компьютеров АСУ.
Наибольший процент компьютеров АСУ, на которых были заблокированы программы-вымогатели, во втором полугодии 2019 приходится на Азию.
Ландшафт угроз для систем промышленной автоматизации в первом полугодии 2020 года.
Общая тенденция снижения процента атакованных компьютеров в мире
Со второй половины 2019 года в мире наблюдается снижение процента атакованных компьютеров, как среди АСУ, так и в корпоративной и персональной средах.
- Процент компьютеров АСУ, на которых были заблокированы вредоносные объекты, в первом полугодии 2020 года уменьшился на 6 п.п. и составил 32,6%.
- Среди стран наибольшие показатели – в Алжире (58,1%), наименьшие – в Швейцарии (12,7%).
- Несмотря на общую тенденцию снижения процента атакованных компьютеров, на 1,6 п.п. выросли показали в нефтегазовой отрасли (37,8%), на 1,9 п.п. – компьютеров, используемых в составе систем для автоматизации зданий (39,9%). Показатели в этих индустриях превышают аналогичный показатель по миру в целом.
Разнообразие вредоносного ПО
Угрозы становятся более локальными, более фокусированными, и, как следствие – более разнообразными и сложными.
- Защитными решениями «Лаборатории Касперского» на системах промышленной автоматизации было заблокировано более 19,7 тысяч модификаций вредоносного ПО из 4119 тысяч различных семейств.
- Стало заметно больше семейств бэкдоров, троянцев-шпионов, эксплойтов для Win32 и вредоносного ПО на платформе .NET.
- Вредоносные программы-вымогатели были заблокированы на 0,63% компьютеров АСУ. Это незначительно отличается от итогов предыдущего полугодия (0,61%).
Основные источники угроз
- Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет, съемные носители и электронная почта. Показатели по этим источникам ожидаемо уменьшились.
- Угрозы из интернета заблокированы на 16,7% компьютеров АСУ (-6,4 п.п.)
- Угрозы при подключении съемных носителей заблокированы на 5,8% компьютеров АСУ (-1,9 п.п.).
- Вредоносные почтовые вложения заблокированы на 3,4% компьютеров АСУ (-1,1 п.п.).
Отличия по регионам
Регионы Азии и Африка входят в число наименее благополучных.
- Четыре из пяти позиций в TOP 5 по проценту атакованных компьютеров АСУ заняли регионы Азии. Второе место в этом рейтинге принадлежит Африке.
- Самая сложная ситуация в Юго-Восточной Азии: регион лидирует сразу в нескольких рейтингах:
- по проценту компьютеров АСУ, на которых была предотвращена вредоносная активность (49,8%),
- по проценту компьютеров АСУ, на которых были заблокированы угрозы из интернета (14,9%)
- по проценту компьютеров АСУ, на которых были заблокированы вредоносные почтовые вложения (5,8%).
- Африка лидирует по проценту компьютеров АСУ, на которых угрозы были заблокированы при подключении съемных носителей (14,9%).
- Самая благополучная ситуация в Австралии, регионах Европы, США и Канаде, которые замыкают все рейтинги, кроме рейтинга по вредоносным почтовым вложениям.
- Самым благополучным регионом по итогам полугодия выглядит Северная Европа. У этого региона наименьшие показатели:
- по проценту атакованных компьютеров АСУ (10,1%),
- по проценту компьютеров АСУ, на которых были заблокированы угрозы из интернета (4,6%)
- по проценту компьютеров АСУ, на которых были заблокированы вредоносные почтовые вложения (1,1%).
- Наименьший процент компьютеров АСУ, на которых были заблокированы угрозы при подключении съемных носителей, – в Австралии (0,8%). Показатель Северной Европы (0,9%) не сильно уступает лидеру.
- В Австралии, Европе, США и Канаде показатели по вредоносным почтовым вложениям превышают показатели по угрозам на съемных носителях. Исключение составляет Восточная Европа (3,5% и 3,7% соответственно).
Среди регионов Европы наименее благополучны Южная и Восточная Европа.
Южная и Восточная Европа вошли в TOP-5 в рейтинге по проценту компьютеров АСУ, на которых были заблокированы вредоносные почтовые вложения. Южная Европа (5,2%) заняла второе место, Восточная Европа оказалась на пятом месте (3,5%).
Единственный регион в мире, где за полугодие увеличился (на 0,9 п.п.) показатель по проценту компьютеров, на которых были заблокированы угрозы при подключении съемных носителей – Восточная Европа (3,7%).
Города и промышленные объекты под прицелом вымогателей
К сожалению, атаки с использованием систем подрядных организаций, а также поставщиков стороннего ПО перестают быть редкостью. Могут быть использованы средства удаленного доступа, применяемые подрядчиком для обслуживания атакуемой организации. Наконец, могут быть скомпрометированы сами поставщики стороннего ПО.
Для снижения рисков возникновения подобных инцидентов необходимо контролировать подключения между сетью организации и сетями других предприятий (поставщиков, подрядчиков и т.д.). Особое внимание необходимо уделять контролю применения средств удаленного администрирования. Как правило, инциденты с атаками шифровальщиков на крупные предприятия развиваются продолжительное время, за которое злоумышленники производят обследование сети предприятия и выбирают системы для шифрования. Также рекомендуется тестировать все обновления прикладного ПО перед их установкой на критически важные системы.
Новые шифровальщики нацелены на нарушение работы промышленного ПО
Среди шифровальщиков, замеченных в атаках 2019 года, были обнаружены новые вредоносные программы MegaCortex и Snake, которые привлекли особое внимание экспертов из-за списков процессов, которые завершаются перед началом шифрования. Эти списки, помимо процессов антивирусных решений, серверов баз данных, браузеров, содержат также процессы, связанные с программным обеспечением систем промышленной автоматизации.
Появление сразу двух шифровальщиков, функциональность которых направлена, в том числе, на нарушение работы систем промышленной автоматизации, в очередной раз говорит о заинтересованности злоумышленников в проведении атак на промышленные предприятия.
Ранее мы рассказывали об атаках шифровальщика LockerGoga на промышленные предприятия. В числе его жертв оказались норвежская металлургическая компания Norsk Hydro, французская консалтинговая компания Altran Technologies, а также две американские химические компании Hexion и Momentive. Последствия атаки на Norsk Hydro были значительными: cогласно официальному заявлению на сайте компании, общий финансовый ущерб от атаки составил около 550–650 миллионов норвежских крон (приблизительно 60,5–71,5 миллиона долларов).
1 августа 2019 года опубликован обзор атак под названием «Oil and Gas Threat Perspective Summary», в котором упоминается некая новая группировка, получившая имя «Hexane». Согласно отчету, Hexane ориентирована на нефтегазовый сектор и телекоммуникации в Африке, на Ближнем Востоке и в Центральной и Юго-Западной Азии.
Возможно, группировка APT34 (OilRig и Crambus) стоит за атакой на энергетические объекты на Ближнем Востоке с использованием вредоносной программы для уничтожения данных под названием «ZeroCleare». В отчете IBM говорится, что OilRig, а также, по крайней мере, еще одна группа, вероятнее всего, также из Ирана, использовали взломанные VPN аккаунты для доступа к машинам, по крайней мере, в одном случае.
В декабре в Бахрейнской национальной нефтяной компании Bapco произошла атака вайпера, который получил название Dustman. Национальное управление кибербезопасности Саудовской Аравии (National Cybersecurity Authority, NCA) опубликовало соответствующее предупреждение безопасности. По результатам анализа вредоносного ПО было установлено, что Dustman представляет собой обновленную и улучшенную версию вайпера ZeroCleare.
Анализ WastedLocker — целевого шифровальщика-вымогателя
Наши эксперты провели подробный технический анализ шифровальщика, использовавшегося при атаке на Garmin. Это самая свежая из крупных промышленных атак, вероятность повторения которой в нефтегазовом секторе РК очень высока.
Последнюю неделю июля 2020 года все технические новостные сайты пестрели новостями про американскую компанию Garmin. Ряд сервисов компании, включая возможность синхронизации устройств с облаками и инструменты для пилотов, были выведены из строя. Официальное заявление компании подтвердило, что причиной недоступности сервисов стала кибератака, в ходе которой были зашифрованы некоторые внутренние системы Garmin. По имеющимся на сегодняшний день данным, злоумышленники использовали шифровальщик-вымогатель WastedLocker.
Шифровальщик WastedLocker - пример так называемого целевого шифровальщика, то есть зловреда, модифицированного для атаки на конкретную компанию. В записке о выкупе атакующие обращаются к конкретной жертве, да и все зашифрованные файлы получают дополнительное расширение .garminwasted. О том же говорит и использованная злоумышленниками криптографическая схема. Файлы шифровались при помощи комбинации алгоритмов AES и RSA, которые применяются создателями вымогательского ПО в паре достаточно часто. Однако публичный ключ RSA для шифрования в WastedLocker применяется один, а не генерируется уникальный для каждого заражения. То есть если бы та же модификация шифровальщика использовалась против множества целей, то программа для расшифровки данных была бы универсальной, поскольку приватный ключ также должен быть один.
Кроме того, в этом шифровальщике-вымогателе реализованы следующие любопытные особенности:
- Троян допускает приоритизацию шифрования данных — злоумышленники могут указать конкретную директорию, файлы в которой будут зашифрованы в первую очередь. Это сделано, чтобы максимизировать ущерб в том случае, если защитные механизмы остановят шифрование данных до его завершения.
- WastedLocker поддерживает шифрование файлов на удаленных сетевых ресурсах. Шифровальщик проверяет привилегии, с которыми он запущен, и если находит их недостаточными, то может повысить их, используя метод подмены DLL.
Как обеспечить защиту от подобных атак
- Не забывайте своевременно обновлять программное обеспечение, и в первую очередь, операционную систему — большинство троянов используют уже известные уязвимости.
- Откажитесь от открытого доступа к системам компании через RDP, в крайнем случае подключайтесь через VPN.
- Обучайте сотрудников основам кибербезопасности. Чаще всего заражение корпоративных сетей троянами-шифровальщиками происходит из-за того, что злоумышленники успешно обманывают кого-то из сотрудников, используя методы социальной инженерии.
- Применяйте современные защитные решения, в которых используются продвинутые технологии борьбы с шифровальщиками-вымогателями. Наши продукты успешно выявляют WastedLocker и препятствуют заражению.
Целевые атаки на компании энергетического сектора с использованием шифровальщика Snake
По данным Kaspersky ICS CERT, в настоящее время продолжаются направленные атаки на промышленные компании с использованием шифровальщика Snake. 8 июня 2020 года стало известно о неполадках в компьютерной сети японского мото- и автопроизводителя Honda в Европе и Японии. В частности, сообщалось о технических трудностях в работе службы поддержки клиентов Honda и финансовых служб компании. ИБ-эксперты полагают, что, вероятнее всего, один из серверов компании был заражен вымогательским ПО Snake (EKANS).
Некоторые исследователи обнаружили на VirusTotal образец вредоносной программы Snake, который проверяет доменное имя компании Honda «mds.honda.com» (вероятно, использующееся во внутренней сети компании). Если доменное имя не удается разрешить (определить IP-адрес), работа вымогателя завершается без шифрования каких-либо файлов. По мнению исследователей, это может указывать на целенаправленные действия злоумышленников.
Эксперты Kaspersky ICS CERT, используя данные собственной телеметрии, обнаружили также и другие образцы, сходные с тем, который был загружен на VirusTotal. Согласно результатам нашего исследования:
- Вредоносное ПО запускалось с использованием файла «nmon.bat», обнаруженного продуктами «Лаборатории Касперского» в каталогах скриптов доменных политик.
- Все выявленные образцы Snake отличаются лишь зашитым в код доменным именем и IP-адресом.
- Зашитый в код вредоносного ПО IP-адрес используется для сравнения с IP-адресом доменного имени, если его удалось разрешить.
- Шифрование данных производится только в случае совпадения IP-адреса в коде вредоносной программы и IP-адреса, который вредоносное ПО получает в случае успешного разрешения доменного имени, также зашитого в код вредоносной программы.
- Комбинация IP-адреса и доменного имени, зашитых в код вредоносной программы, уникальна для каждой обнаруженной нами атаки и относится, по всей видимости, к внутренней сети той организации, на которую была направлена конкретная атака.
В некоторых случаях доменное имя могло быть получено из публичных источников (DNS), а информация о его связи с IP-адресом, по всей видимости, хранится на внутреннем DNS и доступна только при обращении к DNS из внутренней сети организации-жертвы.
Помимо зашитых в код доменного имени и IP-адреса атакуемой организации, новые образцы Snake отличаются от тех, что были обнаружены в декабре 2019 года, дополненным списком расширений (типов) файлов, которые вредоносное ПО должно шифровать. В новых образцах были добавлены расширения файлов виртуальных дисков, Microsoft Access, исходных кодов С/C#/ASP/JSP/PHP/JS, а также соответствующих файлов проектов/решений и другие.
Результаты нашего исследования явно указывают на то, что злоумышленники проводят многоступенчатые хакерские атаки, при этом каждая атака направлена на конкретную организацию. Шифрование данных при помощи Snake — конечный этап этих атак.
Каждый образец Snake был, по всей видимости, скомпилирован после того, как злоумышленникам стали известны доменное имя и связанный с ним IP-адрес во внутренний сети компании. IP-адрес и доменное имя хранятся в изученных образцах вредоносного ПО в виде строк, что с учётом их переменной длины исключает возможность легко изменить (пропатчить) исполняемый файл после его компиляции.
Очевидно, что проверка соответствия доменного имени и IP-адреса является техникой, позволяющей предотвратить работу вредоносного ПО за пределами локальной сети, для которой оно предназначено.
Вероятнее всего, для распространения шифровальщика внутри локальной сети злоумышленники использовали доменные политики, т.е. имели доступ к учётной записи доменного администратора, скомпрометированной на предыдущих этапах атаки.
Известно, что помимо Honda, в числе жертв оказались также энергетические компании Enel Group. По данным Kaspersky ICS CERT, целью атак стали также немецкая компания — поставщик изделий для автомобилестроительных компаний и промышленного производства и немецкая компания, занимающаяся производством медицинского оборудования и расходных материалов. По всей видимости, атаке подверглись также и другие автомобилестроительные и производственные компании – схожие экземпляры Snake были обнаружены на компьютерах в Китае, Японии и в Европе. По нашим оценкам, атакой могли быть затронуты не только IT-системы жертв. Так, в одном случае вредоносное ПО было обнаружено и заблокировано на сервере видеонаблюдения одной из атакованных организаций в Китае.
Все обнаруженные образцы вредоносного ПО проактивно блокировались продуктами «Лаборатории Касперского» при помощи поведенческой сигнатуры Trojan-Ransom.Win32.Snake.a, созданной на основе первого образца Snake, появившегося в декабре 2019 года.
Напомним, что одной из важных особенностей Snake является нацеленность, в том числе, на системы автоматизации промышленных предприятий, а именно — способность шифрования файлов, относящихся к АСУ от General Electric. Об этом свидетельствует попытка вредоносного ПО принудительно завершать процессы ПО General Electric перед началом шифрования.
Наше предположение о том, что для распространения шифровальщика внутри локальной сети злоумышленники использовали контроллер домена атакуемой компании, подтверждено.
Рекомендации
Для выявления следов атаки и предотвращения возможного ущерба Kaspersky ICS CERT рекомендует:
- Использовать предоставленные индикаторы компрометации для выявления заражения на рабочих станциях и серверах под управлением Windows.
- Проверить активные доменные политики и скрипты на предмет наличия вредоносного кода.
- Проверить активные задачи в планировщике заданий Windows на рабочих станциях и серверах на предмет наличия вредоносного кода.
- Сменить пароли для учётных записей, входящих в группу доменных администраторов.
Обзор рекомендаций по безопасной удаленной работе для предприятий нефтегазового сектора и КВОИКИ
В связи с пандемией СOVID-19, многие организации были вынуждены перейти на удаленную работу. Несмотря на пандемию, большинство сотрудников, вовлеченных в технологические процессы предприятий критической инфраструктуры, по-прежнему работают в обычном (не удаленном) режиме. Однако административный персонал, напрямую не связанный с поддержанием технологических процессов, во многих случаях все же переведен на удаленную работу.
Удаленный режим работы офисных сотрудников, а также повышение общего уровня тревожности персонала в условиях пандемии могут приводить к снижению бдительности работников предприятий в отношении угроз информационной безопасности. Например, вероятность того, что сотрудник, получив фишинговое письмо, использующее «горячую» тему COVID-19, откроет вложение или кликнет по ссылке, повышается. Соответственно, растет и вероятность заражения его компьютера. Напомним, что многие инциденты информационной безопасности в промышленных сетях нефтегазового сектора, которые привели к нарушению технологического процесса, начинались с заражения компьютеров в корпоративном сегменте сети предприятия.
Отдельно стоит сказать о рисках, связанных с удаленным администрированием систем промышленной автоматизации.
Средства удаленного администрирования применялись в системах промышленной автоматизации и до пандемии. В 2019 году, по данным системы Shodan, число доступных через интернет систем промышленной автоматизации выросло. Вероятно, что в условиях пандемии средства удаленного администрирования применялись чаще, что подтверждают и результаты наших исследований различных реализаций системы удаленного доступа Virtual Network Computing (VNC), широко распространённой на объектах промышленной автоматизации.
Какие есть рекомендации?
Временное изменение режима работы сотрудников требует проведения дополнительной проверки достаточности и эффективности принятых мер защиты. Особое внимание должно быть уделено защите каналов связи (включая обнаружение и предотвращение атак), контролю доступа и защите конечных устройств пользователей, которые будут использоваться для удаленной работы. При невозможности предоставить персоналу устройства с настроенными средствами защиты (средства антивирусной защиты, межсетевого экранирования и проч.) все необходимые средства должны быть предоставлены пользователям для самостоятельного развертывания на их личных компьютерах.
Недопустимо использовать удаленный доступ для управления промышленным оборудованием автоматизированных систем управления, которые при категорировании были отнесены к значимым объектам критической информационной инфраструктуры. В других случаях удаленный доступ может быть использован с учетом предложенных рекомендаций - контроль доступа к объектам (двухфакторная аутентификация, разграничение прав доступа и т.п.) и комплексную защиту задействованных каналов связи и конечных узлов сети (использование антивирусных решений, VPN, мониторинг безопасности).
Также необходимо работать с персоналом: информировать о возможных угрозах и проводить дополнительные инструктажи по правилам удаленной работы. Таким образом, комплекс принятых технических мер в совокупности с административными мерами и мерами по подготовке сотрудников позволят обеспечить необходимый уровень кибербезопасности предприятий для противодействия существующим угрозам, в том числе – при более активном использовании удалённого доступа.
Как организовать работу отдела информационной безопасности в нефтегазовом секторе после утечки данных
Последствия утечки данных для компании можно оценить с разных точек зрения. Одним из самых значительных и долговременных последствий чаще всего считают подрыв репутации: люди начинают воспринимать организацию как скомпрометированную.
Чтобы измерить воздействие утечек на благосостояние компаний, веб-сайт Comparitech проанализировал, как такие инциденты влияют в долгосрочном плане на стоимость акций скомпрометированных организаций. Один из выводов этого исследования гласит: после утечки стоимость акций падает, но примерно через месяц снова начинает расти и в среднем достигает прежних индексов NASDAQ. Исследование очень подробное и, возможно, его стоит прочитать целиком.
То есть, по большому счету, доверие общественности к компании остается на прежнем уровне. Организации продолжают работать дальше. В анализе упоминаются бренды, которые мы, несмотря ни на что, ежедневно продолжаем встречать в интернете: Yahoo!, eBay, LinkedIn и Facebook.
Какова же реальная цена утечки данных?
Компаний, закрывшихся после взлома, не так уж много. Однако негативное воздействие инцидента легко недооценить, если рассматривать только объем продаж или стоимость акций. Реальный эффект и расходы, связанные с нарушением привычных процессов, могут быть намного серьезнее.
В ходе глобального исследования корпоративных ИБ-рисков наши коллеги изучили компании разных размеров со всего мира и выяснили, сколько они тратят на восстановление после кибератак. Оказалось, что в среднем ликвидация последствий утечек обходится крупному бизнесу в 1,4 миллиона долларов США.
А ведь наряду с материальным ущербом существуют и другие последствия киберинцидентов, которые необходимо учитывать. Их сложнее выразить в цифрах, но все они так или иначе негативно влияют на общий успех компании. Поэтому о них нельзя забывать при оценке рисков или обсуждении бюджетов на IT-безопасность.
Подрыв внутренней репутации отдела ИБ
Что может пострадать достаточно серьезно, так это внутренняя репутация отдела безопасности. ИБ-специалистов будут считать ответственными за происшествие вне зависимости от его реальных причин. А это может плохо сказаться на эффективности работы команды в долгосрочном плане, поскольку привносит дополнительные риски.
Нарушение привычных процессов
После серьезной утечки обычно ожидается, что директор по информационной безопасности оставит свой пост, поскольку именно он в ответе за провал. Но сложные систематические проблемы не решить, убрав одного человека. Это какой-то штамп из голливудских фильмов. Кстати, когда в следующий раз пойдете в кино, обратите внимание, чем заканчивается история организаций, в которых такая практика применяется.
Делать из ИБ-директора козла отпущения неразумно. Уйдут месяцы и даже годы, пока новый руководитель достигнет такого же опыта и уровня понимания особенностей компании, выстроит отношения с коллегами и так далее. Новый директор по ИБ, как и любой другой топ-менеджер, скорее всего, будет вносить изменения, чтобы проявить себя. А это неизбежно скажется на привычных процессах и создаст дополнительную нагрузку на отдел IT-безопасности.
Ухудшение настроя в команде
Моральный дух сложно измерить и отразить в отчете, но очевидно, что после утечек данных в IT-отделах преобладает угрюмое настроение. Особенно среди сотрудников, непосредственно отвечающих за безопасность. Отчасти это связано с пониманием, что все их старания оказались напрасными, так как в итоге защитить компанию не удалось. Но нельзя исключить и выгорания после активной работы по устранению последствий утечки.
В качестве примера можно привести ситуацию, с которой столкнулся персонал Equifax. В социальных сетях критиковали отдельных сотрудников и даже угрожали им смертью. Без должных мер по поддержке специалистов, без защиты их репутации и психического здоровья такое давление может очень сильно демотивировать.
Более скрупулезные проверки
И внутренние, и сторонние аудиторы, которых вы пригласите, будут стараться изо всех сил, чтобы не пропустить какую-нибудь мелочь — ведь за возможные инциденты в будущем часть вины может лечь и на них. Так что о привычных выборочных проверках придется забыть. А ИБ-специалисты какое-то время будут находиться под пристальным, а порой и давящим вниманием.
Больше бюрократии внутри компании
Компании часто реагируют на утечку внедрением новых жестких требований для всего персонала, вместо того, чтобы сделать понятнее существующие. Не исключено, что ваши сотрудники усвоят новые инструкции и будут следовать им. А возможно, начнут их обходить, лишь бы только сделать привычную работу. Последнее может стать дополнительным фактором риска.
Что стоит изменить, а что лучше не трогать?
С учетом всех перечисленных рисков предлагаем вам несколько рекомендаций — они помогут легче справиться с утечкой.
Инвестируйте в создание культуры кибербезопасности
Проводите тренинги по кибербезопасности для всего персонала. Они научат ваших сотрудников вместе бороться с общим врагом (киберпреступниками) и ценить усилия ИБ-отдела по защите компании.
Не увольняйте ИБ-директора
Если причина инцидента — не ошибочные действия самого директора по ИБ, не стоит его увольнять. Так клиентам, акционерам и другим пострадавшим сторонам, рассматривающим ситуацию в краткосрочной перспективе, будет спокойнее. Помните: пройдя через устранение последствий утечки, ваш ИБ-директор получит бесценный опыт и знания.
Разработайте стратегию реагирования на утечку
Лучше всего начать готовиться к восстановлению компании после утечки до того, как она произойдет. Например, прямо сегодня. Подумайте, как бы ваша компания могла выявить утечку данных или как протестировать применяющиеся у вас механизмы обнаружения атак.
Пересмотрите уже принятые стратегии
По нашему опыту, наем директора по защите данных и создание внутреннего центра мониторинга и реагирования (SOC) помогают уменьшить материальный ущерб от инцидента.
Оценивая последствия инцидента до или после его обнаружения, все заинтересованные лица должны помнить все вышеперечисленные факторы — они не менее важны, чем финансовые риски. Убедитесь, что рассмотрены все аспекты, а не только те, которые легко поддаются количественной оценке.
Учитывать возможность утечки должна каждая организация, будь то крошечная компания, у которой единственная применяемая защитная технология — резервные копии данных, или огромная корпорация, внедряющая передовое защитное решение с EDR-компонентом, способное предохранять и от целевых угроз.
Если ваш ИБ-директор сможет уверенно строить долгосрочные планы, потому что не боится временных сложностей, если вы обучите своих сотрудников кибербезопасности и заранее подготовитесь к возможным инцидентам, то сможете пережить компрометацию практически без ущерба. Так ваша компания сможет устоять перед любой атакой.
Как выбирать источники данных об угрозах
Для надежной защиты компаниям нужно постоянно адаптировать системы безопасности под изменяющийся ландшафт угроз.
Современный ландшафт угроз постоянно усложняется и разрастается, так что в нынешних условиях простого реагирования на инциденты уже недостаточно. В любой отрасли, у любой организации есть уникальные данные, которые нуждаются в защите, а также свои приложения, технологии и прочее. Все это создает широкий простор для атаки, и новые способы нападения появляются ежедневно.
В последние годы границы между различными типами кибератак стали размываться. Методы и инструменты, которые ранее представляли угрозу для ограниченного количества организаций, стали доступны широкому кругу злоумышленников. Можно вспомнить, скажем, о публикации хакерских инструментов группировкой Shadow Brokers: в результате продвинутые эксплойты оказались в распоряжении преступников, которые вряд ли смогли бы получить такой изощренный код другим путем. Еще один пример — появление кампаний на базе комплексных таргетированных угроз (APT), нацеленных не на кибершпионаж, а на кражу денег. Этот список можно продолжать.
Необходим новый подход
Компании все чаще становятся жертвами комплексных и целевых атак, и это показывает, что эффективная защита невозможна без новых методик. Для того чтобы обезопасить корпоративную инфраструктуру, необходим проактивный подход — компаниям нужно постоянно совершенствовать системы безопасности с учетом последних тенденций. Чтобы не упустить важные изменения, необходим эффективный источник данных о новейших киберугрозах.
Потоки данных об угрозах уже стали ключевым компонентом обеспечения кибербезопасности для компаний различного размера в разных отраслях и странах. Данные в формате, предназначенном для чтения как людьми, так и машинами, помогают специалистам по безопасности принимать информированные решения в процессе управления инцидентами.
В условиях растущего спроса на данные по киберугрозам появилось очень много компаний, готовых предоставлять такую услугу. Все они предлагают разные наборы служб или сервисов информирования. Широчайший ассортимент и сложность решений при высоком уровне конкуренции между поставщиками крайне затрудняют выбор варианта, который лучше всего подойдет конкретной организации.
Управление безопасностью на основе потоков данных об угрозах
Однако данные по угрозам, не адаптированные к особенностям вашего бизнеса, могут не решить, а лишь усугубить ваши проблемы. Во многих современных компаниях больше половины рабочего времени аналитиков кибербезопасности занимает вовсе не активный поиск угроз или разработка стратегий реагирования на них, а проверка ложных срабатываний. Разумеется, это значительно увеличивает сроки обнаружения реальных проблем. Если ваша служба кибербезопасности работает на базе нерелевантных или неточных данных, число ложноположительных срабатываний будет только расти, что серьезно повлияет на вашу способность реагировать на угрозы — и, как следствие, на общую безопасность компании.
Где найти лучшие сведения об угрозах
Так как же оценить многочисленные источники данных об угрозах, выделить те, которые наиболее релевантны для вашей организации, и начать эффективно их использовать? Как разобраться в бессмысленных и беспощадных рекламных призывах, если почти каждый поставщик утверждает, что уж его-то аналитика лучше всех?
Все это важные вопросы, однако начинать нужно не с них. Привлеченные громкими обещаниями и красивой статистикой, многие организации начинают верить, что сторонний поставщик даст им чуть ли не ясновидение в мире угроз. И, увлекшись этой идеей, полностью игнорируют тот факт, что самые важные аналитические данные можно найти внутри их собственного корпоративного периметра.
Данные систем обнаружения и предотвращения вторжений (IDS/IPS), сетевых экранов, журналов приложений и средств контроля безопасности многое расскажут вам о происходящем внутри корпоративной сети. Благодаря этой информации, можно выявить наиболее характерные для вашей организации признаки вредоносной активности. Ее анализ поможет увидеть разницу между нормальным поведением пользователей сети и вторжением злоумышленников, позволит отслеживать историю доступа к данным, определить потенциальную «дыру», куда могут утечь данные, если ее оперативно не заткнуть, и многое, многое другое. Кроме того, способность заглянуть внутрь собственных систем дает компаниям возможность более эффективно применять внешние источники данных об угрозах, сопоставляя их с тем, что наблюдается внутри корпоративного периметра. Если такой прозрачности у вас нет, использовать внешние источники данных может быть непросто. Многие поставщики аналитических данных располагают обширнейшими сведениями о киберугрозах, поскольку собирают их по всему миру, а затем тщательно обрабатывают и проводят корреляционный анализ. Однако их данные будут вам полезны только при понимании внутреннего контекста.
Оперирование данными об угрозах, получаемыми из внутренних и внешних источников
Мыслить как преступник
Не поставив себя на место атакующего, эффективную защиту от угроз не организовать — это верно даже для компаний, имеющих собственные центры управления безопасностью. Лишь взглянув на свои активы с точки зрения злоумышленника, можно выделить наиболее вероятные цели и обеспечить их безопасность. Чтобы извлечь из потоков данных об угрозах реальную пользу, необходимо очень четко понимать, каковы ваши ключевые ресурсы и какие наборы данных и бизнес-процессы критически важны для достижения целей вашей организации. Если вы определите эти «сокровища», то сможете выбрать связанные с ними точки сбора внутренних данных, чтобы лучше соотносить эти данные с информацией, полученной извне. Однако создать полный профиль организации — задача, непосильная для большинства отделов информационной безопасности. В этой ситуации лучше всего работает подход на основе оценки рисков — в первую очередь обращать внимание на наиболее уязвимые цели.
Как только вы выделили и задействовали внутренние источники данных об угрозах, можно постепенно начать интегрировать в существующие рабочие процессы и внешние источники.
Вопрос доверия
Не ко всем внешним источникам данных об угрозах можно относиться с одинаковым уровнем доверия.
Открытые источники бесплатны, однако в них часто отсутствует контекст, а кроме того, их использование зачастую приводит к обилию ложноположительных срабатываний.
Для начала можно обратиться к отраслевым сообществам по обмену данными об угрозах — например, ресурсу Financial Services Information Sharing and Analysis Center (FS-ISAC), актуальному для банковской отрасли. В сообществах такого рода можно найти ценную информацию, но она, как правило, доступна только постоянным участникам сообщества.
Коммерческие источники данных об угрозах значительно надежнее, но могут быть довольно дорогими.
При выборе внешнего источника данных стоит, прежде всего, обращать внимание на качество, а не на количество. Некоторые организации считают, что чем больше источников данных они интегрируют, тем лучшее представление о ландшафте угроз получат. Иногда это и правда так — например, если речь идет о проверенных источниках, которые предоставляют сведения в соответствии с актуальным профилем угроз для конкретной организации. В ином случае вы рискуете похоронить вашу службу безопасности под лавиной не касающейся вас информации.
Сведения, которые поставляют разные компании, могут мало пересекаться между собой. Поскольку все они используют различные источники и методы сбора данных, их выводы могут быть уникальными в тех или иных аспектах. Например, поставщик, активно присутствующий на рынке в определенном регионе, сообщит больше сведений об угрозах, исходящих из этого региона. Другой может дать больше подробностей об угрозах конкретного типа. В таком случае будет полезно получить доступ к обоим ресурсам: если использовать их совместно, они помогут вам обнажить закономерности более высокого порядка, что позволит эффективнее направлять поиск угроз и реагировать на инциденты. Однако помните, что источники такого типа требуют тщательной предварительной оценки: нужно убедиться, что предоставленные данные соответствуют потребностям вашей организации и могут быть использованы для ваших целей (например, для внедрения мер безопасности, реагирования на инциденты, управления рисками, исправления уязвимостей или тестирования с имитацией атаки извне).
Что необходимо учесть при оценке коммерческих предложений аналитики угроз
Четких критериев для оценки различных коммерческих предложений аналитики угроз пока не существует, однако учитывайте следующее:
Ищите аналитические компании с глобальным охватом. Преступники не обращают внимания на государственные границы: атака, направленная против компании в Латинской Америке, может быть запущена из Европы, и наоборот. Собирает ли поставщик информацию в разных регионах и способен ли он найти взаимосвязь между, на первый взгляд, разрозненными действиями преступников, объединив их в глобальные кампании?
Если вы ищете контент стратегического уровня, который поможет вам сформировать долгосрочные планы по обеспечению безопасности, обратите внимание на следующую информацию:
- высокоуровневые обзоры тенденций атак;
- техники и методы, которые используют атакующие;
- анализ мотивов;
- атрибуция.
И затем ищите поставщика сведений об угрозах, чей достоверный послужной список включает раскрытие и расследование комплексных угроз в вашем регионе или отрасли. Также очень важна способность подрядчика адаптировать свои исследовательские возможности к особенностям вашей компании.
Только контекст позволяет превратить сырые данные в аналитику угроз. Например, индикаторы угроз без контекста не представляют особенной ценности: вам следует искать поставщиков, которые помогают ответить на ключевой вопрос: «Почему это важно?». Также большую роль играет понимание взаимосвязей (например, какие домены соответствуют обнаруженным IP-адресам, или с каких URL был загружен определенный вредоносный файл). Все эти данные очень помогают в расследованиях инцидентов, позволяя определять характеристики угроз по индикаторам компрометации, обнаруживаемым в сети.
Мы предполагаем, что в вашей компании уже есть средства контроля безопасности и работают связанные с ними процессы, и что вы собираетесь использовать потоки данных об угрозах с помощью уже применяемых вами инструментов. Поэтому обращайте внимание на методы доставки, механизмы интеграции и форматы, которые позволят вам встроить аналитику угроз в существующие системы управления безопасностью.
«Лаборатория Касперского» занимается поставкой данных об угрозах уже более двух десятилетий. Наша компания обрабатывает огромные объемы данных, применяет передовые технологии машинного обучения и располагает уникальным пулом экспертов международного класса. Это позволяет предоставлять вам новейшие сведения об угрозах со всего света, поддерживая ваш иммунитет к прежде не известным типам кибератак.
Как получить все плюсы удаленной работы без ущерба для безопасности
Возможность работать удаленно повышает продуктивность и мотивированность сотрудников, но ставит перед компаниями новые задачи, связанные с защитой информации.
Как получить все плюсы удаленной работы без ущерба для безопасности
Удаленные сотрудники сейчас составляют почти 40% мировой рабочей силы, и эта цифра продолжает расти. Более того, целые компании переходят на удаленную работу, навсегда меняя физические пространства на онлайн-среду и задействуя кадровые ресурсы по всему миру ради развития бизнеса и сокращения расходов.
Ситуация выигрышная для всех: персоналу становится проще обрести баланс между работой и личной жизнью, благодаря чему люди трудятся продуктивнее и лучше относятся к работодателю, то есть производят больше. Работа из любой точки и взаимодействие всех со всеми – таков офис будущего.
Но есть и сложности…
Для удаленной работы мало вручить каждому сотруднику по смартфону или внедрить политику использования личных устройств для служебных целей (BYOD). Требуется в корне поменять рабочую культуру: руководство должно подавать личный пример мобильности в работе, а администраторы – найти способ контролировать происходящее.
Вероятно, главное препятствие на пути к удаленной работе – страх руководства потерять контроль, ведь использование личных устройств делает компанию уязвимее для атак киберпреступников, стремящихся завладеть самым ценным активом – данными. Удаленная работа также порождает риски, связанные с доступом к ресурсам компании через незащищенные домашние и публичные сети. К тому же у мобильных устройств есть скверная привычка теряться или становиться добычей карманников.
Необходимы масштабируемые решения кибербезопасности
Мобильность рабочей силы быстро становится деловой необходимостью. И хотя это сопряжено с определенными трудностями, плюсы значительно перевешивают минусы. На сегодняшний день на каждого человека на Земле приходится по 3,5 подключенных к Интернету устройства, и эта цифра растет в геометрической прогрессии. Чтобы все это оставалось в достаточной степени защищенным, нужно использовать легко машстабируемые и централизованно управляемые защитные решения.
Сотрудники – главная мишень
Будем откровенны: далеко не все из нас ответственно относятся к безопасности мобильных устройств. Более четверти всех людей даже не блокируют экран смартфона – притом что мобильные устройства широко используются для деловой переписки, онлайн-покупок и других важных и конфиденциальных задач. Чтобы полностью осознать масштаб проблемы, просто вспомните, как часто люди теряют смартфоны или как часто у них эти гаджеты крадут. Стоимость самого устройства – ничто в сравнении с ценностью всех учетных записей и хранящихся на нем файлов, к которым посторонние могут получить доступ.
Если у людей, работающих на вас удаленно, есть регулярный доступ к вашим корпоративным системам, вам нужно установить соответствующие правила информационной безопасности. Важной отправной точкой станет жесткая политика использования личных устройств, определяющая разрешенные устройства и приложения, необходимые защитные меры и порядок обмена корпоративными данными. Например, вряд ли стоит позволять сотрудникам получать доступ к корпоративным данным с iPhone, на котором стоит модифицированная прошивка, или с древнего ноутбука, операционная система на котором давно устарела и не обновляется.
Восстановление контроля над безопасностью с помощью управления мобильными устройствами
В теории сотрудники обязаны знать политику компании назубок, но все мы, во-первых, живем в суровой реальности, а во-вторых, совершаем ошибки. Персонал, как и руководство, не хочет находиться в постоянном страхе, что один-единственный неверный шаг может поставить под угрозу данные всей компании.
Современным IT-администраторам приходится держать под контролем цифровые активы на все большем числе устройств и операционных систем. Управление мобильными устройствами (MDM) – это технология, которая обеспечивает соблюдение вашей политики использования личных устройств, контролируя находящиеся на них корпоративные приложения и данные. С помощью MDM администраторы могут следить за устройствами, используемыми для работы, управлять ими и защищать их, а также предоставлять или отзывать права доступа по необходимости. Например, при утере или краже устройства они могут провести удаленную очистку и аннулировать права доступа к любым учетным записям на нем.
Защита от потери данных для предотвращения утечек
Для многих людей хакер – это тип в капюшоне, сидящий в темноте перед монитором с мелькающими строками кода. Но это лишь стереотип. Большинство киберпреступников не слишком сведущи в хакерстве. На самом деле, 90% атак содержат элемент социальной инженерии. Они не пытаются искать технические уязвимости – они используют человеческую неосведомленность и неосмотрительность, пытаясь заставить жертв действовать в своих интересах.
Многие люди легко соглашаются передать конфиденциальную информацию по незащищенному каналу, особенно если мошенник притворится коллегой или сотрудником известной собеседнику организации. Например, нередко работники попадаются на электронные письма от людей, которые запрашивают удаленный доступ, выдавая себя за сотрудника технической поддержки известного поставщика услуг. В этом случае злоумышленник может получить доступ к сети всей компании через скомпрометированный личный ноутбук сотрудника.
Защита от потери данных (DLP, Data Loss Prevention) – это основанный на правилах метод автоматического обнаружения и предотвращения передачи определенной информации, такой как данные платежных карт или учетные данные, по неавторизованным каналам. На уровне учетной записи DLP также защищает владельцев мобильных устройств при пользовании корпоративной почтой и учетными записями в социальных сетях. Кроме того, он может защищать пользователей сервисов совместной работы, мессенджеров и любых других облачных платформ.
Облачное управление безопасностью
Руководителям компаний пора начать воспринимать информационную безопасность не как неизбежное зло, а как средство получения конкурентных преимуществ – то есть как двигатель инноваций. Потому что правильный подход к информационной безопасности позволяет организовать ту самую удаленную работу со всеми ее плюсами, а облачная система хранения данных и приложений позволяет IT-администраторам управлять всем этим хозяйством централизованно и держать его полностью под контролем.
У облака множество преимуществ. Облачное ПО всегда обновлено до последней версии, а также легко масштабируется. Облачные технологии позволяют построить программно-определяемую вычислительную среду с централизованным управлением, где для добавления нового пользователя нужно всего лишь создать учетную запись и предоставить удаленному сотруднику онлайн-доступ ко всем необходимым ресурсам.
Это не только существенно повышает информационную безопасность, но и снижает (или даже полностью исключает) необходимость для удаленно работающих сотрудников вручную обмениваться файлами через электронную почту или незащищенные файлообменники.
Будущее без привязки к месту – и без риска
Мобильность персонала не должна стать источником опасений. Мобильность не ведет к потере контроля, а просто позволяет рассредоточить рабочие ресурсы, чтобы ваша команда могла работать в оптимальных для нее условиях, с максимальной пользой для компании. Современные средства управления мобильными устройствами и защиты рабочих мест позволяют вам полностью контролировать безопасность ваших цифровых активов и их соответствие нормативным требованиям. Где бы ни находились ваши сотрудники, защитить ваши корпоративные данные можно всегда.
Безопасность инструментов для совместной работы
Облачные решения для работы с документами, хранения файлов и управления проектами могут, помимо множества удобств, принести немало проблем.
Предприятия нечасто вкладываются в дорогостоящие инструменты для совместной работы. Они предпочитают что-то дешевое, а лучше — бесплатное, благо в Интернете такого хватает. О том, насколько безопасна работа с такими инструментами, обычно никто не задумывается. А стоило бы.
Совместная работа с документами
Есть множество сервисов, позволяющих небольшим командам одновременно править документы. Речь идет не только о текстах — есть инструменты для совместной разработки графических интерфейсов, диаграмм, программного кода и многого другого. Удобно ведь: сделал документ — и отдавай коллегам для правок и дополнений.
Но прежде чем использовать такой сервис, стоит внимательно изучить, как он хранит вашу информацию, кому предоставляет доступ к ней и какие вообще настройки в нем есть. Оставлять рабочие файлы в свободном доступе — плохая идея. Даже если вы не боитесь утечки информации, в документ может залезть вандал и внести свои «правки» в ваши проекты.
Самый яркий пример — Google Docs. Часто документы, созданные в этом сервисе, оставляют доступными по ссылке — так проще. А это значит, что их, помимо прочего, может проиндексировать поисковый движок, и тогда вся информация из них, считай, общедоступна. Чего только не находили в таких документах: и персональные данные сотрудников, и списки клиентов с контактами, и даже зарплатные ведомости.
Что делать
Не пользоваться сервисами, в которых документ нельзя закрыть от посторонних, или нет четкого объяснения, как хранятся ваши данные. Настраивать права доступа в тех сервисах, которые это позволяют. То есть если уж вы используете в работе Google Docs, то нужно разрешать доступ конкретным людям — и отзывать его, если он им больше не нужен.
Облачные файлохранилища
Еще один вид сервисов, к которым следует относиться внимательно — облачные хранилища файлов. Нужно передать большой объем информации? Ерунда, закачал в облако — и делись ссылкой. Тут ситуация похожа на документы в Google Docs. Многие обменники вообще не поддерживают какую-либо защиту, а файлы потом всплывают в поиске у посторонних.
Впрочем, даже если сервис защищен, нужно пользоваться этой защитой по максимуму. Люди часто регистрируются с бессмысленным паролем, закачивают данные в облако и забывают о них. А пароли могут утечь. Даже у DropBox утекли! Что уж говорить о сервисах поменьше.
Что делать
- Выбирать надежные хранилища с поддержкой двухфакторной аутентификации.
- Не забывать данные в облаках: если файл больше не используется в работе, его лучше удалить.
- Не использовать несколько файлообменников параллельно — так вы неизбежно запутаетесь.
Среды для управления проектами
По большому счету, это универсальные платформы, где все участники рабочего процесса могут общаться, обмениваться файлами и систематизировать проекты. Если вы обсуждаете в них свои бизнес-стратегии или передаете документы, то нужно четко понимать, кто видит все это сейчас и кто может увидеть в будущем. В некоторых таких облачных платформах действует правило: все, что не открыто для конкретных пользователей, видно всем. Кроме того, если доступ выдается по неким категориям проектов, то велика вероятность, что новый подрядчик получит доступ ко всей истории работы, а это не всегда разумно.
То же касается фрилансеров, которые сегодня, может быть, и лояльны, а завтра будут выполнять ту же работу для конкурентов. Да и уволенный коллега, у которого вовремя не отозвали права доступа, может загрузить архив «на всякий случай».
Что делать.
- Четко регламентировать права доступа к проектам.
- Ограничивать их только теми файлами, которые нужны для работы.
- Разграничивать среды общения с сотрудниками и с людьми извне (подрядчиками, заказчиками).
- А главное — вовремя отбирать доступ у бывших работников.
Дополнительные советы
Не забывайте, что любые сервисы могут быть уязвимы (и об этом не всегда известно на момент начала вашей работы с ними). Кроме того, многие платформы имеют клиентские приложения, а там свои проблемы. Поэтому мы рекомендуем придерживаться следующих принципов:
- Прежде чем начать работу с сервисом, внимательно изучите его настройки и правила обработки данных, а также почитайте, что пишут о его безопасности в Интернете.
- Если у вас есть выделенный IT-специалист, то он должен четко представлять, какие сервисы вы используете, как они настроены и кто отвечает за их администрирование.
- Если такого специалиста нет, то нужно назначить ответственного за каждый сервис, чтобы он мог вовремя настоять на обновлении клиента, если в нем найдется уязвимость, призвать к смене паролей в случае утечки, а также выдать или забрать права на доступ к рабочим документам.
- Помните, что любой сервис, где можно передать ссылку или файл, в теории может сработать как канал распространения вредоноса. Поэтому каждое устройство, с которого есть доступ к этим инструментам, должно быть оснащено современным защитным ПО.
Концепция Zero Trust: не доверяй — всегда проверяй
Что такое «нулевое доверие» и чем оно привлекательно для современного нефтяного бизнеса.
Периметра больше нет
Принцип «защита периметра» предполагает тщательную проверку всего, что пытается подключиться к ресурсам компании извне, при этом внутри периметра (то есть в корпоративной сети) образуется доверенная зона, в которой пользователи, устройства и приложения обладают определенной свободой действий. С ростом количества мобильных гаджетов и облачных сервисов, которыми пользуются организации и их сотрудники, понятие периметра размылось. В рамках модели Zero Trust пользователи, устройства и приложения подлежат проверке каждый раз, когда требуют доступ к какому-либо корпоративному ресурсу.
Реализация модели Zero Trust на практике
Единого подхода к развертыванию системы безопасности, основанной на «нулевом доверии», не существует, однако, можно выделить несколько базовых принципов.
Поверхность защиты вместо поверхности атаки
В нее входит все то, что организация должна защитить от несанкционированного доступа: конфиденциальные данные, элементы инфраструктуры и так далее. Поверхность защиты значительно меньше поверхности атаки, а значит, обеспечить безопасность поверхности защиты проще, чем свести к нулю поверхность атаки.
Микросегментация
Модель Zero Trust предполагает разделение корпоративной сети и других ресурсов на небольшие узлы, которые могут состоять даже из одного-единственного устройства или приложения. На выходе получается множество микроскопических периметров со своими политиками безопасности и правами доступа. Это позволяет гибко управлять доступом и исключить бесконтрольное распространение угрозы внутри сети.
Принцип минимальных привилегий
Каждому пользователю предоставляется ровно столько прав, сколько необходимо для выполнения его задач. Соответственно, если аккаунт отдельного пользователя взломают, это может привести к компрометации части ресурсов, но не всей инфраструктуры.
Аутентификация
Доктрина «тотального недоверия» предписывает видеть потенциальную угрозу в любой попытке получить доступ к корпоративной информации, то есть для каждой конкретной сессии пользователь (устройство, приложение) должен пройти процедуру аутентификации и подтвердить свое право на доступ к тем или иным данным.
Тотальный контроль
Для эффективного внедрения модели «нулевого доверия» IT-отдел должен иметь возможность управлять всеми рабочими устройствами и приложениями, записывать и анализировать информацию обо всех событиях на конечных точках и в других элементах инфраструктуры.
Современные подходы к решению проблемы Zero Trust
Наиболее признанной архитектурой сейчас является концепция ZTNA (Zero Trust Network Access). Ее базовые элементы — это контроллер, задача которого управлять политиками доступа на уровне пользователей, устройств и приложений, а также сервисный шлюз, который накладывает политики на подключенные устройства и осуществляет контролируемый доступ к корпоративным ресурсам. В 2019 году предложен универсальный фреймворк под названием SASE (Secure Access Service Edge), основными компонентами которого являются SD-WAN, SWG, CASB, ZTNA и FWaaS. Zero Trust — основа нового фреймворка.
Доверенные промышленные данные
На крупных предприятиях работают тысячи станков, турбин, печей и прочих приборов. Каждый из них оборудован датчиками, ежесекундно контролирующими технологический процесс. Задумывались ли вы когда-нибудь, сколько данных генерируется на уровне промышленного оборудования?
Наши эксперты пришли к выводу, что на одну автоматизированную систему управления технологическим процессом среднестатистического предприятия приходится 1500 источников сигналов. У гигантов (например, компаний, управляющих сетью магистральных нефтепроводов в масштабах страны) количество источников сигналов может превышать миллион. И каждый конкретный сенсор или контроллер в среднем способен генерировать 10–15 тысяч измерений в секунду.
А знаете, какая часть этих данных реально используется? Это, конечно, зависит от критичности каждого конкретного прибора, но в среднем в систему диспетчеризации и сбора данных (SCADA) передается не более 10–15% собранной информации.
Для чего могут пригодиться данные с промышленных датчиков?
Вообще данные с промышленных датчиков передаются в SCADA-систему для контроля над технологическим процессом, обеспечения безопасности и так далее. В последние десятилетия ими также интересуются системы планирования ресурсов предприятия (ERP) и прочие механизмы анализа данных. Но они берут эти данные не с датчиков, а, как правило, из SCADA-системы. Представляете, насколько может увеличиться эффективность этих систем, если она получит доступ к полному объему данных?
НПО «Адаптивные промышленные технологии» (АПРОТЕХ) разрабатывает на базе KasperskyOS, безопасной операционной системе шлюз для промышленного Интернета вещей. В процессе внедрения первого устройства эксперты АПРОТЕХа нашли очень хорошего партнера для его применения – изначально разговор, разумеется, традиционно шел с безопасниками, однако внезапно вмешались инженеры - оказалось, что у них к устройству свой интерес.
Для чего мы разрабатывали это устройство?
Изначально – для сбора подробной информации с датчиков промышленного Интернета вещей и передачи ее по доверенному каналу для дальнейшей обработки. Архитектура этого устройства минимизирует риски того, что «сырые» промышленные данные будут подменены, а в системе той самой «дальнейшей обработки» кто-то сможет «проковырять дырочку» и установить контроль над промышленным оборудованием.
Инженеров заинтересовала сама возможность получения таких данных в режиме реального времени – допустим, определять, из-за каких факторов при абсолютно равных условиях происходит изменение производственных показателей.
Для пилотного внедрения инженеры отобрали ряд важных параметров, которые хотели бы контролировать, и специалисты АПРОТЕХа настроили шлюз на базе KasperskyOS таким образом, чтобы он собирал телеметрию с оборудования и передавал на платформу Siemens MindSphere.
Дальнейшее развитие идеи
Однако обработка сырых промышленных данных в интересах инженерных служб — это только начало. В процессе внедрения возможностью передачи этих данных по доверенному каналу и их обработки заинтересовалась и бизнес-аналитики. Они могут использовать их, например, для расчетов маржинальной доходности в пересчете на единицу оборудования или производственного участка. По большому счету, в ближайшем будущем возможность сбора полного объема сырых промышленных данных вскоре может изменить то, как строятся не только инженерные, но и бизнес-прогнозы и модели.