В сучасному Світі більшість населення з важкістю може уявити своє життя без смартфонів і ПК. Розвиток інтернет простору постійно набирає оберту, а разом із ним, в одному темпі, збільшується кількість ІТ загроз. Компанії, підприємства, а особливо корпорації – переходять на повну автоматизацію в організації праці. Та не кожен замислюється над тим, що, на вигляд, звичайний лист, з електронної пошти офісного планктону, здатний, зупинити роботу всієї локальної мережі компанії. Про те, що ж робити за для уникнення загроз і як організувати безпечну роботу в інтернет просторі з раціональними витратами на запобіжні заходи, замість повного відновлення системи, розповів директор та співзасновник «Berezha Security», а також співзасновник та Голова Ради громадської організації “Українська група інформаційної безпеки” Костянтин Корсун.
Для організації прийнятного рівня кібербезпеки у сфері корпорацій та підприємств, очевидно, є потреба проводити ряд заходів, для уникнення проникань шкідливих софтів в локальну мережу, якими вони мають бути?
У кожній корпорації, як у великій, так і маленький, повинна бути людина, яка відповідає за інформаційну безпеку. Це може бути окрема особа, чи можуть бути делеговані певні повноваження вже існуючому працівнику. Зазвичай, все покладають на системного адміністратора мережі, який питаннями безпеки опікується в останню чергу, тому що головна вимога бізнесу – «щоб все працювало», а безпека відходить на задній план, тим паче, якщо вона потребує додаткового фінансування. Тому, бажано, щоб на підприємстві була людина, яка відповідає, суто, за інформаційну безпеку. В разі, коли мережі великі, цим питанням може займатися спеціальній підрозділ, але, нажаль, в нашій країні, кількість компаній, в яких працює 5, або більше спеціалістів по кібербезпеці, можна перерахувати на пальцях однієї руки. Зазвичай, на великих підприємствах – це від 1 до 3 працівників, у великих холдингах – максимум п’ять. Працівник, який несе за це відповідальність, має бути професіоналом, котрий : наділений відповідним досвідом, володіє знаннями і вміннями, які дадуть змогу все правильно організувати, який має спроможність оцінювати головні загрози, співпрацювати і з фізичною безпекою, і з ІТ-департаментом, формує чітке розуміння того, як , перш за все, необхідно захищатись від певного типу загроз і атак, спроможний оцінювати рівень критичності кібератаки та розраховувати ступінь можливих втрат (партнерів, фінансів, тощо), щоб аргументувати свою позицію перед керівництвом бізнесу.
Можливо, для захисту від небезпечних джерел спаму, ефективно застосовувати методи довготривалих часткових фізичних розривів поштових серверів с локальними мережами, а надходження пошти здійснюватися під додатковим контролем сисадміна, аналізуючи ІР адреси відправників?
Спамери постійно знаходять оновлені методи обходження систем захисту. Анти-спам системами, я достатньо глибоко не цікавився, та знаю, що існує їх не мало, вони за тими, чи іншими критеріями, відносять повідомлень до категорії «спам», інколи така система працює у зворотному напрямку, в результаті чого, легітимні меседжі теж потрапляють у папку спаму. В мене на прикладі є компанія, в якій система анти-спаму налаштована параноїдально, коли їм надходить лист від нового користувача, то до працівника компанії таке послання не доходить взагалі, що може понести за собою наслідки, якщо там була інформація необхідна для роботи. Тобто, в цьому теж має існувати певний баланс. Існує багато анти-спам рішень, але, нажаль, всі вони мають свої певні вади. Якщо компанія орієнтовна на спілкування з широким колом користувачів, то є необхідність в пом’якшенні системи захисту, але все це залежить від профілю і потреб компанії, виходячи з того який напрямок спілкування. Загалом, всі компанії контактують достатньо багато — це і з контрагентами, і с постачальниками, клієнтами, і певний public relations, та інше. Однозначного рішення я не можу назвати, бо це дуже індивідуально. Конкретного розуміння проблеми спаму не існує. Це сукупність проблем, де чітку межу провести дуже складно, тому всі вирішують на власний розсуд. Тим паче, чітких перспектив у перемозі над спамом не існує, тому саме він є основним у секторі атак соціальної інженерії. Відносно фізичного розриву, то цей процес має назву «сегментація мережі», що являється одним з найважливіших і перших кроків у забезпеченні безпеки. В випадку с «Petya» (а також іншими загрозами) — він був ефективний не тільки тому що використовував легітимні оновлення, а й із-за того, що використовував цілком легітимні механізми розповсюдження вже в середні мережі. Якщо б мережі були сегментовані, то наслідки атаки були б менш значущі. Необхідності доступу до всієї мережі для кожного працівника однієї компанії – немає, існують підприємства де користувачі не мають доступу до адмінських прав і це добре. Має існувати внутрішня модель безпеки і стратегічно-тактичні бачення та рішення в середині компанії, які засновані на принципах безпеки, тобто надавати доступ працівникам лише до того, що їм дійсно необхідно.
По яким першим ознакам можна виявити спроби здійснення DDoS-атаки на сайт організації, які застосовувати заходи для захисту і які повинні бути перші дії, якщо атака вже досягнула своєї цілі?
Єдина мета DDoS-атаки – щоб сервер не відповідав на запити, тобто сайт «лягає». Якщо сайт підприємства не доступний — то це вже привід замислитися і виявляти причину. Як показує досвід, у більшості випадків, це пов’язано не з злочинними діями, а з налаштування мережі самого підприємства, коли адмін щось не вдало налаштував, то при підвищеній зацікавленості до певного ресурсу він спричиняє його переповнення запитами і, в результаті перенавантаження, сервер «лягає». Перш за все, коли є підозра на DDоS-атаку, необхідно звернути увагу на власні налаштування та їх відповідність політиці безпеки. Як боротися з такими атаками? Це у кожного по різному, залежно від кваліфікації. Якщо подібні ситуації не передбаченні і компанія не має ні планів, ні стратегій дій в подібних ситуаціях пов’язаних з кібератаками – вимикають сервери, або від доступу до інтернету відокремлюють. Вже потім, вони звертаються до спеціалістів і дивляться що саме відбулося та намагаються визначити причину. Коли спеціаліст оголошує висновки і на такий випадок план дій був передбачений (щось, на шталт, плану дій у разі пожежі, коли кожен працівник був ознайомлений і підтвердив це підписом), то, зазвичай, існує Anti-DDoS рішення. Компанія зв’язується зі своїм постачальником, який переключає трафік на себе, розвантажує цільовий сервер і включає в роботу існуючу для цього базу серверів. Така послуга може підключатися як автоматично та і в ручну, залежно від домовленості між компанією та постачальником, а також враховуючи варіації ціни на послугу, бо існують такі, як бюджетні рішення, або більш активні, які автоматично фіксують перевищення трафіку і автоматично переводять на інші сервери (домени, канали та ін.). До таких атак необхідно готуватися, бо, потенційно, жертвою може стати кожен, хто має якісь публічні ресурси. Завжди необхідно зважувати на скільки для вас це критично і скільки в результаті компанія понесе збитків.
Доведено, що неодноразово причинами атак, було підключення мобільних гаджетів і особистих комп’ютерів до Wi-Fi мережі підприємства, можливо, варто більш жорстко контролювати використання приватних гаджетів для підключення до Wi-Fi організацій?
Ця проблема існує давно, вже кілька років. Тема яка стала в свій час відома і популярна BYOD (Bring Your Own Device), що в перекладі означає «принеси свій власний девайс». Практично всі міжнародні вендори мають свої власні рішення з цього приводу і вітчизняні компанії або використовують, або адаптують вже міжнародні методи що до потреб Українського бізнесу ( бо ціни не ті, і обсяги інші). Але існують певні солюшени (від англ. «solution» — рішення), напрацювання, які направлені на вирішення питання: яким чином користувач локальної мережі може безпечно використовувати власний девайс, яким користується як для особистих, так і для корпоративних цілей. Ця проблема не нова, тому, маючи бажання її вирішувати, вона успішно може бути виправлена. Головне питання полягає в тому, чи готові компанії, вони ж потенційні жертви, витрачати на це кошти, на скільки для них це актуально ( а це, практично, актуально для всіх, коли, в середньому, на одну людину у використанні припадає 2 девайси). Тому метод по використанню пристрів, як і у власних цілях, так сумісно і у корпоративних мережах дуже зручний, бо вразі необхідності ви завжди зможете скинути прайс (або ще щось). Проблема не нова, не складна, але, як і на кожен захід по кібербезпеці – необхідно витрачатися.
Наскільки небезпечно підключення переносних модемів до комп’ютерів, які являються частиною локальної мережі компанії?
Дуже небезпечно! Все що порушує правила безпеки компанії — автоматично стає небезпечним. Якщо у компанії є: уявлення, план, модель загроз, розуміння ризиків, правили безпеки для співробітників, мережевих адміністраторів (для керівництво в тому числі) , то не має бути виключень по кибербезпеці. Хоча, насправді, це дуже рідко трапляється, бо, достатньо часто, керівництво, не дивлячись на заборону, просить надавати доступ до ненадійних ресурсів за власними потребами. Політика безпеки для того і створюється, щоб вона враховувала усі можливі ризики та канали витоку, а також імовірні вектори атаки. Коли в політику безпеки йде якесь несанкціоноване втручання, то воно повинна бути, принаймні, під контролем людини, яка відповідає за безпеку (хоча б поінформована). Наприклад, якщо все працює, а керівництво компанії звертається з проханням надати доступ до якогось забороненого сайту (який заборонений і є не легітимним, з точки зору законодавства), відбувається виклик безпечника, який знаходить метод обходу заборони (прокладає тунель VPN). Але це буде санкціоновано, про це буде відомо, тому, в разі загрози, дасть змогу використати запобіжні заходи. Також можливий варіант відкриття VPN доступу обмеженого у часі. Так от флеш-модеми – це серйозне порушення. Таким шляхом для публічного доступу відкривається величезна кількість документів, які точно не призначенні для розповсюдження. Останнім часом, саме через такі несанкціоновані підключення користувачів до корпоративної локальної мережі, сталося безліч витоків конфіденційної інформації.
Чи варто, на вашу думку, проводити тренінги по кібербезпеці для працівників компаній, які не являються it-спеціалістами?
Однозначно так, без всякого сумніву! В нашій компанії ми теж проводим такі тренінги і ефект просто вражаючий. У нас був клієнт для якого ми проводили цілий ряд робіт починаючи від аудиту, закінчуючи тренінгом. Спочатку перевірили як все працює, було виявлено достатньо багато проблем, та після того як всі негативні моменти було усунено – ми перевірили по соціальним каналам, методом написання листів працівникам і вони піддавались на цю провокацію, що надало нам змогу отримати доступ до конфіденційних даних замовника, що могло стати критичним для компанії. Після цього ми провели тренінг для всіх працівників по цьому напрямку, зібравши всіх (це близько 50 осіб) розказали як готуються фейкові листи, яка тема підбирається, що запитується. Донесли інформацію про те, як «взламали» їх по соціальному каналу. Це був 8-ми годинний тренінг, після якого люди виходили з таким виразом обличчя, ніби їх життя розділилося на «до» і «після». Ми повторно, через 4 місяці, за проханням клієнта, провели схожу атаку – не повівся ніхто, крім одної дівчини. Але зрозумівши, що вона натиснула «щось не те» — прийшла і повідомила про це керівництво. Кожна людина яка має потенційні ризики, повинна знати що треба робити і чого не треба робити. Наша компанія пропонує одноденний тренінг. Зазвичай це субота, щоб не забирати багато робочого часу. Чотирьох годин не достатньо, але за цей час можна донести достатньо корисної інформації. Ще один важливий момент в цьому- налагодження інтерактивного контакту зі слухачем. Щоб людина все зрозуміла на прикладах.
Багато компаній сприймають кібербезпеку, вже після того, як їх це зачепить, а до того постійно відкладають. Фактично, безпекою займаються ті компанії, які після атак 2017 року не мали змогу працювати тиждень і більше. Точна статистика відносно того, скільки ж компаній в Україні захищено – не існує і навряд чи буде. Бо в нашій країні взагалі немає статистики по кібербезпеці порівняно с країнами, наприклад Західної Європи.