Автор: Александр Хонин, директор центра консалтинга Angara Security
Увеличение числа атак на ИТ-компании во многом связан с попытками хакеров получить доступ к другим организациям через взлом сервис-провайдера и создать плацдарм для последующих атак через доверительные отношения. Это позволяет значительно снизить расходы на вредоносные кампании и повысить прибыль от атак. Взлом через доверительные отношения обогнал фишинг как метод получения первичного доступа.
Отправными точками для первичного проникновения являются также сервисы с устаревшими и уязвимыми версиями ПО (найдены у 67% пострадавших компаний), в 63% случаях выявлены критически важные веб-ресурсы с небезопасным соединением, а также с веб-сервисами, предназначенными для внутреннего использования, компрометация которых позволяла получить доступ к внутренней корпоративной сети. Упоминания компании на форумах в даркнете и в закрытых Telegram-группах обнаружены в 52% случаев, хакеров особенно интересует инсайдерская информация: для быстрого проникновения они предпочитают использовать скомпрометированные данные сотрудников.
Особую опасность для организаций представляет использование корпоративных учетных данных для регистрации на сторонних и часто менее защищенных ресурсах. Корпоративную почту чаще всего указывают при регистрации в программах лояльности ретейлеров (45%), в сервисах финансовых услуг (29%) и образовательных сервисах (13%). У 67% пострадавших компаний были случаи компрометации корпоративных учетных записей, в 4% из них использовалась связка логин/пароль – многие сотрудники используют одни и те же пары логин/пароль на разных ресурсах.
По данным Angara MTDR, злоумышленники использовали скомпрометированные учетные записи в 33% случаев для авторизации на корпоративных сервисах и легального входа в инфраструктуру организации. Пароли в большинстве случаев были подобраны в сервисах и протоколах удаленного доступа, а также с помощью вредоносного ПО (стилеров).
Для хакеров нет неинтересных компаний: возможно, вы просто не знаете о взломе или еще не попали в поле зрения злоумышленников. Что должен делать руководитель, чтобы его бизнес не пострадал от кибератаки? Конечно, можно заняться самообразованием или повысить квалификацию на курсах, получив базовые знания и навыки в вопросах ИБ, чтобы самостоятельно решать вопросы киберзащиты компании. Можно возложить эти полномочия на заместителя с профильным ИБ образованием, как того требует закон для компаний с участием государства, или переложить всю ответственность на подрядчика.
Для эффективной защиты от кибератак и утечек конфиденциальных данных руководству компании необходимо привлечь к работе профильных специалистов, для которых вопросы ИБ являются основной занятостью, а не совмещением обязанностей в рамках ИТ или иного подразделения. С учетом кадрового дефицита и порой ограниченных возможностей самой организации, бывает выгоднее купить базовые услуги по ИБ как сервис (MSSP). Или пригласить внешнюю компанию, если позволяет бюджет, но не штатное расписание.
Первым шагом на пути создания стратегии киберзащиты организации должен стать аудит ИБ для правильного построения модели угроз и определения дальнейших действий по предупреждению и защите от кибератак. Аудит позволит ответить на многочисленные вопросы руководителя: как и что защищать, какими силами и сколько средств и времени уйдет на то, чтобы компания была минимально устойчива к кибератакам.
Аудит ИБ – независимая сторонняя оценка текущего состояния защищенности информационных ресурсов конкретной компании, в ходе которой определяются недостатки системы и приоритетные направления ее развития. В классической форме аудит ИБ может включать четыре блока:
При этом аудит может быть как комплексным, когда выполняются все вышеперечисленные работы, так и может содержать отдельные компоненты. Например, может проводиться только пентест. Все зависит от поставленных целей и задач, которые стоят перед компанией.
Отдельно стоит коснуться темы защиты ПДн. С 30 мая 2025 г. вступили в силу ужесточенные требования к обработке персональных данных. Штрафы за нарушения значительно увеличены, требования Роскомнадзора стали строже. Любая организация, которая собирает данные сотрудников, клиентов или контрагентов, обязана соблюдать закон и привести процессы обработки и защиты ПДн в соответствие установленным требованиям. Поэтому в данном случае возникает необходимость проведения аудита процессов обработки и защиты ПДн на соответствие требованиям законодательства РФ, а также иных нормативно-правовых актов РФ в области ПДн. По результатам такого аудита руководитель получает следующие основные результаты:
На основе полученных данных уже можно выстраивать полноценную систему защиты ПДн, а также в целом планировать мероприятия по совершенствованию ИБ.
Как руководитель может оценить результаты проведенных работ, если компания выполнила все рекомендации экспертов по устранению выявленных в ходе аудитов ИБ и ПДн недостатков и реализовала перечень мероприятий по повышению уровня безопасности? На помощь приходит тестирование на проникновение и анализ защищенности.
В ходе пентеста внешний подрядчик или сотрудники компании, имеющие для этого достаточные квалификацию и опыт, имитируют действия злоумышленников и пытаются проникнуть в ИТ-периметр организации или реализовать бизнес-риски. В зависимости от техзадания белые хакеры используют различные методы тестирования и модели поведения, выполняют внешнее и внутреннее проникновение в инфраструктуру, проводят анализ защищенности беспроводных сетей и периферийного оборудования, возможно социотехническое тестирование сотрудников компании на восприимчивость к фишинговым атакам через телефонные звонки, мессенджеры, почтовые сервисы и другие каналы коммуникации. Результатом пентеста становится выявление векторов атак и последующее закрытие обнаруженных уязвимостей.
Анализ защищенности направлен на поиск всех возможных уязвимостей, доступных злоумышленникам с различными уровнями привилегий. Чаще всего анализ защищенности применяется к веб-приложениям и проводится с помощью специальных инструментов.
Для того чтобы ответить на этот вопрос, необходимо использовать поэтапный подход и на первом шаге провести аудит ИБ, о чем было сказано выше.
Без четкого понимания имеющихся рисков и угроз невозможно построить эффективную архитектуру безопасности компании, определить время и затраты, как финансовые, так и кадровые.
Базовые меры по ИБ компания любого уровня и дохода может реализовать собственными силами:
В нынешней реальности невозможно говорить о долгосрочных стратегиях кибербезопасности или покупке систем защиты раз и навсегда. Необходимо оперативно решать вопросы киберустойчивости и киберзащиты компании имеющимися средствами и ресурсами. Поэтому изначально важно правильно заложить основы кибербезопасности, рассмотреть разные сценарии развития, включая системы мониторинга, предупреждения и реагирования на инциденты, отслеживать тенденции не только на рынке ИБ, но и со стороны хакеров. Такой комплексный подход к защите компании поможет предупредить и защитить ее от кибератак. И от возможных штрафов регуляторов, если принятые меры по защите и вложенные средства не спасут от новых методов хакерских атак.