Статья

Сайт и смартфон стали основными «дырами» в безопасности

Экспертиза RedSys
, Текст: Полина Осокина

Сегодня к основным «дырам» в информационной безопасности любого бизнеса можно отнести веб-сайт компании и мобильные устройства сотрудников, которые придерживаются концепции BYOD. Какими методами можно «закрывать» эти лазейки? Как бороться — и с хакерами, и со своими беспечными коллегами? Как уберечь конфиденциальную информацию?

Дальше — больше

За последние несколько лет тема хакерства не потеряла своей актуальности. Утечки персональных данных и информации, критичной для бизнеса, взломы баз данных компаний, госструктур и даже частной переписки все чаще выходят на первый план в новостном потоке. Чтобы убедиться в этом, достаточно вспомнить наиболее яркие инциденты.

Март 2017 г. – аналитики MacKeeper обнаружили секретные документы военно-воздушных сил (ВВС) США, лежащие в общем доступе: накопитель с резервными копиями этой документации был доступен через Сеть. В этой базе данных имелись сведения о более чем 4000 военнослужащих и членах их семей, списки лиц с допуском к секретной информации и пр.

Начало 2017 г. – украдены и выложены в интернет сведения о 33 млн сотрудников крупнейших корпораций США. Ориентировочная стоимость такой базы данных может составлять около $13,7 млн.

Не становится менее актуальным и тема расследования взлома серверов Yahoo!. Напомним: данная утечка считается наиболее крупной за все историю существования интернета, она затронула более 1 млрд пользователей, информация о которых была украдена злоумышленниками. Сегодня в этом преступлении обвиняют троих граждан России и одного казахстанца. Как-то вяло на этом фоне выглядит Россия. К примеру, в мае 2016 г. произошла утечка персональных данных из базы ГИБДД. Сведения были выложены на сайт autonum.info, где любой желающий мог по номеру автомобиля найти данные о его владельце включая номер телефона.

Лето 2016 г. – с поддоменов Mail.ru двумя неизвестными хакерами были похищены данные 25 млн аккаунтов. В основном информация касалась пользователей онлайн-игр, производимых и распространяемых компанией, в том числе и ММОРПГ.

В поле зрения бизнес

Страдает от рук злоумышленников, конечно, и бизнес. У большинства компаний сейчас есть веб-порталы различного уровня сложности, и хакеру совершенно не важно, насколько этот канал критичен для бизнеса. Причиной взлома зачастую становится недостаточная защищенность самих сайтов, как это произошло, к примеру, в 2014 г. с веб-сервером «Почты России».

По данным Searchinform, на сегодня 34% компаний вовсе не защищают свою конфиденциальную информацию

По данным Searchinform, на сегодня 34% компаний вовсе не защищают свою конфиденциальную информацию. Так или иначе, перечислять и вспоминать прецеденты можно достаточно долго. Остается вопрос: зачем хакерам нужна вся эта активность? Каков примерный портрет такого злоумышленника?

По словам Сергея Осипова, старшего консультанта отдела продвижения и поддержки продаж центра информационной безопасности компании RedSys, «это может быть вчерашний школьник, прочитавший статью в журнале «Хакер»; студент, который решил опробовать вещи, услышанные на каком-либо специфическом вебинаре, либо злоумышленники с черного рынка, которые за определенную плату совершают взлом сайтов». Однако «совершенно не обязательно, что у хакеров есть определенные коммерческие выгоды, — продолжает эксперт. — Никто не застрахован, ни один сайт. Могут быть любые внешние или внутренние причины атаки. С точки зрения законодательства, если говорить о защите персональных данных, то ситуация сейчас улучшается. Но, учитывая, что, информационная безопасность с физической имеет мало общего, а законодательство в этой области пока строится по аналогии с Уголовным кодексом, то ситуация по-прежнему достаточно напряженная. Личность хакера и его специфические атрибуты, как правило, крайне сложно выяснить. Есть, конечно, специальные органы, работающие по запросу крупных компаний, в целом по стране можно говорить, что обычный бизнесмен скорее незащищен, чем защищен».

Щит для сайта

Одним из инструментов, которые могут способствовать росту уровня информационной безопасности именно на уровне сайта компании, является программно-аппаратный комплекс класса Web Application Firewall (WAF). По сути, это решение нового поколения для защиты приложений, сканирующее код приложений для выявления уязвимостей и затем применяющее метод виртуального патчинга для их отсечения.

Рассказывает Андрей Тархов, директор департамента защиты информационных систем RedSys: «Мы рассматриваем безопасность не только как соответствие нормативным требованиям, но как защиту бизнес-процессов компании. Если мы рассматриваем корпоративный сайт, то это не просто имиджевый инструмент и средство коммуникации, но в значительной степени инструмент продаж, а в ряде случаев и основной их канал. А значит, обеспечение его стабильной и корректной работы — задача не просто защиты данных, а защиты бизнеса. Поэтому все чаще мы сталкиваемся с ситуациями, когда задачи внедрения WAF формулируются не только со стороны ИБ-подразделений, но и бизнеса».

«Мы подходим к проблеме безопасности академически: самое главное тут – это осуществление доступа к конфиденциальным данным и бизнес-приложениям. То есть мы уходим от безопасности данных к безопасности бизнес-процессов. Поскольку веб-сайт – это критически важный бизнес-процесс для заказчика, его надо защищать. И защищается он именно WAF».

Эксперты поделились историей одного проекта, в котором интернет-портал был основным каналом продаж через широкую дилерскую сеть. Проблема заключалась в «падении» инфраструктурных элементов, которые находились «глубоко внутри». Анализ показал, что некоторые партнеры, чтобы видеть информацию о новых лидах, постоянно обновляли страницу своего личного кабинета. В результате, образовывалась своего рода огромная пирамида обращений высоконагруженным элементам инфраструктуры. Внедрение WAF позволило проанализировать запросы и по определенным правилам блокировать повторяющиеся. При этом надо отметить, что WAF не является коробочным решением, а значит, внедрение этого решения требует анализа работы портала и тюнинга с учетом его логики работы. Но самое важное то, что этот класс решений дает не просто обеспечение безопасности ради безопасности, а обеспечивает безопасность бизнеса.

Русские идут

Среди российских вендоров сегодня есть сильные компании, предлагающие данный тип решений. Об этом говорит и Андрей Тархов: «На волне импортозамещения был дан очень серьезный толчок тем компаниям, которые разрабатывают решения в сфере ИБ, начать смотреть в те направления, о которых они раньше, может быть, не задумывались. Сегодня происходит сегментация рынка. Если рассматривать госсектор – тяжелый, классический, в котором мы имеем очень большой опыт – то здесь мы, скорее всего, пойдем по пути импортозамещения и остановимся на отечественном производителе, к тому же, это продукты качественные. Мы можем здесь совместить два момента: и пойти по пути импортозамещения, и предложить заказчику качественный продукт».

Защита себя от своих

Еще одной «дырой» в безопасности, с которой наравне с веб-порталом сталкивается руководитель любой более или менее крупной компании, является реализация концепции BYOD — то есть, тотальное использование в работе собственных мобильных устройств сотрудников: смартфонов, ноутбуков, планшетов и так далее.

Выгода использования персоналом мобильных устройств для работы очевидна: сотрудник осуществляет доступ к своему рабочему месту, к своей почте откуда угодно – он не ограничен офисом. Но что будет, если конфиденциальная информация компании станет достоянием третьего лица? Телефон можно забыть где угодно, он может быть украден, в том числе целенаправленно для получения доступа к корпоративным данным. Риск потери устройства – первый по частоте среди возможных угроз. Вторым идет запуск на устройстве вредоноса, вследствие чего происходит утечка данных.

Так как мобильное устройство пользователя становится фактически полноценным рабочим местом, мало чем отличающимся от корпоративного, значит, оно должно подчиняться корпоративным же правилам безопасности: защита паролем определенной сложности, наличие антивирусного ПО, «зачистка» данных в критических ситуациях и прочее, прочее, прочее.

Контролировать вручную все мобильные устройства сотрудников, следить за тем, чтобы они соответствовали корпоративным политикам безопасности проблематично. Именно для централизованного решения этих задач нужны продукты класса Mobile Device Management (MDM). Это позволяет определить PIN-код, требовать его периодическую смену, контролировать обеспечивать защищенный доступ к корпоративным данным и защитить их утечку как с помощью зловреда, так и в случае потери/кражи мобильного устройства: конфиденциальные данные, находящиеся в защищенном контейнере на устройстве, в случае необходимости удаленно уничтожаются. Таким образом существенно сокращаются затраты на обслуживание удаленной мобильной инфраструктуры, а информация остается защищенной. Сейчас на базе MDM-решений компания может безопасно предоставлять доступ ко всем рабочим приложениям, а не только к почте. Бывает, что пользователи возражают против такого «вторжения в личную жизнь», но это приводит только к усложнению их же бизнес-процессов. «В 97% случаев информационная — и вообще любая безопасность – это ограничение с точки зрения пользователя, запрет на что-то, который налагается с благими целями», — резюмирует Сергей Осипов.

Видео