cybersecurity

Управління вразливостями як невід’ємна складова забезпечення кібербезпеки

Виявленням та розробкою стандартів, інструментів та рішень у галузі інформаційної безпеки займається Center for Internet Security (CIS). Безперервний процес управління вразливістю входить до списку рекомендацій CIS і є невід’ємною частиною кібербезпеки та безпеки мережі. Обов’язок організацій – регулярно збирати, оцінювати інформацію щодо вразливостей та оперативно вживати заходів щодо виправлення чи мінімізації «можливостей» для злочинної діяльності зловмисників. Це пояснюється стрімким зростанням кіберзлочинності, що змушує організації приділяти більше уваги інформаційній безпеці. Управління вразливістю має бути частиною загальної стратегії управління інформаційними ризиками.

Вразливість – це певний недолік інформаційної системи організації, що може бути використаний кіберзлочинцем для отримання доступу та здійснення несанкціонованих дій (запуск кодів, отримання доступу до системної пам’яті, встановлення шкідливого ПЗ, крадіжка, повне знищення або зміна корпоративних даних компанії).

Найбільш небезпечним для безпеки системи є комп’ютерні хробаки. Вони є шкідливим програмним забезпеченням, яке самореплікується, заражає інші комп’ютери і залишається активним у заражених системах. Для поширення такого програмного забезпечення часто використовуються вразливості в мережевих протоколах, операційних системах та бекдорах.

Управління вразливістю – це процес виявлення, оцінки, розставлення пріоритетів, виправлення (повне усунення та запобігання потенційним атакам або мінімізація наслідків та масштабу атак) та складання звітів про вразливості безпеки у веб-додатках, мобільних пристроях та програмному забезпеченні. В результаті організації мають можливість отримувати актуальні дані щодо стану IT-середовища, наявності вразливостей та пов’язаних з ними ризиків. Вразливості не повинні бути проігнорованими. Зменшити ризик проведення кібератаки можна лише шляхом виявлення та усунення кожної вразливості.

Процес управління вразливістю – це циклічний процес виявлення, класифікації, виправлення та пом’якшення вразливостей безпеки. Виявлення вразливостей, їх оцінка та звітність є важливими елементами програми.

Виявлення вразливостей здійснюється за допомогою сканера – програмне забезпечення, яке перевіряє комп’ютери, мережі та програми на наявність відомих вразливостей. У процесі сканування виявляються вразливості, які виникли внаслідок неправильної конфігурації та помилкового програмування в мережі, виконується сканування з автентифікацією або без автентифікації.

Суть сканування з автентифікацією полягає в забезпеченні доступу до низькорівневих даних (певні служби, деталі конфігурації, точна інформація про операційні системи, програмне забезпечення, проблеми з конфігурацією, контроль доступу, елементи керування безпекою та управління виправленнями. При скануванні без перевірки справжності не надається доступ до мережевих ресурсів. Це може призвести до отримання недостовірної інформації про операційні системи та встановлене ПЗ.

Сканери можуть припускатися помилок та пропускати вразливості, слід також використовувати тестування на проникнення (автоматизоване тестування за допомогою ПЗ або механічне тестування інформаційних технологій для пошуку вразливостей). Процес тестування передбачає збирання інформації, визначення можливих векторів атак, здійснення спроб їх використання та формування висновків. Також тестування можна використовувати для перевірки локальних засобів управління безпекою, дотримання політики безпеки, сприйнятливості співробітників до атак соціальної інженерії, стратегії реагування на інциденти.

Процес оцінки вразливостей складається з 5 етапів:

виявлення вразливостей (аналіз сканування мережі, результатів пентестів, журналів брандмауера тощо);
перевірка вразливостей (визначення можливостей використання вразливості, її серйозність визначення рівня ризику безпеки);
пріоритизація вразливостей (оцінка вразливостей, визначення порядку усунення вразливостей);
планування усунення вразливостей (визначення плану та заходів дій щодо усунення вразливостей, визначення їх ефективності);
усунення вразливостей (видалення та виправлення вразливостей для запобігання можливому використанню кіберзлочинцями).

Етап усунення вразливостей передбачає кілька можливих варіантів:

виправлення – повне усунення вразливості без можливості її використання;
пом’якшення наслідків – мінімізація ймовірності чи наслідків використання вразливості;
прийняття – відсутність будь-яких дій через незначну небезпеку вразливості або значне перевищення вартості усунення над витратами у разі її експлуатації.

Що таке вразливості інформаційної безпеки та як їх усунути?

База даних вразливостей інформаційної безпеки значно збільшилася за останні роки. Це, зі свого боку, створює величезний потенціал для зловмисників і хакерів. Будь-яка вразливість може стати способом реалізації успішної кібератаки. Однак, багато компаній не приділяють належної уваги вразливостям і не мають чіткої стратегії для їх ефективного усунення. Часто компанії використовують усі свої ресурси не в тих місцях, що не лише не вирішує проблеми, а й уповільнює роботу всіх систем.

Вразливість – це слабке місце в інформаційній екосистемі компанії, яке може бути використане для атаки на її кіберпростір, IT-інфраструктуру, програмні додатки, цифрові активи тощо. Також уразливості є «відмінним» інструментом кіберзлочинця для отримання несанкціонованого доступу до системи, компрометації та крадіжки даних. Успішне використання вразливостей надає можливість кіберзлочинцю встановити шкідливі ПЗ, запустити шкідливі коди, завдяки чому отримувати доступ до облікових записів користувачів та здійснювати крадіжку даних. Існує безліч варіантів використання вразливостей: SQL-ін’єкція, міжсайтовий скриптинг (XSS), атаки за допомогою веб-шелів (код, за допомогою якого можна керувати пошкодженим пристроєм) та експлойтів (вид шкідливої програми) з відкритим вихідним кодом.

Існує кілька категорій вразливостей:

апаратні
вразливості ПЗ
мережеві
вразливість персоналу
вразливість сайту

Усунення вразливостей – це процес пошуку, усунення та нейтралізації вразливостей безпеки в IT-середовищі компанії (комп’ютери, цифрові активи, мережі, веб-додатки, мобільні пристрої тощо). Процес усунення вразливостей складається з кількох етапів.

Усунення є ключовим етапом у процесі управління вразливостями та має вирішальне значення для захисту мереж, запобігання втраті даних та забезпечення безперервності бізнесу. На цьому етапі відбувається процес нейтралізації та/або усунення активних вразливостей чи загроз безпеки. Процедура усунення сприяє зниженню ймовірності втрати даних, витоку даних, DDoS-атак, шкідливих програм та фішингу. Процес виправлення – це співпраця команд з розробки, управління ризиками та безпеки для визначення економічно ефективного способу усунення вразливостей.

Усунення вразливостей здійснюється за допомогою інноваційних методів обробки даних, аналітики загроз та автоматизованих алгоритмів прогнозування. Такі методи допомагають визначити вразливості та встановити пріоритетність для кожної з них.

Процес виправлення включає:

пошук та/або ідентифікація вразливостей – пошук помилок у коді та конфігурації програмного забезпечення, такі як некоректні процеси автентифікації та елементи керування безпекою. Перевірки щодо нових вразливостей мають бути регулярними. Пошук вразливостей відбувається за допомогою сканування та тестування додатків, системи та мережі;
пріоритизація вразливостей за рівнем ризику (від високого до низького) – виявлення та розставлення пріоритету кожної вразливості за критеріями: ризики, масштаб та складність усунення вразливості;
пряма нейтралізація вразливостей для мінімального або відсутнього ризику для системи – усунення слабких місць за допомогою виправлення помилки, оновлення, удосконалення, видалення неактивних компонентів;
регулярний моніторинг систем, пристроїв та мереж – забезпечення безперервного моніторингу мережі в режимі реального часу та сканування на наявність потенційних вразливостей для оперативного реагування на них.

Поліпшити процес усунення вразливостей можна за допомогою:

впровадження рішення щодо управління вразливостями
впровадження KPI: загальний прогрес (% усунених вразливостей); ефективність (показник успішності усунення вразливостей із високим ризиком); швидкість (як швидко усуваються вразливості); продуктивність (час, що йде на виправлення вразливостей/приблизний показник чистого прибутку чи збитку);
використання інструментів для створення звітів щодо вразливостей.

Витік даних із хмари

Практично кожна дія у світі має електронний слід. Технологічний розвиток надає більше можливостей та зручності у повсякденній активності бізнесу та звичайної людини. Все частіше використовується хмара для зберігання конфіденційних даних (банківська інформація, номери карток та банківських рахунків, медичні записи, інформація, що ідентифікує особистість (PII), номер телефону, адресу тощо). З одного боку, це дуже зручно, з іншого – збільшує ризик розкриття інформації. Існує безліч варіантів, як кіберзлочинці отримують конфіденційні дані. Наприклад, атака (цілеспрямована спроба завдати шкоди за допомогою технічних або соціальних засобів), злам (вид атаки, яка використовує технічні вразливості для отримання несанкціонованого доступу), витік (викликаний будь-якою дією або бездіяльністю сторони, яка володіє даними).

Проте, існує окремий вид витоків – хмарні витоки. Цей вид є причиною інших більших і небезпечніших випадків розкриття даних. Хмара є частиною Інтернету та пропонує окреме приватне місце для виконання різних операцій компанії. Хмарний витік трапляється, якщо хмарне сховище неправильно відокремлено від Інтернету.

Хмарний витік даних – це ситуація, коли конфіденційні дані, що зберігаються у приватній хмарі, випадково потрапляють до Інтернету. Хмарний витік несе серйозні ризики для бізнесу. Проста помилка може викликати великий масштаб наслідків. Використання хмари або співробітництво з постачальниками, які використовують її, надає багато переваг. Проте, варто враховувати потенційні проблеми та ризики. Витоки у хмарі – це операційна проблема, яка потребує вирішення в рамках IT-процесів, які керують обробкою даних у хмарі.

Інформація, яка може бути розкрита:

Дані про клієнтів. Кожна компанія запитує та зберігає свій набір інформації про клієнтів. Однак, є загальні параметри: ідентифікаційна інформація (ім’я, адреса, номер телефону, email, пароль), інформація про активність (історія замовлень, платежів, відомості про використання, інтереси тощо), інформація про банківські картки (номер карт, код CVV, термін дії картки, інформація для виставлення рахунків);
Дані про компанію. Внутрішні комунікації (нотатки, листи, документи з описом бізнес-операцій тощо), метрики (статистика продуктивності, прогнози, звіти тощо), стратегія (ідеї та плани, стратегія розвитку та інша бізнес-інформація) ;
Комерційна таємниця. Найнебезпечніший тип інформації, який часто стає метою промислового шпигунства. До комерційної таємниці належить: плани, формули, проєкти, інформація про існуючі та майбутні продукти та послуги, код та програмне забезпечення, запатентована технологія, ринкові стратегії, контакти тощо;
Аналітика. Психографічні дані (переваги, особистісні характеристики, демографія, обмін повідомленнями тощо), поведінкові дані (наприклад, інформація про поведінку користувача на сайті), змодельовані дані (наприклад, прогнозовані дані);

Мета використання даних, які були розкриті з хмари:

Соціальна інженерія: розкрита інформація (психографічні дані, поведінкова аналітика, персональні дані) особливо сприяє атакам соціальної інженерії;
Таргетинг: інформація, що ідентифікує особистість, може використовуватися для шахрайства, а також для розкриття інформації людини проти її волі (доксінг);
Вплив: отримання психографічної інформації надає майже безмежні можливості використання. Мета отримання таких даних – розуміти і передбачати реакцію людей певні ситуації, події, продукти тощо. У політиці використовують їх для збільшення кількості голосів, компанії – для залучення нових клієнтів;
Руйнування: хмарні витоки завдають шкоди бізнес-операціям та бізнесу в цілому;

Методи запобігання хмарним витокам:

Перевірка: регулярна перевірка конфігурацій хмарних сховищ при розгортанні та в процесі використання;
Автоматизація: використання автоматизованих засобів управління та перевірки конфігурації для прискорення процесу перевірки, уникнення ручної роботи та помилок;
Оцінка та оптимізація сторонніх ризиків: розуміння потенційних ризиків співпраці з третьою стороною, оцінка рівня їхньої безпеки.

Життєвий цикл атаки програмою-вимагачем та способи захисту

Однією з найпопулярніших категорій кіберзлочинів, що швидко розвиваються, є програма-вимагач. Щодня відбувається понад 4000 атак програмами-вимагачами. Така кількість атак у поєднанні з тісними взаємовідносинами компаній із третіми особами збільшує ймовірність компрометації даних співробітників. Безпеку конфіденційних даних можна забезпечити за допомогою стратегії запобігання атакам програмами-вимагачами та процесом швидкого виявлення скомпрометованих даних.

Ефективна стратегія запобігання атакам передбачає розгортання елементів управління безпекою на кожному етапі розвитку типової атаки програмою-вимагачем.

Основні етапи атаки програмами-вимагачами:

Фішингова атака – відправка електронного листа зі шкідливими посиланнями, що переадресовують користувача на сайт шахраїв. На таких сайтах відбувається крадіжка внутрішніх облікових даних. Це найпопулярніший спосіб старту атаки;
Взаємодія з користувачем (жертвою) – перехід за посиланням, завантаження вкладень тощо;
Компрометація облікового запису – компрометація корпоративних облікових даних жертви за допомогою відправки їх на шкідливий сайт, а також за допомогою соціальної інженерії (наприклад, хакер видає себе за співробітника IT-відділу та запитує підтвердження повідомлення двофакторної автентифікації). На цьому етапі найчастіше відбувається впровадження шкідливого ПЗ, ініціюючи встановлення програми-вимагача;
Визначення привілейованих даних – виявлення та компрометація привілейованих облікових даних для отримання несанкціонованого доступу до конфіденційних областей мережі;
Пошук конфіденційних даних (особисті дані, дані клієнтів, номери соціального страхування, корпоративні облікові дані, дані корпоративної та особистої електронної пошти, будь-який цифровий слід, який може бути використаний для крадіжки особистих даних);
Ексфільтрація даних – розгортання шкідливої програми для встановлення бекдор-підключень до серверів кіберзлочинця при виявленні цінних ресурсів даних. Через бекдор-підключення починається передача даних, за які згодом кіберзлочинець вимагатиме викуп;
Шифрування даних – кіберзлочинець шифрує операційні та комп’ютерні системи жертви з метою завдати максимальної шкоди. Жертва отримує сповіщення про викуп (зазвичай у файлі TXT) з чітким зазначенням ціни викупу. Найчастіше кіберзлочинці вимагають сплатити викуп у криптовалюті (біткоїни), скільки правоохоронним органам складніше відстежити їхній рух. Щоб прискорити процес виплати викупу, злочинці загрожують розмістити дані у даркнеті або видалити їх;
Дамп даних – завершальний етап атаки. На цьому етапі кіберзлочинці публікують усі скомпрометовані дані на кіберзлочинам ринку. Деякі кіберзлочинці повністю видаляють дані, позбавляючи себе необхідності публікувати їх на чорному ринку та відстежувати запити на покупку. Якщо жертва відмовляється виплачувати викуп, кіберзлочинець може покарати жертву та опублікувати всі дані на форумах. Вільний доступ до даних, розміщених на таких форумах, завдає більшої шкоди компанії, ніж їхній продаж 1 групі кіберзлочинців.

Захистити та знизити вплив програм-вимагачів можна за допомогою впровадження заходів безпеки на кожному етапі атаки:

Навчання з питань безпеки. Дуже складно перемогти програму-вимагач, якщо вона вже проникла в корпоративну мережу. Запобігаючи проникненню, кіберзлочинці не мають змоги провести успішну атаку. Співробітники часто не знають, як розпізнати погрози та як реагувати на них, і тим самим сприяють успіху атаки. Важливо забезпечити якісне навчання всіх співробітників, проінформувати про потенційні ризики та навчити розпізнавати загрози;
Відстеження взаємодій із шкідливими посиланнями та вкладеннями. Щоб запобігти атаці і не дати їй перейти на наступний етап, така активність має бути виявлена якнайшвидше. Співробітники повинні негайно попередити IT-фахівців із безпеки;
Запобігання компрометації облікового запису. Використання багатофакторної аутентифікації. Найбільш безпечною формою є метод біометричної автентифікації. Такі біометричні дані, як відбитки пальців, розпізнавання облич, дуже складно вкрасти чи скопіювати;
Захист привілейованих даних. Використання менеджера паролів, багатофакторної аутентифікації, моделі безпеки з нульовою довірою. В останньому випадку весь внутрішній трафік сприймається як шкідливий і тому користувачеві необхідно постійно підтверджувати свою особу при запиті доступу до конфіденційних ресурсів;
Запобігання втраті даних. Закриття або сегментування від загального доступу користувачів до чутливих областей мережі. Також необхідно забезпечити захист багатофакторною автентифікацією всіх облікових записів користувачів, які мають доступ до закритих областей;
Запобігання крадіжці даних. Цей процес складається з 2 елементів: виявлення та запобігання. Методи виявлення включають:

використання SIEM для моніторингу мережного трафіку у режимі реального часу;
моніторинг з’єднань із зовнішніми IP-адресами;
моніторинг підозрілої активності вихідного трафіку;

Методи запобігання включають:

протоколи безпеки (DNS, HTTP, FTP);
виправлення вразливостей програмного забезпечення.

Захист від шифрування даних. Процеси швидкого перемикання операцій на системи резервного копіювання можуть мінімізувати збої у бізнесі у разі атаки програмою-вимагачем. Такі середовища повинні бути доступні з унікальним набором облікових даних, тобто повинні відрізнятися від тих, що використовуються у звичайному середовищі IT.

Що таке кібератака?

Сучасні технології надійно закріпилися як у житті звичайної людини, так і в бізнесі. Для ефективної бізнес-діяльності, а також для зручності використовуються новітні інструменти. Паралельно з безліччю переваг та можливостей зростає ризик стати жертвою кіберзлочинців. Багато компаній використовують хмарні сервіси для зберігання корпоративних даних, розміщують дані в Інтернеті, проте забувають про забезпечення надійної кібербезпеки. Потреба в інформаційній безпеці, розумінні та управлінні ризиками, виявленні та запобіганні кібер-інцидентам є пріоритетом будь-якої компанії.

Кібератака – це несанкціонована спроба доступу до системи з метою зміни, пошкодження чи крадіжки даних. Для здійснення цього кіберзлочинці використовують різні способи аби запустити атаку: шкідливі програми, фішинг, програми-вимагачі, «людина посередині» тощо. Кіберзагрози можуть відрізнятися за складністю: від встановлення шкідливого програмного забезпечення в систему невеликої компанії до спроб вивести з робочого стану критично важливу інфраструктуру (уряд, державна установа тощо). Результатом вдалої кібератаки найчастіше є витік та розкриття даних.

Метою будь-якої кібератаки є фізичний чи логічний ресурс, що має хоча б одну вразливість. Внаслідок атаки може бути порушена конфіденційність, цілісність чи доступність ресурсу. Однак, збитки, розкриття, контроль над ресурсами можуть виходити за рамки виявлених вразливостей, включаючи отримання доступу до мережі Wi-Fi, соціальних мереж, операційних систем або конфіденційної інформації (інформації про кредитні картки, банківські рахунки тощо).

Види кібератак:

Внутрішні та зовнішні

Внутрішня кібератака ініціюється всередині організації особою, яка має доступ до конфіденційних даних. Зовнішня кібератака ініціюється за межами організації, наприклад, розподілена атака типу «відмова в обслуговуванні» (DDoS-атака) з використанням ботнету.

Пасивні та активні

До пасивних кібератак можна віднести спроби отримати доступ або використовувати інформацію з цільової системи, системні ресурси. Поширеними прикладами пасивних кіберзагроз є:

Моніторингові програми (моніторинг комп’ютерної активності, даних, що зберігаються на жорсткому диску, моніторинг активності та даних, що передаються по мережі);
Прослуховування телефонних розмов;
Сканування портів;
Кейлогінг (запис натискань клавіш на клавіатурі);
Бекдор (обхід стандартної автентифікації або шифрування на комп’ютері, продукті, вбудованому пристрої);
Тайпсквотинг;
Підслуховування;

До активних кібератак відносяться навмисні спроби змінити систему або вплинути на її роботу (витік даних, атаки програмами-вимагачами тощо).

Брутфорс (вгадування імен та паролів користувачів для отримання доступу до системи та/або конфіденційних даних);
Міжсайтовий скриптинг (впровадження шкідливого коду на веб-сторінку);
DoS-атаки (відмова в обслуговуванні);
Експлойт (використання вразливостей для здійснення атаки);
Спуфінг електронної пошти (надсилання повідомлень з підробленої адреси);
Фішинг;
Атака «людина посередині»;
Соціальна інженерія;
Атаки програмами-вимагачами;
Трояни;
Шкідливий код;
Впровадження SQL-коду (спосіб злому сайтів та програм, які працюють з базами даних);

Кіберзагроза – це потенційний ризик порушення кібербезпеки, який існує за наявності обставин, можливостей, дій, подій, що викликають витік даних або будь-який інший тип несанкціонованого доступу. Кіберзагрозою може бути будь-яка вразливість, яку можна використовувати для досягнення цілей кіберзлочинців.

Кіберзагрози бувають навмисними (наприклад, кіберзлочинець цілеспрямовано запускає атаку програмою-вимагачем, шифрує дані та вимагає викуп за них) та випадковими (наприклад, погане налаштування захисту кошика S3, що призводить до витоку великих даних).

Заходи для запобігання та виявлення кібератак:

Організаційні заходи (навчання кібербезпеки на всіх рівнях);
Процедурні заходи (анкетування сторонніх постачальників з метою оцінки їхньої безпеки);
Технічні заходи (встановлення антивірусного та антишпигунського ПЗ, систем виявлення мережевих вторгнень, моніторинг компанії та третіх осіб щодо витоків даних тощо).

Ключові показники ефективності кібербезпеки

Захист конфіденційних даних має ключове значення для будь-якої компанії. Будь-який витік інформації може спричинити руйнівні наслідки: підрив репутації, фінансові втрати, втрата позиції на ринку, відтік клієнтів тощо. Внутрішня система кібербезпеки повинна забезпечувати надійний захист даних, а також працювати на випередження, тобто вчасно виявляти та запобігати кібератакам.

Щоб відстежити рівень кібербезпеки, необхідно мати чек-лист та аналізувати KPI. Ключові показники ефективності (KPI) – це ефективний спосіб виміряти успіх та ефективність будь-якої програми, зокрема кібербезпеку. Без аналізу роботи системи кібербезпеки неможливо оцінити реальний стан безпеки та рівень захисту.

Кіберзлочинці не стоять на місці і постійно вигадують нові та витонченіші методи атак. Відповідно змінюються процеси та технології запобігання. Важливо регулярно проводити оцінку ефективності засобів захисту та вчасно проводити заміну та/або оновлення застарілих інструментів.

Аналіз ключових показників (KPI), ключових індикаторів ризику (KRI) та заходів безпеки дозволяє отримати повне уявлення про роботу команди безпеки, зрозуміти, що працює, а що ні та вжити відповідних заходів. Метрики надають кількісну інформацію, яку легко можна оформити у звіт та надати всім зацікавленим особам.

Ключові показники ефективності кібербезпеки:

Рівень готовності – визначення кількості справних та оновлених пристроїв, сканування вразливостей та керування ними;
Невідомі пристрої у внутрішніх мережах – виявлення мережевих вторгнень (співробітники можуть збільшувати кіберризики та загрожувати безпеці, використовуючи власні пристрої та погано налаштовані пристрої IoT);
Спроба вторгнення – кількість спроб зловмисників отримати несанкціонований доступ;
Інцидент безпеки – кількість зламів інформаційних активів та/або мережі;
Середній час виявлення (MTTD) – час, коли загрози залишаються непоміченими (тобто метрика показує час, необхідний фахівцям для виявлення загроз);
Середній час відновлення (MTTR) – середній час реагування команди фахівців на кібератаку, що визначає якість реалізації плану реагування на інцидент;
Середній час стримування – показує час відгуку компанії та можливості вимірювання її стану кібербезпеки;
Рейтинги безпеки – оцінка ризиків кібербезпеки, визначення показників інформаційної безпеки, які потребують уваги;
Середній рейтинг безпеки третіх осіб;
Показник виправлень – визначення часу на впровадження виправлень безпеки додатків та/або усунення вразливостей із високим ризиком;
Управління доступом – контроль доступу, аналіз доступу (хто з користувачів має права адміністратора);
Показник ризику з боку третіх осіб та потенційних вразливостей;
Середній час реагування третьої особи на інцидент. Інцидент безпеки – це успішна кібератака. Однак метою може бути і компанія, доступ до якої кіберзлочинці намагаються отримати через третю особу. Чим довше партнер реагує на інцидент, тим більша ймовірність того, що компанія постраждає від витоку даних.

Немає спільного рішення, які метрики використовувати. Кожна компанія вибирає KPI і KRI залежно від сфери діяльності, потреб компанії, правил, посібників, бачення керівництва про ризики тощо. Важливо, щоб обрані метрики були зрозумілі всім, зокрема нетехнічним фахівцям, відображали поточну ситуацію та допомагали приймати рішення щодо кібербезпеки компанії.

Основні методи захисту конфіденційної інформації

Одним із головних завдань цифрового світу є захист конфіденційної інформації. Це досить ємне і складне завдання, яке також може ускладнитися поганим керуванням даними, неякісною безпекою мережі, захистом кінцевих точок і методами шифрування. Для запобігання наростаючій кількості кібератак необхідно використовувати більш потужні методи кібербезпеки.

Як організації, так і фізичні особи повинні знати основні методи захисту конфіденційних даних, щоб уникнути їх витоку та втрати. Втрата персональних або корпоративних даних може нести руйнівний характер і спричиняти серйозні наслідки.

Конфіденційна інформація – це важлива інформація, яка потребує вищого рівня безпеки даних для запобігання несанкціонованому доступу хакерів або шкідливих програм. Такі дані зазвичай захищені та недоступні стороннім особам. Існують стандарти кібербезпеки та захисту даних, які встановлюються в США – Федеральною торговою комісією (FTC), у Європі – Загальним регламентом захисту даних (GDPR), Австралія – Австралійським центром кібербезпеки (ACSC).

До конфіденційних даних можна віднести:

Персональні дані (PII);
Фінансова, банківська інформація, а також інформація про кредитні картки;
Юридична інформація;
Медична інформація (PHI);
Біометричні дані;
Дані про клієнтів та співробітників;
Історія пошуку в Інтернеті;
Комерційна таємниця;
Дані про бізнес-операції;
Секретна урядова інформація.

Основні методи захисту конфіденційної інформації:

Класифікація та організація даних. Під класифікацією даних розуміється процес організації даних за певними категоріями, які спрощують доступ, ранжування даних за критичністю та знижують витрати на зберігання та резервне копіювання. Організація даних дозволяє визначити рівень ризику даних (низький, середній, високий), визначити загальнодоступну та приватну інформацію та застосувати відповідні для кожного рівня конфіденційності заходи безпеки. Політика класифікації дозволяє провести оцінку використання конфіденційних даних, забезпечити кращу конфіденційність та захист даних.
Шифрування даних. Метод полягає в кодуванні даних криптографами з використанням складних алгоритмів і шифрів для захисту даних від крадіжки або розкриття. У разі крадіжки зашифрованих даних їх майже неможливо розшифрувати без ключа дешифрування. Шифрування даних забезпечує конфіденційність під час передачі інформації та дозволяє виконувати процеси аутентифікації. Компаніям, які працюють із особливо конфіденційними даними, слід використовувати метод шифрування.
Оцінка на захист персональних даних (DPIA). Це оперативні інструменти для захисту корпоративної інформації, пов’язаної з високим ризиком розкриття особистої інформації. У рамках DPIA організації мають:

Визначити характер, обсяг, контекст та мету обробки даних;
Оцінити ризики;
Визначити заходи кожного ризику;
Забезпечити відповідність безпековим вимогам.

Маскування (обфускація) даних – один із способів захисту даних за допомогою заміни оригінальних даних на фіктивні. Маскування даних також використовується всередині компанії, щоб приховати інформацію від розробників, випробувачів та інших фахівців.
Багатофакторна автентифікація. Використання пароля та аутентифікації є одним із найпростіших методів забезпечення безпеки. Дані великих корпорацій досить часто перебувають у даркнеті. Корпоративні користувачі можуть використовувати багатофакторну автентифікацію та тим самим захистити конфіденційну інформацію.
Резервні копії. Основою всіх рішень безпеки є управління даними та резервне копіювання. Резервне копіювання слід виконувати щонайменше 1 раз на тиждень.
Надійна мережна безпека. Передбачається використання безлічі різних рішень безпеки для кращого захисту конфіденційних даних від крадіжки та несанкціонованого доступу. Інструменти для підвищення безпеки:

ПЗ для захисту від вірусів та шкідливих програм;
Захист від витоку даних (DLP);
Система виявлення вторгнень (IDS) та запобігання вторгненням (IPS);
Брандмауери;
Віртуальні приватні мережі (VPN);
Сегментація мережі;
Інструменти видалення даних.

Чому необхідно використовувати багатофакторну автентифікацію?

Багатофакторна автентифікація являє собою метод автентифікації, що вимагає мінімум 2 форм перевірки особистості для отримання доступу до облікового запису, додатку, набору даних тощо. Це додатковий рівень безпеки облікового запису користувача в Інтернеті. Для отримання доступу необхідно ввести пароль, після чого підтвердити спробу входу через спеціальну програму, код тощо. Додатковий метод перевірки може перешкодити кіберзлочинцям отримати несанкціонований доступ, тим самим запобігти кібератаці. Налаштування та використання автентифікації є одним з найважливіших та найпростіших інструментів кібербезпеки, що робить її доступною для будь-якої людини та організації.

Вирішальне значення для багатьох політик безпеки у питаннях захисту конфіденційних даних та запобіганні витоку даних має автентифікація. Кіберзлочинці часто використовують спеціальне програмне забезпечення для крадіжки даних для входу. Також, користувачі можуть збільшити ризик стати жертвою, встановлюючи однакові дані для кількох входів. Відсутність перевірки робить користувачів приманкою для зловмисників.

Організаціям слід запровадити систему управління ідентифікацією та доступом (IAM), яка також автентифікує облікові дані користувача. Завдяки цьому є можливість контролювати доступ користувачів до критично важливої корпоративної інформації та запобігти отримання доступу до даних неавторизованих користувачів.

Згідно зі статистикою, 99,9% скомпрометованих користувачів не використовували багатофакторну автентифікацію. Також важливо оновлювати системи безпеки, щоб унеможливити використання старих протоколів безпеки. Як правило, вони не включають підтримку багатофакторної ідентифікації, що значно збільшує ризик витоку інформації.

Фактори автентифікації:

Фактор знання – інформація користувача для перевірки особистості: PIN-код, контрольні питання, безпечні паролі;
Фактор володіння – фізичне володіння річчю для підтвердження особи: одноразові паролі, мобільний телефон (текстові повідомлення, додатки для автентифікації), смарт-картки, SIM-картки, програмні токени (цифрові ключі автентифікації), фізичний ключ чи ключ-карта;
Фактор властивості – фізичні особливості, якими володіє користувач: біометричні дані (ідентифікатор відбитка пальця, Face ID, розпізнавання голосу, сканування сітківки ока).

Рішення БФА розроблено для підвищення безпеки. Проте, кожен додатковий фактор може ускладнити процес входу. Наприклад, користувач може забути пароль, втратити мобільний пристрій, за допомогою якого він здійснює вхід до системи. Слід використовувати багатофакторну автентифікацію скрізь, де це можливо, але водночас вона не повинна бути єдиною формою безпеки.

Основні проблеми впровадження багатофакторної автентифікації:

Втрата або крадіжка телефону, токенів тощо;
Часта забудькуватість паролів та відповідей на контрольні питання;
Неточність біометричного сканування;
Доступність передачі ключів безпеки;
Дорога реалізація.

Шляхи спрощення процесу автентифікації із збереженням рівня безпеки:

Адаптивна автентифікація інтегрує машинне навчання в процес автентифікації, водночас враховує широкий спектр інформації (місце розташування, час доступу, IP-адреса, пристрої, VPN, доступність мережі). Метод полягає в аналізі та виявленні підозрілої активності. При звичайній поведінці користувача для входу буде потрібна основна інформація, у разі підозрілої поведінки – вимагається додатковий фактор перевірки.
Технологія єдиного входу (SSO) – безпечний процес автентифікації, що дозволяє користувачеві підтвердити особу для кількох сайтів та додатків. SSO вирішує проблему запам’ятовування кількох паролів та багаторазового повторення автентифікації.
Автентифікація за допомогою push-повідомлень – автентифікація через мобільний додаток, який прив’язаний до фізичного пристрою, а не до телефонного номера. Текстове повідомлення може бути перехоплене зловмисниками, що робить автентифікацію з прив’язкою до телефону більш небезпечною. Push-автентифікація усуває проблему повторного введення одноразового пароля та забезпечує безперешкодний процес використання.

Рейтинг кібербезпеки – що це таке?

Рейтинги кібербезпеки – це об’єктивні та динамічні показники стану безпеки компанії. Такі показники ґрунтуються на даних та створюються надійною та незалежною платформою оцінки безпеки. Рейтинг безпеки є цінним та об’єктивним показником стану кібербезпеки всієї організації. Чим вищий рейтинг – тим надійніший стан безпеки. Організації використовують цей показник для розуміння та пом’якшення різних критичних, взаємопов’язаних внутрішніх та зовнішніх ризиків безпеки, а також для оцінки безпеки зовнішніх організацій (постачальників, партнерів, страхових компаній, інвестиційних компаній).

Рейтинг безпеки виводиться з об’єктивної перевірки інформації та розраховується незалежною організацією. Процес перевірки відбувається шляхом збирання комерційних даних, які можуть кількісно оцінити ризики безпеки. Високі показники вказують на ефективність методів забезпечення безпеки та менші ризики стати жертвою потенційних кібератак. Регулярний моніторинг вразливостей та сканування стану дозволяє підтримувати належний рівень безпеки.

Сучасний бізнес активно користується інструментами, які допомагають прискорити процес торгівлі, збільшувати охоплення клієнтів, розуміти їхні звички та поведінку та покращити ефективність бізнес-операцій. Проте, це збільшило ризики та загрози для кібербезпеки. Крім того, що кібератака може бути спрямована безпосередньо на бізнес, вона ще може зачепити через посередників. Вразливість одного з бізнес-партнерів може призвести до витоку даних. Рейтинги безпеки забезпечують щоденний вимір ефективності безпеки компанії, відстежують та порівнюють продуктивність внутрішньої безпеки, зміцнює систему управління ризиками та знижує їх.

Рейтинг безпеки використовується для:

Стороннє управління ризиками (розуміння ризиків третьої сторони, її комплексна перевірка та виявлення проблем безпеки, ціноутворення та управління ризиками у сфері кіберстрахування, інвестиції в компанію);
Управління ефективністю кібербезпеки (внутрішнє управління безпеки, безперервний моніторинг та оцінка стану кібербезпеки, аналіз показників безпеки);

Рейтинг безпеки дозволяє:

автоматизувати процес отримання інформації про стан безпеки партнера;
порівняти та оцінити постачальників щодо подання ризиків;
встановлювати мінімальні вимоги щодо рейтингу безпеки партнерів;
автоматично оцінювати безпеку;
розуміти ефективність інвестицій у технології кібербезпеки;
виявляти критичні галузі та ефективно розподіляти ресурси;
аналізувати систему внутрішньої безпеки.

Згідно з Gartner, рейтинги кібербезпеки стануть важливим інструментом для оцінки ризиків існуючих та нових бізнес-відносин. Традиційні методи оцінки вимагають багато часу, а анкети для кожного стороннього партнера потребують ретельного відстеження. Більше того, анкети не завжди точні на 100%. Вони є суб’єктивною та одноразовою оцінкою, яка стає неточною з появою нових проблем безпеки. Рейтинги безпеки перекривають цю прогалину та забезпечують безперервний, об’єктивний та актуальний процес оцінювання стану безпеки. Це дозволяє виявити існуючі та потенційні кіберзагрози, а також визначити способи пом’якшення їхнього впливу. Також, рейтинги безпеки дозволяють формувати звіти про результати кібербезпеки для керівників найвищого рівня та всіх зацікавлених осіб.

Найпоширеніші типи фішингових атак та їхні ознаки

За даними звіту Cisco, причиною витоків даних у 90% випадків є фішингові атаки. Від шкідливих програм та програм-вимагачів страждають мільйони користувачів. Однак, фішингові атаки завдають не меншої шкоди. Наявність новітніх протоколів безпеки та програмного забезпечення не забезпечує повний захист від кіберзагроз. Низький рівень знань користувачів збільшує ризик стати жертвою кіберзлочинців. Тому важливо забезпечити належне навчання всіх користувачів.

Фішингова атака – це кібератака з використанням соціальної інженерії з метою незаконно оволодіти конфіденційними даними. Найчастіше атака здійснюється через шкідливі посилання та файли. Також фішингові атаки поєднують із шкідливими програмами для завдання більшої шкоди. Для успішної реалізації атаки кіберзлочинець ретельно вивчає поведінку користувачів. Таким чином він підбирає найпростіший та найефективніший шлях до здійснення своїх цілей.

Ознаки спроб фішингу:

запит персональних та облікових даних, а також інформації про банківські картки;
необґрунтовані погрози;
терміновість;
помилки у тексті (орфографічні, граматичні);
підозрілі URL-адреси;
унікальні пропозиції.

Кіберзлочинці постійно розробляють нові методи фішингу для отримання конфіденційних даних.

Найпоширеніші типи фішингових атак:

Email фішинг – найстаріший і найчастіше використовуваний вид фішингових атак. Метою листів, що імітують законних відправників, є корпоративні користувачі та приватні особи. За допомогою шкідливого посилання, документа або зображення зловмисник змушує жертву завантажити шкідливий код (наприклад, підтвердити особисту інформацію, перейшовши за посиланням).

Ознаки: запит особистої інформації; термінова проблема; скорочені посилання; підозрілий URL; орфографічні та граматичні помилки; вкладені файли; порожнє зображення;

Цільовий фішинг – є більш цілеспрямованим та орієнтований на конкретну людину чи компанію. Зловмисники збирають із відкритих джерел інформацію та роблять атаку на цілі підприємства та відділи.

Ознаки: незвичайні запити; посилання на загальні диски; підозрілі та незапитані листи; згадка особистих даних;

Фішинг китів – цільова атака на конкретну особу чи групу осіб із керівництва найвищого рівня. Найчастіше жертвою стає генеральний директор компанії.

Ознаки: неправильна адреса домену, використання особистої електронної пошти; нові контактні запити;

Компрометація корпоративної пошти – зловмисники видають себе за керівників з метою отримати доступ до його облікового запису з можливістю приймати рішення та надсилати внутрішні запити працівникам.

Ознаки: терміновість, незвичайна поведінка, відсутність юристів у листуванні;

Голосовий фішинг – атака за допомогою телефону з метою отримання інформацію чи грошей.

Ознаки: заблокований та прихований номер, запити конфіденційної інформації чи грошей;

HTTPS (стандартний протокол шифрування трафіку, що вимагає TSL/SSL сертифікати) фішинг – атака на основі URL-адрес, метою якої є змусити обманним шляхом перейти за шкідливим посиланням.

Ознаки: скорочені посилання, текст із гіперпосиланнями, помилки в написанні URL.

Клон-фішинг – зловмисники копіюють раніше надісланий законною особою або організацією лист, підробляють адресу відправника та відправляють його повторно жертві зі шкідливим вкладенням або посиланням.

Ознаки: електронні листи, що повторюються, помилки в адресі електронної пошти, текст з гіперпосиланням.

SMS-фішинг – атака за допомогою смс-повідомлень зі шкідливими вкладеннями та посиланнями.

Ознаки: підозрілі та незапитані повідомлення, повідомлення з невідомих номерів, запит на автентифікацію.

Спливаючий фішинг – атака через вікна, що спливають. Зловмисники вставляють шкідливе програмне забезпечення у вигляді спливаючих рекламних вікон, при натисканні якого запускається процес зараження.

Ознаки: повідомлення браузера, нова вкладка або вікно, вікна із терміновим повідомленням (оновлення антивіруса, продовження передплати тощо).

Фішинг через соціальні мережі – використовуючи інформацію із соціальних мереж, зловмисники за допомогою соціальної інженерії отримують доступ до конфіденційних даних жертви.

Ознаки: підозрілі посилання, підозрілі облікові записи.

Angler фішинг – зловмисники видають себе за співробітників служби підтримки клієнтів у фішинговій атаці, створюючи фальшивий обліковий запис, та зв’язується з потенційною жертвою. У процесі взаємодії кіберзлочинець уточнює особисті дані, а потім надає посилання для вирішення проблеми, яке містить шкідливе ПЗ.

Ознаки: непідтверджений обліковий запис, відсутність історії профілю.

Evil Twin фішинг – атака полягає у створенні незахищеної точки доступу Wi-Fi та заманюванні користувачів у підключення. Після того, як жертва підключилася, всі вхідні та вихідні дані (особиста інформація, фінансові дані тощо) можуть бути перехоплені зловмисниками. Такого виду атаки частіше відбуваються у громадських місцях із безкоштовним Wi-Fi (кафе, готелі, аеропорти тощо). Найкращим способом не стати жертвою в цьому випадку – використання VPN.

Ознаки: точки доступу Wi-Fi, що повторюються, попередження про незахищеність.

Спуфінг – створення повністю підробленого сайту ідентичного законному для одержання конфіденційної інформації. Найчастіше підробляють сайти організацій зі сфери фінансів, охорони здоров’я та соціальних мереж, оскільки вони містять важливу персональну інформацію.

Ознаки: помилки в написанні URL-адрес, помилки на сайті.

Email спуфінг (підміна електронної пошти) – створення повністю підробленого домену електронної пошти.

Ознаки: підозрілі та незапитані електронні листи, помилки в адресах електронної пошти.

DNS спуфінг (фармінг-атаки) – технічно складніший вид атаки, де кіберзлочинець повинен зламати сервер доменних імен (DNS), що перетворює доменні імена в IP-адреси.

Ознаки: незахищений сайт, помилки на сайті.

Фішинг за допомогою зображень – відбувається через надсилання електронного листа із зображенням, що містить гіперпосилання, шкідливі URL-адреси, посилання на заражені сайти.

Ознаки: посилання в зображеннях, спам, великі кнопки, які спонукають до дії.

Фішинг пошукових систем – зловмисники створюють законні сторінки на основі ключових слів та запитів для отримання рейтингу у пошукових системах (Google, Bing). Сторінки містять цікаві пропозиції, щоб заманити жертву та змусити її надати банківську інформацію. Найчастіше такі сторінки пропонують безкоштовний відпочинок, продукти, інвестиційні можливості, знижки, пропозиції про роботу тощо.

Ознаки: привабливі пропозиції, від яких важко відмовитися, погано розроблені сайти.

Watering Hole – така атака спрямована на конкретну компанію чи групу людей і відбувається шляхом зараження часто відвідуваного ними сайту. Кіберзлочинці знаходять уразливості сайту, заражають його та заманюють потенційних жертв електронними листами на цей сайт.

Ознаки: попередження безпеки, тестування безпеки.

Man in the middle (MITM) – зловмисник перехоплює комунікаційний ланцюжок, стає «посередником», контролює комунікацію, перехоплює дані та має можливість маніпулювати ними для отримання особистої інформації з обох сторін.

Ознаки: незахищені сайти, помилки в написанні URL-адреси, помітно повільний процес комунікації.