Согласно недавнему отраслевому исследованию, за последний год объем данных, украденных у крупных компаний, увеличился в полтора раза, достигнув 23% от общего числа жертв. Киберпреступники похитили данные розничных, финансовых, профессиональных и образовательных организаций, интернет-сервисов и ИТ-компаний. Максим Ежов, руководитель отдела непрерывного мониторинга безопасности компании «Ангара Секьюрити», представил свое мнение о тенденциях развития средств информационной безопасности и рекомендации для компаний по повышению безопасности.

CNews: Как чаще всего происходят инциденты, связанные с утечками информации, и какую долю они составляли в общей картине кибератак в 2023 году?

Максим Эйов: Большинство этих инцидентов происходит в результате взлома объектов, расположенных на внешнем периметре организации, то есть объектов, доступных из сети Интернет. Эта часть инфраструктуры компании, где сосредоточены службы поддержки клиентов, веб-ресурсы и сетевое оборудование, подвергается атакам чаще всего. Количество уязвимостей в объектах периметра по отношению к общему объему утечек сегодня составляет почти 25%.

Многие организации используют сканеры безопасности для поиска уязвимостей, а затем обращаются к своим специалистам по информационной безопасности для анализа и оценки рисков. Однако проблемой для бизнеса является то, что до 80% ИТ-инфраструктуры обновляется в течение года.

При исследовании внешнего периметра организаций наиболее часто выявляемыми недостатками являются поддержка TLS версии 1.0/1.1, использование слабых алгоритмов шифрования в SSL и истечение срока действия SSL-сертификатов. В результате канал подключения к удаленному ресурсу, например сайту, не защищен. В других случаях современные браузеры уведомляют пользователей о том, что ресурс небезопасен, в результате чего компании теряют клиентов.

При этом постоянно добавляются новые объекты потенциальных атак за счет подключения внешних сервисов, расширения функционала приложений и внедрения корпоративных и open source решений. Каждый этап модернизации инфраструктуры несет в себе риск появления новых уязвимостей или неправильно настроенных систем, которые могут нарушить функционирование критически важных аспектов деятельности или бизнес-процессов компании.

К этому добавляется второй серьезный фактор, на который приходится более 23% от общей доли утечек. Это скомпрометированный аккаунт. Это появляется, когда у сотрудников слабые пароли и отсутствует двухфакторная аутентификация. Однако пользователи оставляют адрес электронной почты своей компании при регистрации на внешних сайтах, таких как платформы для вебинаров, или при регистрации на мероприятия.

ЧИТАТЬ   В Дубае будет построена первая в мире «Биткойн-башня», разработчик делится подробностями

Злоумышленник после взлома такого сайта получает действующие адреса электронной почты. Если соединение пользователя с веб-клиентом почтового сервера защищено слабо, злоумышленник может получить доступ ко всей электронной переписке, которая может содержать персональные данные.

CNews: Как забытый тестовый веб-сервер может открыть дверь хакеру?

Максим Эйов: Обычно эти серверы используются продакт-менеджерами или командами разработчиков для тестирования определенных сценариев на веб-сайте, будь то дизайн интерфейса или функциональность личного кабинета нового пользователя внутри CustDev, забывая при этом о необходимости обеспечения безопасности. ИТ и разработчики спешат быстро протестировать новые функции, зачастую с не полностью обезличенными персональными данными, минуя одобрение отдела ИБ, и в спешке забывают их отключить.

Чтобы построить комплексный процесс выявления уязвимостей и управления ими, компании все чаще обращаются к непрерывному внешнему мониторингу безопасности периметра.

CNews: Чем такой постоянный мониторинг отличается от обычного размещения сканера в облаке?

Максим Эйов: Непрерывный мониторинг внешнего периметра позволяет организовать систематический процесс выявления уязвимостей и управления ими. Например, аналогичное решение от Angara Security. В рамках инвентарного сканирования он проверяет заданный список IP-адресов с определением открытых портов (TCP/UDP), определяет доступные на открытых портах и ​​хостах сервисы, а также их версии. Сервис обеспечивает сравнительный анализ выявленных сетевых узлов, портов и изменений с результатами предыдущего анализа.

Полученные данные можно просмотреть в режиме реального времени в личном кабинете сервиса. Специалист по информационной безопасности клиента видит в виде интерактивных панелей мониторинга текущее состояние внешнего периметра, обнаруженные и исправленные новые уязвимости, а также уровень их критичности.

Сетевые сканеры, инструменты инвентаризации и анализ веб-ресурсов используются для обнаружения слабых мест. Все выявленные уязвимости с уровнем критичности «средний» и выше проверяются нашими экспертами, которые готовят рекомендации по устранению недостатков. Специалист по информационной безопасности Заказчика может незамедлительно использовать данные для принятия решений при управлении рисками во внешнем контуре. В зависимости от наличия критических уязвимостей в аудируемом отчете он определяет приоритетность их устранения и далее контролирует их устранение ИТ-подразделением.

ЧИТАТЬ   Zūm Rails приобретает свой первый капитал для запуска новых предложений «банковское обслуживание как услуга», FedNow | TechCrunch

По итогам серии пилотных и производственных проектов штатными специалистами по информационной безопасности отмечены такие достижения, как: сокращение времени на создание пула задач для ИТ-подразделения по исправлению критических уязвимостей, а также внедрение мониторинга устранения рисков, связанных с ИТ-активами внешнего периметра в режиме «одного окна».

Рыночный спрос на такую ​​услугу увеличился, в частности, за счет ухода западных вендоров, которые ранее ее предоставляли, и обновления программного обеспечения для защиты внешнего периметра, а также веб-сервисов и оборудования.

CNews: Какие существуют подходы, позволяющие минимизировать риски утечки информации?

Максим Эйов: Важно понимать, что если компания не знает объект угроза вашей инфраструктуре (например, тот самый тестовый веб-сервер, который вы забыли отключить), то никакие превентивные меры вам не помогут. Поэтому первым шагом является понимание вашей ИТ-инфраструктуры и постоянный анализ внешнего периметра.

Разница между популярным сканером уязвимостей и новым подходом к управлению поверхностью внешних атак (EASM) заключается в том, что первый больше ориентирован на выявление и устранение уязвимостей во внутренней структуре организации, а второй направлен на обеспечение ее -датовый анализ. -обновленное видение угроз, исходящих из Интернета.

Чтобы охватить максимальное количество уязвимостей, необходимо использовать несколько сканеров и, получая от них информацию, проверять эти данные на наличие уязвимостей, помеченных как критические. Сканер является техническим инструментом и может допускать ошибки. В рамках услуги непрерывного мониторинга специалист по информационной безопасности клиента получает готовый отчет с уже подготовленными рекомендациями по устранению уязвимостей для ИТ-подразделения.

CNews: Что мешает компаниям организовать внешний мониторинг?

Максим Эйов: Если говорить о тех, кто уже осознал необходимость такого инструмента, то я бы назвал два фактора, тормозящих его внедрение. Прежде всего организации опасаются, что такой анализ приведет к снижению производительности инфраструктуры: например, к сбоям в работе интернет-магазина в период сезонных пиковых нагрузок и снижению прибыли.

Однако эти опасения преувеличены, поскольку проверки проводятся в оговоренное время, зачастую ночью, когда нет притока пользователей на внешние ресурсы компании. Кроме того, специалисты по информационной безопасности всегда контролируют инфраструктуру на предмет сбоев.

ЧИТАТЬ   ВКонтакте предоставит малому и среднему бизнесу легкий доступ к инструментам анализа больших данных

Итак, если мы видим снижение продуктивности, мы уменьшаем интенсивность внешнего анализа. Мы предлагаем нашим клиентам гибкие условия сканирования в удобное для них время и охватываем максимальную территорию поиска уязвимостей с использованием большого количества технических средств. К этому добавляется опыт и компетентность профессиональных пентестеров, обеспечивающих высокий уровень качества рекомендаций. Уже с первых анализов заказчик получает отчеты о рисках, исходящих из Интернета в отношении его ИТ-систем, что поддерживают внутренние специалисты по информационной безопасности. Конечно, это значительно облегчает им жизнь с точки зрения защиты данных.

И еще одной сложностью при организации собственного анализа является отсутствие в компании выделенного специалиста по ИБ, ориентированного на уязвимости, способного правильно интерпретировать информацию из рекомендательного отчета, предназначенного ИТ-отделу для устранения рисков ИБ. Мы до сих пор видим такие компании – обычно это организации со штатом до 150 сотрудников.

CNews: На ваш взгляд, какие тенденции будут преобладать в ближайшем будущем в сфере подобных средств защиты?

Максим Эйов: Рынок услуг непрерывного мониторинга будет активно развиваться, услуги будут наполняться дополнительными элементами и сервисами. Мы уже видим появление запросов от организаций, желающих искать информацию о себе в открытых источниках (OSINT) и хранить информацию о проведенных пентестах в своих личных кабинетах. Компании ищут возможность получать данные как от внутренних сканеров, так и от систем непрерывного мониторинга от внешних экспертов в едином интерфейсе. Эти сервисы станут более «умными», чтобы у клиента была возможность классифицировать те или иные активы по уровню критичности риска.




эрид:2SDnjex6r8pРекламодатель: Общество с ограниченной ответственностью «Группа компаний Ангара Технологии»ЭТИН/ОГРН: 7730016670/1157746077191Сайт:

Source

От admin