Один ключ от киберугроз: как обезопасить бизнес и сохранить данные

Информационная безопасность сегодня — одно из важнейших условий устойчивого и непрерывного развития бизнеса. Кибератаки могут привести не только к утечкам конфиденциальных данных, но даже к остановке или потере бизнеса. Вот почему любой компании так важно выстроить грамотную стратегию ИБ, внедрять современные средства защиты и сделать цифровую грамотность частью корпоративной культуры. Топ-5 тенденций в области киберугроз и актуальные способы противодействия им проанализировали вместе с компанией АБП2Б, специализирующейся на услугах и продуктах в области кибербезопасности.

По данным отчета компании InfoWatch, за первую половину 2024 года в публичном доступе оказалось около 1 млрд строк персональных данных российских компаний, что примерно на 34% больше, чем за аналогичный период прошлого года. А общее количество зафиксированных утечек за год увеличилось на 10%. Такая динамика характерна не только для нашей страны, но и для всего мира. Она обусловлена как нестабильной политической ситуацией во многих регионах, так и возрастающими компетенциями и организованностью хакеров, для которых перепродажа персональных данных и шантаж компаний-жертв становятся крайне прибыльным «бизнесом».

Этот тренд подтверждается и другими исследованиями. Эксперты «Лаборатории Касперского» подсчитали, что объем утечек данных в 2023 году увеличился на 33% по сравнению с 2022-м.

В июле 2024 года произошла беспрецедентная утечка корпоративных паролей, известная как RockYou2024: злоумышленники выложили в общий доступ базу из почти 10 млн уникальных записей. При этом в «Лаборатории Касперского» выяснили, что 83% содержащихся в ней паролей — слабые и могли бы быть подобраны с помощью простых алгоритмов менее чем за час. Но в подборке оказались и стойкие пароли — те, на расшифровку которых алгоритмы потратили бы более года. Несмотря на то что их доля в общем объеме кажется относительно небольшой (4%), «в штуках» это все равно 328 млн записей — огромное количество.

Вывод один: ценная информация зачастую хранится и защищается недостаточно надежно. А ведь утечка может являться первым звеном более разрушительной цепочки последствий. Например, в России характерны инциденты, связанные с проникновением злоумышленников в IT-инфраструктуру компании с последующим шифрованием данных. Целью преступников чаще всего является получение выкупа за ключ расшифровки, но иногда это может быть намерение снизить стоимость компании перед ее продажей или даже полностью остановить бизнес.

На фоне цифровизации бизнес-процессов и появления новых каналов взаимодействия бизнеса с внешним миром увеличивается и количество объектов ИБ, нуждающихся в защите. Например, это могут быть различные IoT-устройства (от датчиков до IP-камер) или удаленные сотрудники не обеспечиваются средствами ИБ так же тщательно, как офисные рабочие станции, что делает их более уязвимыми для атак и компрометаций.

По данным «Лаборатории Касперского», в 2023 году подобные кибератаки стали одним из самых распространенных способов попадания злоумышленников в корпоративную сеть. При этом, взломав одного подрядчика, злоумышленники могут получить доступ ко всем организациям, с которыми взаимодействуют его сотрудники.

Хакеры начинают все более активно использовать в своих целях и технологии искусственного интеллекта. Например, генеративные модели научились формировать фишинговые письма, адаптированные под специфику конкретной атакуемой организации, — без перерывов на обед и сон, одинаково хорошо на разных языках. Благодаря этому стоимость атаки для злоумышленников снижается, а ее качество и шанс на успех, наоборот, повышаются.

Это означает, что объем фишинговых атак будет и дальше кратно расти, а форматы реализации будут приобретать все более изощренные и реалистичные формы.

Персонал организаций традиционно остается главной причиной утечек данных и заражения корпоративной IT-инфраструктуры вредоносными программами. Сотрудники могут целенаправленно похищать конфиденциальную информацию в корыстных целях или по идейным соображениям — например, чтобы отомстить начальству. Но основная доля рисков связана с ненамеренными ошибками: например, переходами по фишинговым ссылкам или передачей паролей третьим лицам.

Специфическими российскими проблемами в этом смысле являются низкий уровень зарплат, ведущий к распространенности подкупа сотрудников для получения корпоративных данных, относительно небольшие штрафы за распространение персональных данных (у компаний нет сильного стимула их защищать), а также сложности с обновлением зарубежного оборудования и ПО (в обновлениях, как правило, содержатся патчи к выявленным уязвимостям).

Успешно проведенная кибератака может повлечь за собой ряд негативных последствий: от незначительных неудобств для компании до серьезных финансовых и репутационных потерь и даже риска выживания бизнеса. Причем это касается не только непосредственной жертвы киберинцидента, но и ее партнеров или клиентов. Например, широко распространены случаи, когда, заразив вирусным ПО небольшую и плохо защищенную компанию-подрядчика, злоумышленники используют ее для проникновения в инфраструктуру ее клиентов — более крупных жертв. До сих пор многие жертвы кибератак, чьи ресурсы оказались заблокированы вирусами, выплачивают злоумышленникам выкуп, это кажется им самым простым и недорогим способом восстановить данные.

При этом в современном цифровом мире пароли являются ключевыми элементами, обеспечивающими безопасность и конфиденциальность наших данных. И в случае слабой защищенности паролей бизнес неизбежно столкнется с той или иной проблемой и ее последствиями. Эксперты российской компании АБП2Б не только проанализировали все эти факторы, но и разработали решение, способное предотвратить утечки и свести к минимуму негативный эффект для бизнеса. Обо всем по порядку.

Итак, на 100% обезопасить компанию от утечек действительно невозможно. Хорошая новость — компания может минимизировать или полностью нейтрализовать последствия инцидента. Делается это достаточно просто.

От инцидентов кибербезопасности нет «иммунитета» даже у мировых IT-гигантов. Например, Positive Technologies в отчете «Утечки конфиденциальных данных из организаций — 1-е полугодие 2024» сообщает об утечке конфиденциальной информации Microsoft: в открытый доступ попал сервер хранения данных вендора, размещенный в его собственном облаке и не защищенный паролем.

Другой отчет ИБ-компании «Итоги пентестов 2023» демонстрирует уже российские реалии: в 96% пентестов организации оказались не защищены от проникновения злоумышленников в их внутреннюю сеть. Основная доля уязвимостей была связана с использованием устаревшего ПО, но при этом в 19% проектов были обнаружены уязвимости парольной политики.

Они рекомендуют придерживаться простых, но четких правил: установка требований к минимальной сложности пароля (от восьми знаков, содержит разные регистры и цифры, без использования комбинаций слов и т. д.), применение уникальных паролей для каждой учетной записи или ресурса, обновление паролей на периодической основе, использование парольных менеджеров для хранения паролей.

В такой ситуации роль парольных менеджеров становится все более весомой: они позволяют пользователям не запутаться в большом количестве паролей, своевременно их менять, не записывать их на бумаге или в текстовом файле на рабочем ПК, к которому может получить доступ злоумышленник.

Но и требований к парольным менеджерам становится больше. Безусловно, в корпоративной среде небезопасно использовать облачные решения, например встроенные парольные сервисы браузеров, но и в распространенных серверных решениях безопасность далеко не всегда находится на первом месте.

Кроме того, важно обращать внимание на функциональность цифрового инструмента. Хороший менеджер паролей должен содержать журнал событий, иметь гибкую настройку аудита безопасности паролей, возможность автоматической генерации.

Как эти требования реализуются в относительно новом решении на российском рынке? Рассмотрим на примере решения «ОдинКлюч» от петербургской компании АБП2Б.

Российский корпоративный менеджер паролей «ОдинКлюч» создавался с учетом всех современных требований к эффективному и надежному соблюдению парольной политики. Так, встроенный генератор гарантирует, что сотрудники каждый раз будут создавать сложные и надежные пароли: в нем можно выставить необходимую длину и виды символов. Причем эти пароли не придется запоминать: все они хранятся в зашифрованном виде на корпоративном сервере. Администратор системы может управлять доступом и мониторить активность сотрудников, но сами пароли не доступны даже ему.

Ключевое преимущество решения «ОдинКлюч» — в применении метода распределения секрета, известного как схема Шамира. Согласно этой схеме доступ к важной информации, такой, как пароли и ключи шифрования, распределяется между несколькими ответственными лицами. Таким образом, каждый из участников этой схемы обладает только частью общего секрета. И в отличие от других менеджеров паролей, даже если кто-то взломает сервер компании, он не сможет прочитать сохраненные там пароли.

«Представьте себе банковский сейф, для открытия которого нужны два ключа. Один ключ находится у менеджера банка, а другой — у директора. Только совместное использование обоих ключей позволяет получить доступ к содержимому сейфа. Аналогично работает и система разделения секретов в корпоративном менеджере паролей. Каждый участник обладает только частью информации, и только совместное использование всех частей позволяет получить доступ к секретным данным», — комментирует Валерий Холоденко, технический директор компании АБП2Б.

Помимо этого, АБП2Б при необходимости предоставляет заказчикам сертификаты и лицензии ФСТЭК и ФСБ, возможность выбора ГОСТ и других безопасных алгоритмов шифрования. Решение «ОдинКлюч» совместимо с российскими операционными системами Astra Linux, РЕД ОС и «Альт», может быть интегрировано как с Active Directory, так и с российской ALD Pro. Разработчик предоставляет заказчикам тестовый период эксплуатации, помощь при внедрении своего продукта и круглосуточную техническую поддержку.

Менеджер паролей должен стать неотъемлемой частью эшелонированной системы киберзащиты каждой организации наряду с антивирусными программами, файерволами (система, предотвращающая несанкционированный доступ к сети), DLP (софт для предотвращения утечек) и другими средствами ИБ.