Серьезные киберинциденты — хороший повод улучшить ситуацию в сфере не только ИБ, но и IT. Руководство готово выделять ресурсы и искренне заинтересовано в позитивных изменениях, но нужно реалистично оценивать масштабы работ и бюджета. Какие меры внесут наибольший вклад в предотвращение новых инцидентов и минимизацию последствий?
Процесс подготовки к будущим кибератакам называется повышением киберустойчивости (cyber-resilience). Это не просто теоретическое «улучшение защиты». Киберустойчивость — это способность организации работать в условиях кибератаки или другого киберинцидента. Она подразумевает наличие технических и организационных мер для обнаружения, реагирования и восстановления после подобных инцидентов, способность адаптироваться и извлекать из них уроки. Это понятие включено в стандарт ISO/IEC 27001.
На практике запрос многих организаций звучит проще и понятнее: «как сделать, чтобы ransomware к нам не влезли, а если все же влезут, чтобы ничего не испортили»? На этот вопрос мы и постараемся ответить.
С чего начать?
Список методологий и продуктов, которые могут сыграть роль в предотвращении атак и уменьшении их последствий, почти бесконечен. Выставлять приоритеты надо, оценивая риски и ущерб от различных ИБ-инцидентов, предотвращая наиболее вероятные атаки из фреймворка ATT&CK и применяя один из многочисленных плейбуков по снижению конкретных рисков (пример 1, пример 2). Но есть важные первые шаги. Чтобы не распылять усилия, мы рекомендуем ориентироваться на несколько фундаментальных решений, эффект от внедрения которых настолько значителен, что остальные проекты почти наверняка стоит отложить, пока эти «основы» не реализованы. Все решения из списка значительно снижают риск самых распространенных атак, упрощают реагирование на инциденты и снижают ущерб, если проникновение все же произошло.
Если чего-то из этого списка в организации нет, внедрение желательно начать сегодня.
Мы будем много раз подчеркивать, что описанные технологии надо внедрять «на всех компьютерах организации». Это означает — на всех применяемых для работы устройствах (включая ноутбуки и смартфоны, в том числе и личные), всех серверах, виртуальных и контейнеризованных нагрузках. Здесь есть крупный подводный камень — теневое IT. Возможно, вы не знаете о существовании каких-то компьютеров и серверов. Поэтому начать стоит с инвентаризации всех IT-активов, чтобы политики гарантированно покрывали всю инфраструктуру организации.
EDR — Endpoint Detection and Response
Все компьютеры, включая серверы и виртуальные машины, должны иметь установленный агент EDR с активированными функциями по блокировке угроз. EDR — одна из базовых технологий защиты, объединяющая функции «антивируса» с мониторингом и реагированием, нужными для более сложных ИБ-систем.
Убедитесь, что вы можете получать телеметрию со всех компьютеров, поскольку она потребуется любому внутреннему или внешнему ИБ-специалисту для быстрого разбора возможных инцидентов. Лидирующие производители, такие как «Лаборатория Касперского», автоматически блокируют значительное большинство рядовых киберугроз, поэтому убедитесь, что функции по блокировке известной вредоносной активности включены на всех компьютерах согласно единой политике.
MFA — MultiFactor Authentication
По разным оценкам, от 60 до 80 процентов кибератак начинаются с воровства учетных записей. Именно поэтому защищать доступ к компьютерным системам одним только паролем давно нельзя, его слишком легко подобрать, угадать, украсть. В систему можно пускать только после многофакторной аутентификации пользователя. Чаще всего факторов два (пароль и код), поэтому ее нередко называют двухфакторной. Наиболее экономически эффективны решения на базе приложения-аутентификатора, но в зависимости от специфики организации и должности сотрудника это может быть и любая комбинация из приложения, USB-токена, биометрии и так далее. В целом MFA рекомендована для всех систем организации, но в приоритетном порядке разворачивать ее нужно для сервисов, которые доступны извне, например e-mail и VPN.
Защищенные резервные копии
Резервные копии давно уже защищают организацию не только от пожаров и отказа оборудования. Они помогают и от ряда кибератак. Вымогатели прекрасно об этом знают, и почти каждая атака ransomware сопровождается целенаправленным удалением резервных копий информации. Поэтому стратегия резервного копирования должна учитывать все сценарии: оперативное восстановление из легкодоступной копии на случай поломки оборудования или другого IT-инцидента и гарантированное восстановление в случае атаки шифровальщика. Весьма вероятно, что для этого потребуются две разные резервные копии. Устойчивостью к ransomware обладают копии, хранящиеся на физически отключенных от сети носителях (это не очень удобно, но надежно), а также копии на «неизменяемом» облачном хостинге, где данные можно дописывать, но не заменять и удалять (это удобно, надежно и, возможно, дорого). После того как «неудаляемая» резервная копия создана, проведите учения по восстановлению данных из нее, чтобы убедиться в том, что это возможно, и заодно оценить время на восстановление (это, кроме всего прочего, позволит вашей команде быстрее справиться с задачей в случае реальной атаки).
Управление приложениями и патчами
На всех компьютерах организации, будь то десктоп, виртуальный сервер или ноутбук сотрудника в командировке, должны быть установлены инструменты, которые позволяют администраторам управлять машиной дистанционно. Среди критически важных действий — диагностика компьютера (проверка наличия и уточнение версии приложений, проверка состояния сети, работоспособности VPN, обновлений EDR и так далее), установка приложений и обновлений, проверка на уязвимости и тому подобное.
Эти инструменты крайне важны как в повседневной работе, так и во время противодействия инциденту. При повседневной работе они обеспечивают хорошую кибергигиену, например установку важных обновлений безопасности на всех компьютерах в короткий срок. Во время инцидентов может потребоваться, например, запуск специализированной утилиты на всех компьютерах организации или установка сертификата — и только системы администрирования позволяют сделать это в разумные сроки, в том числе для дистанционных сотрудников.
Для решения такой задачи лучше всего подходят UEM-системы, позволяющие управлять разнообразными устройствами, включая корпоративные и личные компьютеры и смартфоны, и применять к ним политики компании. Но можно вооружиться и более узкоспециализированными решениями, такими как системы патч-менеджмента, VNC/RDP и так далее.
Уникальные пароли
Управление привилегированным доступом и безопасность учетных данных (identity security) — очень широкая тема. Грамотно выстроенная identity security повышает защищенность организации, одновременно упрощая жизнь сотрудников. Но полноценная реализация ее принципов может быть длительным проектом, поэтому в качестве первого шага можно избавиться от самых больших проблем, в частности, убедиться, что каждый компьютер в организации защищен уникальным паролем локального администратора. Используйте бесплатное решение LAPS для внедрения этой меры. Эта простая предосторожность не позволит атакующим быстро двигаться по сети, компрометируя компьютеры один за другим с помощью одного и того же пароля.
Минимизация уязвимых сервисов
Регулярно сканируйте IP-адреса организации из Интернета, чтобы убедиться, что в глобальную сеть не «выглядывают» серверы и сервисы, которые должны быть доступны только в локальной сети компании. Если в Интернете неожиданно «засветился» ненужный сервис, быстро примите меры, чтобы заблокировать доступ к нему извне. Если же сервис действительно должен быть доступен из Интернета, регулярно применяйте к нему обновления безопасности и защитите его с помощью MFA. Особенно важны эти меры для таких излюбленных хакерами мишеней, как консоли веб-управления, RDP, Telnet/SSH, SMB, SNMP, FTP. Предполагайте, что любой сервис, видимый из Интернета, сканируют на уязвимости, простые пароли и прочие дефекты практически ежедневно.