Мифы и предрассудки — неизбежные спутники любой отрасли знаний. Наша сфера, какой бы практической в основе своей она ни была, — не исключение: недостатка в легендах, в живучих и заразных заблуждениях в сфере информационной безопасности нет. В этой заметке я кратко коснусь семи наиболее популярных, а потому наименее безобидных мифов вокруг защиты корпоративной инфраструктуры и обеспечения сохранности данных.
Миф 1: «Меня это не коснётся, потому что моя компания не настолько знаменита или работает в той сфере, в которой хакерам ловить нечего».
Что ж, возможно, так и есть. Однако как только у вас появляется что-то, что можно предложить широкой публике, злоумышленники тоже этим, скорее всего, заинтересуются. И попытаются нажиться — за ваш счёт, естественно. И по большому счёту, им всё равно, что это. Хакеры будут выбирать совершенно произвольные мишени, вопрос заключается лишь в наличии уязвимых мест в сетевой инфраструктуре и возможности получить доступ к каким-либо внутренним данным.
Кроме того, подход в духе «меня это не коснётся» является уязвимостью сам по себе: с уверенностью в отсутствии угроз неизбежно приходит беззаботность, граничащая с безалаберностью. Зачем устанавливать патчи, зачем вообще обновлять программное обеспечение, если оно и так работает? Зачем ставить патчи, даже если разработчик объявляет о том, что таким образом закрывается какая-то критическая уязвимость? И так до тех пор, пока не начнутся совершенно реальные проблемы, и окажется, что принцип «авось пронесёт» не работает.
Миф 2: «Киберпреступники предпочтут атаковать крупную корпорацию, нежели мелкую, ничего не значащую фирму».
Тоже неверное предположение. Как уже сказано выше, киберпреступники подбирают себе жертв, подчас просто сканируя случайные сети и серверы на предмет возможных «точек входа». Крупные компании, как правило, осознают, что могут хотя бы в теории привлекать повышенное внимание со стороны злоумышленников, потому они с большим вниманием и большей щепетильностью будут относиться к защите своей инфраструктуры, нежели мелкие фирмы, которые надеются, что их не затронет (см. Миф 1) и экономят даже на базовой защите. Злоумышленники прекрасно это понимают, поэтому как раз представители малого бизнеса скорее окажутся мишенью, нежели крупные корпорации.
Миф 3: «Хороший антивирус решит все мои проблемы».
К сожалению, это уже давно не соответствует действительности. Антивирус — это, естественно, один из краеугольных камней системы защиты корпоративной сети, но сводить всё к нему уже невозможно. Сегодняшний ландшафт угроз очень разнообразен, так что ограничиваться только антивирусом — всё равно, что пытаться отгородиться колючей проволокой от высокоточного оружия. Один антивирус, даже лучший из лучших, не защитит от эксплойтов нулевого дня, взломов, фишинга, подбора паролей и ряда других угроз. Это, однако, не означает, что антивирус не нужен.
Миф 4, антитеза Мифу 3: «Решение, обеспечивающее безопасность корпоративной сети, — это просто антивирус, от более серьёзных угроз он нас не защитит».
Отождествление антивируса и защитного решения в целом — это, к сожалению, атавизм, но атавизм живучий. Говорим «безопасность» — подразумеваем «антивирус», хотя решения корпоративного уровня включают в себя множество других инструментов: фильтр сетевого трафика, защиту от хакерских атак, от фишинга; средства защиты от эксплойтов нулевого дня, такие как, например, наша технология Automatic Exploit Prevention, контроль над запуском приложений, сканеры уязвимостей в ПО и т.п. Все эти инструменты разрабатываются как раз затем, чтобы защищать корпоративные сети от любых актуальных угроз.
Миф 5: «Разработчики решений по безопасности предлагают только сигнатурный метод выявления угроз, а этого недостаточно».
Добросовестное, но заблуждение. На сегодняшний день метод выявления вредоносного софта по сигнатурам, безусловно, самый отработанный и эффективный с точки зрения затрат времени и ресурсов. Но это не означает, что другие методы не используются. В наших решениях используются эвристический анализ и проактивные технологии, и без них было бы невозможно предотвращать атаки с использованием ранее неизвестных вредоносных программ.
Например, уже упомянутая технология Automatic Exploit Prevention позволяет блокировать эксплойты, сигнатуры которых ещё не занесены в антивирусные базы. Это делается, в том числе, за счёт анализа поведения легитимного программного обеспечения и немедленной блокировки любых несанкционированных процессов, указывающих на возможную попытку эксплуатации уязвимостей.
Кроме того, наш сервис Kaspersky Security Network постоянно собирает данные о свежих атаках по всему миру, помогая справиться с только появившимися угрозами.
В целом же, по-настоящему эффективную защиту может обеспечить комбинация всех возможных методов, использовать сегодня лишь какой-то один бессмысленно.
Миф 6: «Шифрование данных — это для параноиков».
На это придётся ответить поговоркой: параноики живут дольше. Паранойя бывает патологической, а бывает вполне здоровой, особенно когда речь идёт о безопасности критически важных данных.
На протяжении последних нескольких лет неоднократно происходили масштабные утечки персональных данных со взломанных серверов транснациональных компаний. Самый, вероятно, громкий случай — это кража личных данных миллионов пользователей Sony Playstation Network. Данные эти хранились в незашифрованном виде, так что злоумышленники могли делать с ними всё, что им заблагорассудится.
Несколько недель назад генеральная прокуроратура штата Калифорния выпустила отчёт, в котором указывалось, что за последний год личные данные более чем 2,5 млн. жителей одной только Калифорнии оказались под угрозой по самым разным причинам — от действий злоумышленников до потерь ноутбуков, на которых хранилась чья-то персональная информация. По подсчётам прокуратуры, масштабы угрозы могли бы быть почти вдвое меньше, если бы операторы личных данных не пренебрегали их шифрованием. Генеральная прокуратура штата рекомендует в законодательном порядке закрепить необходимость такого шифрования, если речь идёт о личной информации людей.
Миф 7: «Мы убрали все критически важные данные с локальных компьютеров на внешний «облачный» сервис. Его провайдер уверяет, что у них «заоблачный» уровень защиты, так что я теперь чувствую себя в большей безопасности».
Не хотелось бы мешать наслаждаться жизнью, однако неизбежно возникает целый ряд вопросов. Во-первых, вы знаете, какие именно решения по защите использует ваш «облачный» провайдер? Вы действительно уверены в их «заоблачной» эффективности? Вы уверены, что сохраняете полный контроль над своими данными, используя чью-то стороннюю инфраструктуру? И, наконец, у вас есть резервные копии данных где-то ещё?
Проблема в том, что само по себе использование разных решений для информационной защиты в разных компонентах инфраструктуры (а сюда, понятное дело, входят как локальные, так и внешние ресурсы) — это потенциальная брешь в безопасности.
Если какая-то часть работы выводится на аутсорс, критически важно держать под постоянным контролем данные, поступающие с внешних сервисов. Мы неоднократно наблюдали, как из арендуемых мощностей в локальные корпоративные сети просачивался вредоносный софт, которого, казалось бы, там, в «облаках», быть не должно.
Если нет возможности наладить общую, централизованную защиту и для собственных сетей, и для сервисов организации совместной работы, то между ними необходимо поставить заслон, проверять каждый поступающий извне файл и исключить возможность доступа вредоносных программ к важным данным внутри локальных ресурсов.
Конечно, перечисленными заблуждениями «мифология» в нашей отрасли не исчерпывается, приведены лишь самые, как сказано выше, распространённые и живучие. В большинстве своём они выглядят как своего рода благовидные предлоги сэкономить на средствах безопасности. Но такой подход ошибочен в основе своей. Это подтверждают многочисленные инциденты, после которых выясняется, что пострадавшие пренебрегали базовыми инструментами защиты в надежде, что их эти проблемы не затронут.