22 ноября 2023

Как защитить бизнес от действий сотрудников в сети?

Насколько важны обучение и культура в области кибербезопасности? Какие меры могут быть предприняты для повышения киберграмотности сотрудников?

Эксперты в области кибербезопасности сходятся во мнении, что современные технические средства обнаружения и противодействия компьютерным преступлениям могут успешно предотвращать большинство сетевых угроз.  Сегодня корпоративные компьютерные сети довольно надежно защищены от внешних атак, и слабым звеном становятся… сотрудники компании.

Можно выделить несколько причин, по которым злоумышленники предпочитают нацеливаться на сотрудников, а не напрямую атаковать корпоративные компьютерные сети. Во-первых, это менее затратно. В основной массе сотрудники компаний на линейном и смежных уровнях обладают очень приблизительными знаниями как о киберпреступности, так и о способах защиты, поэтому могут легко стать жертвами атак хакеров, применяющих, например, методы социальной инженерии. А так как по роду свой деятельности эта категория сотрудников имеет доступ к источникам конфиденциальной информации или критически важным системам, то это делает их привлекательной мишенью.

Во-вторых, злоупотребляющий доверием или недовольный работодателем человек может добровольно идти на сговор с хакером, а это представляет значительный риск для любой организации. Хакеры могут манипулировать сотрудниками и побуждать их выполнять действия, ставящие под угрозу безопасность фирмы.

Предпосылки и основные каналы утечки

Первое — недостаточная осведомленность сотрудников о последних интернет-угрозах и практиках хакерских атак. Возможно, это наиболее частая причина нарушения правил корпоративной ИБ. Компании, которые не проводят регулярных тренингов по кибербезопасности, более подвержены атакам — их персонал не способен распознавать потенциальные угрозы и не знает, как надлежащим образом на них реагировать. Поэтому сотрудник может неумышленно загрузить вредоносное ПО на свой рабочий компьютер, посетить зараженный веб-сайт или перейти по фишинговой ссылке. Впоследствии хакер взламывает учетную запись данного сотрудника, чтобы получить несанкционированный доступ к конфиденциальным данным клиента или компании.

Второе — атаки методами социальной инженерии. Хакеры очень широко и успешно используют методы социальной инженерии, чтобы манипулировать поведением сотрудников, заставить их разгласить конфиденциальную информацию или предоставить несанкционированный доступ. Например, злоумышленник может представиться новым сотрудником компании или представителем службы поддержки, а затем в ходе диалога убедить свою жертву совершить какое-либо действие или поделиться учетными данными для входа в систему.

Третье — уязвимость удаленной работы. Дополнительные уязвимости могут возникнуть при получении доступа к корпоративным сетям компании через незащищенные домашние или общедоступные сети Wi-Fi. В этом случае хакер перехватывает незащищенное соединение Wi-Fi сотрудника, получает доступ к его рабочему компьютеру и впоследствии проникает в корпоративную сеть.

Четвертое — атака через третьих лиц. Хакеры могут нацеливаться на сотрудников партнерской компании и использовать ее в качестве стартовой площадки для проведения дальнейших атак. Например, хакер взламывает информационную систему подрядчика, а затем путем компрометации цепи поставок атакует целевую организацию.

Пятое — атака методом подбора и повторное использование паролей.  Атака методом подбора слов и перебора цифровых значений стала достаточно распространенной практикой киберпреступников. Современные хакерские базы данных содержат сотни миллионов наиболее распространенных значений или предсказуемых слов, которые пользователи выбирают для своих паролей. Достижение хакерских целей существенно облегчается, если жертва атаки использует один и тот же пароль для нескольких учетных записей. Например, для доступа к личным социальным сетям и корпоративным ресурсам. Если хакер получает пароль сотрудника от взломанного онлайн-мессенджера, вполне вероятно, что он сможет использовать его для доступа к рабочей учетной записи и электронной почте своей жертвы.

Шестое — слабый пароль. По данным исследований американской ИБ-компании Hive Systems за 2022 год, все пароли, которые содержат от шести до восьми символов, а также состоят только из цифр или строчных букв, можно взломать на современном компьютере примерно за 40 минут. Сложность пароля играет значительную роль: более длинные и сложные пароли, содержащие сочетание прописных и строчных букв, цифр и специальных символов, как правило, труднее взломать. Эксперты считают оптимальным использовать двухфакторную аутентификацию и 11-значный пароль, состоящий из цифр, букв верхнего и нижнего регистра, а также спецсимволов. В этом случае на его взлом без использования мощностей суперкомпьютеров хакерам понадобится около 34 лет.

Практические советы для защиты бизнеса

Не забывайте регулярно обновлять пароли доступа

Специалисты рекомендуют администраторам корпоративных сетей применять инструменты для борьбы со слабыми и скомпрометированными паролями, такие как Safepass, Azure Password Protection, Weak Pass Detector или Strongpass. Эти продукты имеют похожую функциональность.

Например, полностью отечественный инструмент проактивной защиты Strongpass может превентивно обнаруживать слабые и скомпрометированные пароли. Заложенные в функциональность групповые политики позволяют настроить минимально допустимую длину пароля, а также наличие букв, цифр и специальных символов. При очередной смене пароля инициируется автоматическая проверка его надежности, а также сравнение введенных значений со справочником из 847 млн слабых или скомпрометированных паролей.

При наличии корпоративного списка запрещенных паролей, составленного внутри компании, проводятся дополнительные проверки. По их итогам сотрудник получит одобрение на установку нового пароля или предложение придумать более устойчивый к взлому вариант.

Обучайте сотрудников и формируйте в команде среду корпоративной безопасности

 В компаниях набирает популярность практика тренингов по основам кибербезопасности для сотрудников, напрямую не специализирующихся на ней. Самая совершенная и идеально настроенная система защиты может давать сбои, если игнорировать обучение линейного персонала основам ИБ. Создание культуры осведомленности о киберугрозах — постоянная работа. Важно регулярно знакомить сотрудников с передовой практикой и адаптировать программу обучения по мере развития технологий и угроз.

Помимо этого, на уровне компании должна быть определена процедура немедленного информирования службы безопасности, ответственных сотрудников ИТ-службы или руководства о любых потенциальных инцидентах безопасности или выявленных подозрительных действиях. Сотрудники должны знать, что своевременное сообщение о подлинных причинах проблем не повлечет за собой негативных последствий.

Подготовьте программу обучения сотрудников

Предварительный этап подготовки будущей программы обучения включает в себя сбор данных о потенциальных рисках и критических точках в системе кибербезопасности, изучение конкретных ролей и должностных обязанностей сотрудников, а также разделение персонала по группам риска. Учебная программа должна охватывать основы компьютерной безопасности, включая управление паролями доступа, методы безопасного просмотра веб-страниц, безопасность электронной почты, осведомленность о социальной инженерии и защите данных.

Чтобы поддерживать вовлеченность сотрудников и способствовать сохранению знаний, желательно применять различные методы обучения. Например, дополнить учебный процесс интерактивными презентациями, практическими упражнениями, предлагать тематические исследования и викторины. Необходимо уделить внимание и практическому разбору реальных хакерских инцидентов или смоделированных сценариев, чтобы продемонстрировать потенциальные последствия, к которым могут привести нарушения мер безопасности.

Кроме того, стоит помнить о важности соблюдения дополнительных мер защиты. Например, необходимо выключать или блокировать рабочие станции, когда сотрудники находятся вдали от рабочих мест, избегать обмена конфиденциальной информацией в незащищенных средах, а также надежно хранить физические документы. 

Источник: IT World

Приглашаем на конференцию для директоров по маркетингу и PR-руководителей ИТ-компаний 

5 июня 2024

На мероприятии встретятся директора по маркетингу и PR-руководители крупных российских ИТ-компаний.

 

Экс-редактор Comnews присоединился к команде iTrend

30 мая 2024

На позицию руководителя проектов коммуникационного агентства iTrend вышел Денис Шишулин – ранее многолетний выпускающий редактор издательской группы ComNews, одного из самых авторитетных ИТ-изданий в России. В iTrend Денис будет отвечать за стратегическое руководство ряда PR-проектов с ИТ-компаниями, оперативное взаимодействие со СМИ, координацию работы команд, а также за качество проектов, которыми руководит в агентстве.

 

iTrend — в числе топ-агентств России по версии «Рейтинга Рунета»

28 мая 2024

Опубликованы итоги ранкинга коммуникационных агентств от «Рейтинга Рунета–2024». iTrend занял лидирующие места в ключевых для агентства срезах — PR в ИТ-отрасли, SMM в ИТ-отрасли, PR и SMM на аудиторию b2b enterprise, PR-аналитика, PR первых лиц и др.

 

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 
Все новости iTrend