BIS Journal №1(36)/2020

7 февраля, 2020

Кого взломают в 2020 году?

Мы опросили 1340 средних и крупных российских компаний финансового и промышленного секторов: по итогам 2019 года «детские болезни» кибербезопасности были побеждены. Более 92% компаний обладают полным набором базовой защиты от спама и вирусов, исправно устанавливают обновления операционных систем и актуальные версии прошивок сетевых устройств – это на 22% больше, чем двумя годами ранее.

Почти на четверть увеличилось количество крупных организаций, которые установили в своих сетях SIEM-систему последнего поколения, включили мониторинг доступности и настроили автоматическое создание заявок в случае срабатывания систем защиты.

Взломать такие сети и заразить сервера шифровальщиками заметно сложнее, а атаки тысяч автоматических роботов, которые круглосуточно ищут уязвимости в сетях компаний всего мира, не пройдут незамеченными – прекрасный результат, но скорее для 2015 года.

В 2020-м планка заметно выше: помимо базовых средств безопасности, реагирующих, когда враг уже на пороге и ломится в сеть, жизненно необходимы решения, которые защитят от последствий кражи паролей или уничтожения данных.

81% взломов корпоративных сетей происходит через украденные и подобранные пароли

После многочисленных кибератак и сливов похищенных данных более 4 000 000 000 паролей от учетных записей находятся в свободном доступе – любой желающий может загрузить такую базу данных из Интернета и использовать её для ускорения взлома.

Используете известный пароль – вас взломают.

Используете один и тот же пароль от почты и от сервера – вас взломают.

Используете похожие пароли от «Одноклассников» и от Active Directory – вас взломают.

Забыли поменять стандартный пароль от нового устройства – вас взломают.

Не меняли пароль более года – вас взломают.

Один и тот же пароль на нескольких устройствах – вас взломают ещё быстрее.

У кого-то из ваших специалистов есть описанные выше проблемы? Правильно, вас взломают.

Здесь стоит ещё раз отметить реалии 2020 года: настоящая армия роботов из сотен тысяч взломанных серверов по всему миру круглосуточно проверяет каждый (!) IP-адрес и старается взломать то устройство, которое за ним спрятано.

Тысячи камер видеонаблюдения – взломаны.

Сотни тысяч серверов – взломаны, добывают криптовалюту и взламывают соседей.

Миллионы компьютеров – взломаны и заражены программами-вымогателями.

Ради эксперимента мы арендовали сервер и оставили его в сети с несложным паролем – через 15 минут на нём было зарегистрировано более 20 успешных входов из нескольких стран, а ещё через полчаса на нём появился криптомайнер.

Лишь 44,3% опрошенных компаний серьёзно подошли к вопросу архивации электронной почты и документов, и только 23,9% действительно управляют паролями и защищают учётные записи системных администраторов.

Другими словами, с вероятностью более 50% вы в числе компаний, чьи методы защиты обойдут, а письма и документы безвозвратно уничтожат.

 

Управляйте паролями правильно!

Если у вас «угнали» учётную запись администратора, вы заметите это очень нескоро: взломщик «закрепится» в вашей сети, создаст для себя дополнительные входы, учётные записи, поправит политики, найдёт и усыпит бдительность систем защиты, а затем будет тащить ваши документы, удалять важные письма, раскрывать пароли остальных сотрудников, и об этом вы узнаёте только через полгода-год.

Хакеры продолжают иметь доступ к взломанным устройствам более 206 дней, прежде чем их заметят.

«Что же делать?» – не спросите вы, а зря!

За последние пять лет на рынке появились простые в использовании программы, которые умеют управлять учетными записями администраторов и паролями от устройств так, что даже если взломщик подберёт пароль, он всё равно не получит всех прав, его действия будут записаны, а через некоторое время пароль будет изменён.

Речь идёт о программах Thycotic: Secret Server и Privilege Manager. Эти решения позволяют хранить пароли в зашифрованном хранилище, распределять доступы в соответствии с должностями сотрудников, вести аудит подключений к серверам и устройствам с видеозаписью, а также менять пароли по расписанию с учётом сложных взаимосвязей между серверными приложениями – когда у вас несколько администраторов, зоопарк из десятков различных систем и сотни локальных и доменных учетных записей, такая система просто необходима!

Администратор подключается к серверам и сетевым устройствам из списка разрешённых через удобный интерфейс, при этом Thycotic Secret Server скрывает от него пароль, который используется для подключения, предоставляя лишь одноразовую защищённую сессию, записывает факт подключения и разрешает запускать только те приложения, которые необходимы для работы.

Таким образом, внешний или внутренний нарушитель не получит неограниченного доступа, не узнает паролей в чистом виде, а все его действия будут записаны и отправлены в SIEM-систему или Thycotic Privileged Behavior Analytics для автоматической аналитики.

Чтобы снизить риски, в продукт добавлена двухфакторная аутентификация: для входа в систему администратору потребуется ввести одноразовый код, который генерируется на его мобильном телефоне или ином устройстве, – взломщику придётся украсть и его.

Для внешних подрядчиков и службы технической поддержки можно выдавать одноразовые пароли с ограниченным сроком действия по заявкам, причём доступ будет ограничен не только списком серверов, но и перечнем приложений и команд, которые разрешено выполнять.

При увольнении или найме сотрудника Thycotic Secret Server позволяет отозвать или выдать доступы до систем в соответствии с любым процессом, который заведён в вашей компании: например, можно сделать так, что доступ будет выдаваться только с разрешения всех руководителей.

Все подключения и действия записываются – выявить нарушителя и провести расследование становится значительно проще.

Описанные функции доступны не только людям, но и программам: получать актуальные пароли, участвовать в процессе их смены и попадать в отчёты могут сканеры уязвимостей, клиенты баз данных, системы CRM и ERP и даже приложения, которые разработали вы сами, – для этого Thycotic предоставляет мощный программный интерфейс (API).

Соответствуйте стандартам SOX, PCI DSS, HIPAA, Basel II и MASS 201/CMR/17 с Thycotic без лишних усилий. Это полезно не только крупным компаниям, банкам и медицинским учреждениям, но и любой организации, заботящейся о грамотном обеспечении безопасности сети.

Продукт устанавливается и настраивается со всеми подготовками для полноценного использования всего за несколько часов. Загрузить можно уже сейчас на веб-сайте: www.Thycotic.ru

 

Перед установкой вы можете проконсультироваться со специалистами:

info@thycotic.ru
+7 495 223 35 33 (Москва)
  8 800 550 52 23 (бесплатно по РФ)

 

Архивация почты. Поиск и расследования

Один из основных каналов утечки информации – электронная почта.

Электронная почта – это и основной метод обмена информации, и историческое хранилище большинства передаваемых документов, требований и отчетов аудиторов, и популярный канал утечки информации, и важнейший инструмент расследования инцидентов.

Не архивируете электронную почту – потеряете письма.

Архивируете средствами почтового сервера – погубите сервер и потеряете письма.

Архивируете резервным копированием сервера – потеряете письма с даты последней копии.

Проблема архивации электронных писем становится еще актуальнее, если у вас больше одного почтового сервера, будь то резервные, дополнительные, почтовые сервера в филиалах или поглощенных компаниях.

Актуальные стандарты безопасности: «Электронная почта должна архивироваться»

«Должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры доступа к информации архива и ее изменения, предусматривающие возможность доступа работников службы ИБ к информации архива», — разумно дополняет СТО БР ИББС.

Читатель, знакомый с функциями популярных почтовых серверов, догадается, что стандартными средствами эту задачу не решить даже «для галочки», не говоря уже о разумном подходе для снижения рисков, уменьшения стоимости последствий и обеспечении себя инструментами для выявления утечек и нарушителей.

Но не стоит отчаиваться, даже если у вас 20 почтовых серверов, 30 ТБ электронной почты, требуется централизованная архивация, дублирование в два дата-центра и сохранение возможности поиска по всему архиву любых цепочек писем, включая поиск по тексту прикрепленных документов и изображений – на рынке уже 15 лет существует решение MailArchivaEE, которое умеет все перечисленное.

Вся разработка MailArchiva ведется в России, но сам продукт изначально был ориентирован на зарубежный рынок, где насчитывается более 7 000 установок. Крупнейшая установка MailArchiva EE включает более 500 000 почтовых ящиков с хранилищем в 2 петабайта (2 000 000 ГБ) писем. На январь 2020 года идет реорганизации компании для добавления продукта в реестр отечественного ПО.

На территории России MailArchiva ЕЕ используют такие компании, как ФК «Открытие», Ярославский шинный завод, входящий в холдинг «Кордиант», ВТБ24, Кит Финанс, Связной и другие организации схожего объема. Всем клиентам MailArchiva EE успешно помогает соответствовать Sarbanes Oxley Act, Gramm-Leach Bliley Act, Basel II, СТО БР ИББС в части защиты электронной почты и проведения расследований на базе электронной почты.

Пользоваться MailArchiva EE действительно удобно: найти любую цепочку писем можно по десятку различных параметров, включая ключевые слова из приложенных файлов (поддерживается 100 различных форматов), причем тексты для поиска распознаются даже в изображениях и PDF-документах, а «собирать» поисковый запрос можно удобным конструктором. На выходе вы получите граф связей между отправителями и получателями среди найденных писем, а также сможете подписаться на периодические отчеты о новых результатах.

Часть клиентов используют MailArchiva EE, как незаменимого помощника для решений DLP, которые не справляются с большим потоком писем: система DLP подключается к архиву через специальный программный интерфейс и просматривает письма в удобном для себя режиме, не мешая почтовому потоку.

Приятным эффектом станет ускорение ваших почтовых серверов за счет удаления старых писем и тяжелых встроенных архивов – оставьте почтовому серверу только его основные функции, ради которых он у вас работает.

В отличие от похожих решений, для MailArchiva EE не требуется покупать дорогостоящую лицензию на СУБД, а для хранения можно использовать существующие локальные сетевые и облачные хранилища, причем архив будет храниться в зашифрованном виде.

Теперь, если у кого-нибудь все-таки получится вас взломать, украсть одноразовый пароль администратора, незаметно обойти все эшелоны защиты, воспользоваться 0day для повышения привилегий на атакуемой системе, а затем уничтожить всю вашу почту – вы вернете все утерянные письма за любой период до самого последнего письма.

Начните использовать MailArchiva EE уже сегодня! Удобный инструмент поможет импортировать в архив всю накопленную переписку и получить выгоду от архивации писем с первых же дней работы. Все письма хранятся в зашифрованном виде.

Узнать больше, заказать демонстрацию и получить копию можно на веб-сайте:
www.MailArchiva.ru

Перед установкой вы можете проконсультироваться со специалистами:

info@afi-d.ru
+7 495 223 35 33 (Москва)
  8 800 550 52 23 (бесплатно по РФ)

 

ООО «АФИ Дистрибьюшн»

Российская компания-дистрибьютор решений Aventri, Altaro, GFI, MailArchiva и Thycotic.

Компания оказывает консультации, техническую поддержку, предлагает бесплатную демонстрацию решений на русском языке, помогает в подборе решений, а также проводит обучение компаний-интеграторов и специалистов-заказчиков.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных