Как защититься от киберугроз
Полезные советы для корпоративных пользователей
У хорошего хозяина все учтено и посчитано, даже если это все виртуальное. Обязательно настройте инвентаризацию ресурсов, доступных для подключения из Интернета, и постоянно анализируйте их защищенность. Базовые рекомендации ИТ-безопасности: использовать безопасное программное обеспечение и эффективные технические средства защиты, защищать данные и ПО, – включают множество пунктов. Прочтите их все – это может вам пригодиться.
Не экономьте на безопасности:
- используйте только лицензионное ПО;
- своевременно обновляйте используемое ПО.
Не допускайте использования простых паролей:
- применяйте парольную политику, предусматривающую строгие требования к минимальной длине и сложности паролей;
- при аутентификации с помощью пароля всегда требуйте использование дополнительных факторов;
- следите за тем, чтобы пароли, используемые вашими пользователями, не были словарными (то есть не находились в списках, наиболее часто используемых злоумышленниками при переборе паролей);
- анализируйте поведение пользователей и выявляйте признаки потенциальной компрометации учетных данных;
- смените стандартные пароли на новые, удовлетворяющие строгой парольной политике;
- современный тренд – полный отказ от паролей в пользу средств многофакторной аутентификации или средств беспарольного входа.
Защищайте данные:
- не храните чувствительную информацию в открытом виде или в открытом доступе;
- регулярно создавайте резервные копии систем и храните их на выделенных серверах отдельно от сетевых сегментов рабочих систем;
- минимизируйте, насколько это возможно, привилегии пользователей и служб и ограничьте по времени владение привилегированным доступом;
- используйте разные учетные записи и пароли для доступа к различным ресурсам;
- применяйте многофакторную аутентификацию везде, где это возможно, особенно для защиты привилегированных учетных записей.
Используйте эффективные технические средства защиты:
- Системы централизованного управления уязвимостями для используемого ПО. Для правильной приоритизации планов по обновлениям необходимо учитывать сведения об актуальных угрозах безопасности.
- Системы антивирусной защиты со встроенной изолированной средой («песочницей») для динамической проверки файлов способные выявлять и блокировать вредоносные файлы в корпоративной электронной почте до момента их открытия сотрудниками и другие вирусные угрозы. Наиболее эффективным будет использование антивирусного ПО, построенного на решениях одновременно нескольких производителей, способного обнаруживать скрытое присутствие вредоносных программ и позволяющего выявлять и блокировать вредоносную активность в различных потоках данных — в почтовом, сетевом и веб-трафике, в файловых хранилищах, на веб-порталах. Важно, чтобы выбранное решение позволяло проверять файлы не только в реальном времени, но и автоматически анализировало уже проверенные ранее, это позволит выявить не обнаруженные ранее угрозы при обновлении баз сигнатур.
- Специализированные сервисы анти-DDoS.
- SIEM и SOAR-решения — для своевременного выявления и эффективного реагирования на инциденты информационной безопасности. Это позволит своевременно выявлять злонамеренную активность, попытки взлома инфраструктуры, присутствие злоумышленника и принимать оперативные меры по нейтрализации угроз.
- Автоматизированные средства анализа защищенности и выявления уязвимостей в инфраструктуре.
- Межсетевые экраны уровня приложений (web application firewalls) — в качестве превентивной меры защиты веб-ресурсов.
- Системы глубокого анализа сетевого трафика — для обнаружения сложных целевых атак как в реальном времени, так и в сохраненных копиях трафика. Применение такого решения позволит не только увидеть не обнаруженные ранее факты взлома, но и в режиме реального времени отслеживать сетевые атаки, в том числе запуск вредоносного ПО и хакерских инструментов, эксплуатацию уязвимостей ПО и атаки на контроллер домена. Такой подход позволит существенно снизить время скрытного присутствия нарушителя в инфраструктуре, и тем самым минимизировать риски утечки важных данных и нарушения работы бизнес-систем, снизить возможные финансовые потери от присутствия злоумышленников.
Контролируйте безопасность систем:
- проверяйте и повышайте осведомленность сотрудников в вопросах информационной безопасности;
- контролируйте появление небезопасных ресурсов на периметре сети; регулярно проводите инвентаризацию ресурсов, доступных для подключения из Интернета; анализируйте защищенность таких ресурсов и устраняйте уязвимости в используемом ПО; хорошей практикой является постоянный мониторинг публикаций о новых уязвимостях: это позволяет оперативно выявлять такие уязвимости в ресурсах компании и своевременно их устранять;
- эффективно фильтруйте трафик для минимизации доступных внешнему злоумышленнику интерфейсов сетевых служб; особое внимание стоит уделять интерфейсам удаленного управления серверами и сетевым оборудованием;
- регулярно проводите тестирование на проникновение для своевременного выявления новых векторов атак на внутреннюю инфраструктуру и оценки эффективности принятых мер по защите;
- регулярно проводите анализ защищенности веб-приложений, включая анализ исходного кода, с целью выявления и устранения уязвимостей, позволяющих проводить атаки, в том числе на клиентов приложения;
- отслеживайте количество запросов к ресурсам в секунду, настройте конфигурацию серверов и сетевых устройств таким образом, чтобы нейтрализовать типичные сценарии атаки (например, TCP- и UDP-флуд или множественные запросы к БД).
Позаботьтесь о безопасности как ваших сотрудников, так и клиентов:
- повышайте осведомленность в вопросах ИБ;
- регулярно напоминайте о правилах безопасной работы в Интернете, разъясняйте методы атак и способы защиты;
- предостерегайте от ввода учетных данных на подозрительных веб-ресурсах и тем более от сообщения такой информации кому бы то ни было по электронной почте или во время телефонного разговора;
- разъясняйте порядок действий в случае подозрений о мошенничестве;
- уведомляйте о событиях, связанных с информационной безопасностью.