Глоссарий по информационной безопасности

Способ хранения информации, который позволяет не потерять данные в случае выхода из строя оборудования, либо при попытке случайного или преднамеренного удаления. Хранение информации в облаке более надежно и обеспечивает защиту от человеческого фактора. Инструменты содержат в себе средства резервного копирования данных, например, Microsoft Azure представляет собой базовое решение для архивации и восстановления данных. Даже если локальный архив был потерян или испорчен, резервная копия в дата центре будет храниться столько, сколько необходимо.

Способ идентификации пользователей, который позволяет отказаться от паролей и выполнять ее с помощью других методов: через привязанное мобильное устройство, аппаратный ключ, биометрические данные и т.д. Беспарольная аутентификация более безопасна, поскольку её весьма затруднительно произвести без личного присутствия пользователя, а также более удобна, поскольку не нужно менять пароль каждые n-дней.

Любой софт, может иметь уязвимости. Зачастую они исправляются до того, как станут публичными, но бывают ситуации, когда между появлением вредоносных приложений, которые используют уязвимости и выходом патча может пройти несколько дней. Данные о такого типа уязвимостях называются атаками нулевого дня. Обеспечить защиту рабочих станций от них могут помочь технические средства, например, модуль Vulnerability Assessment сервиса Microsoft Defender for Endpoint. Он сообщит об уязвимостях и серверах, на которых присутствует уязвимое ПО, а также программных поправках (патчах), которые нужно установить.

Вирус-шифровальщик – способ проникновения в систему, с помощью которого злоумышленники не только шифруют документы, но и архивы, а также удаляют теневые копии. Чтобы обезопасить себя, пользователи могут автоматически сохранять копии в облаке. Все предыдущие версии документов также будут сохраняться. Если файлы были зашифрованы или удалены – они будут восстановлены, сколько бы изменений в них не сделали.

Основная угроза, связанная с мобильными устройствами, следующая: устройства личные, а информация на них может быть и корпоративной̆. Если сотрудники компании работают с мобильных телефонов с корпоративной почтой или документами, вы должны иметь возможность защитить данные, принадлежащие компании. Подключение мобильных телефонов к сервису MEM (Microsoft endpoint manager) даст возможность настроить телефоны сотрудников более безопасно, а также удалить рабочие данные при увольнении сотрудника или в случае кражи и потери устройства.

Лучшим способом защиты от вирусов является антивирус. Он обязательно должен быть у каждого. Именно поэтому операционные системы Windows 10 и Windows 11 имеют встроенный и бесплатный антивирус.

Вредоносные вложения электронной почты – одна из наиболее распространенных угроз. Например, это могут быть макросы, которые передают данные с вашего ноутбука или шифруют другие документы. Внешне они могут быть идентичны с обычными файлами. Поэтому для обеспечения защиты пользователей, электронная почта от Microsoft автоматически тестирует поведение документов до того, как письмо попадет в почтовый ящик. Если поведение похоже на подозрительное, то письмо будет доставлено без вложения.

Для получения несанкционированного доступа хакеры могут рассылать письма, содержащие вредоносные ссылки, похожие, например, на настоящие сайты банков, и переход по ним может закончиться скачиванием вируса, потерей доступа к банку, площадке для торгов и т.д. В связи с этим существуют способы автоматизированной защиты, которые позволяют проверять каждый переход по ссылке из электронного письма или документа в момент клика по ней. Если ссылка ведет на вредоносный сайт, то переход будет заблокирован.

Технология для защиты документов путем их шифрования и назначения прав на доступ к ним другим пользователям, например, Azure Information Protection. Они позволяют обеспечить безопасность в случае утечки документов за пределы организации.

В большинстве компаний используются различные операционные системы, и зачастую они отличаются от тех ОС, которые установлены на рабочих станциях. Приложения, базы данных, контейнеры, в основном, работают на ОС Linux. При этом, встроенная защита на Linux весьма ограничена. Обеспечить защиту от уязвимостей могут помочь решения класса Endpoint Detection & Response (EDR), которые предоставляют в облако для анализа информацию о процессах, и, если файлы или поведение пользователя подозрительны, они будут заблокированы.

Доступ к почтовым ящикам, данным и различным службам контролируется с помощью учетных данных, например имени пользователя и пароля или ПИН-кода. Если кто-то посторонний украдет эти учетные данные, они считаются скомпрометированными. Имея их, злоумышленник может войти в почтовый ящик или службу как настоящий пользователь и совершить незаконные действия, например отправлять электронные письма от имени настоящего пользователя получателям в организации и за ее пределами. Когда происходит отправка данных по электронной почте внешним получателям, имеет место их утечка – что может представлять серьезные риски. В связи с этим необходимо уделять внимание защите учетных записей, например использовать многофакторную идентификацию пользователей при запросе доступа к данным.

Использование ИТ-администраторами одного аккаунта с большим количеством привилегий может повлечь серьезные угрозы для безопасности организации в случае его компрометации. Именно поэтому им необходимо иметь несколько учетных записей с разными полномочиями, например, аккаунт без привилегии для работы в интернете, аккаунт для администрирования рабочей станции, аккаунт для администрирования сервера, аккаунт для администрирования домена и т.д. При таком подходе даже в случае компрометации одного из них злоумышленник не получит всех привилегий.

Компании хранят множество данных на разных ресурсах, в разных форматах: портал, электронная почта, файловые серверы, базы данных и тд. Сотрудники далеко не всего осознают уровень конфиденциальности данных, что может привести к их утечке и репутационным и финансовым рискам. Для обеспечения защиты информации, необходимо классифицировать данные – часть из них можно классифицировать автоматически с помощью различных сервисов, а оставшаяся – должна быть классифицирована сотрудниками. В этом случае, к ним можно применить настройки защиты от утечки, в соответствии с классификацией.

Способ дополнительной проверки пользователей, например с помощью телефонного звонка, смс, подтверждения в мобильном приложении или ввода цифр из мобильного приложения. Современные технологии предлагают возможность гибкой настройки, например, не требовать второй фактор при работе с IP-адреса компании, но требовать при работе из дома.

В любой компании, особенно крупной, существует ряд систем, слабо связанных друг с другом: разные системы аутентификации, разные менеджеры, администраторы и т.д. Это значительно усложняет управление безопасностью, поскольку нет «единого окна». Решением данной проблемы может стать внедрение централизованного Security Operations Center (SOC). SOC (Security Operations Center, или Центр обеспечения безопасности) – то, что объединяет людей, процессы и технологии для снижения рисков через повышение уровня киберзащиты в организации. По сути, это отдельное подразделение, занимающееся вопросами безопасности на организационном и техническом уровне, которое работает на успешное отслеживание и отражение атак, а при необходимости — оперативно помогает устранять их последствия. Существуют провайдеры, которые предоставляют данную услугу с помощью облака, что значительно упрощает жизнь заказчика, поскольку им не нужно самостоятельно строить SOC внутри своей ИТ-инфраструктуры.

Зачастую хакеры, стараясь остаться анонимными, скрывают своё местоположение, поэтому одним из способов защиты является ограничение входа с недоверенных геолокаций. Например, ИТ-департамент может составить списки локаций, через которые может быть предоставлен доступ, на основе публичных IP- адресов или соответствующих им геолокаций, чтобы обеспечить защиту данных.

Безопасный метод восстановления доступа к корпоративному аккаунту в случае, если старый пароль забыт. Для этого могут быть использованы смс, мобильное приложение, контрольные вопросы, личный почтовый адрес. Можно требовать один или комбинацию из двух методов.

Потеря информации через съемные носители остается одной из актуальных угроз информационной безопасности. Можно извлечь жесткий диск и подключить его к другому ПК, или загрузиться с DVD-диска и получить доступ к файловой системе. Для обеспечения защиты зашифруйте диски и флешки с важными данными – даже в случае пропажи или изъятия устройства, к данным никто не получит доступа.

Комплексный процесс, который выходит за пределы компетенций одного лишь ИТ- департамента. Одно из наиболее важных требований – сохранение информации от случайного или целенаправленного удаления. Для этого необходимо продумать внутри компании политики сохранения данных, которые защитят важные документы, письма и даже сообщения в чате от случайного или целенаправленного удаления в течение выбранного периода.

Безопасность инфраструктуры складывается из ряда факторов, в том числе безопасности физической. Когда оборудование находится на территории компании, организовать физическую безопасность бывает сложно, потому что необходимо учесть ряд важных факторов. Поэтому небольшие компании, как правило, самостоятельно не могут позволить себе такой уровень безопасности. В специализированных дата-центрах работают системы контроля доступа, пропускной режим, круглосуточное видеонаблюдение и охрана, доступ третьих лиц затруднен или практически невозможен.

Дополнительную защиту от утечки данных могут обеспечить системы DLP, которые позволяют настроить политики безопасности, чтобы запретить ряд действий с конфиденциальной информацией, например, пересылку за пределы компании или скачивание на локальный ПК. Администратор также будет уведомлен о попытках пользователей выполнить запрещенные действия. Функция DLP доступна не только для электронной почты и хранилищ Sharepoint / Onedrive for Business, но и Microsoft Teams.

Система UBA выполняет последовательное изучение ряда поведенческих признаков сотрудников: в какое время работает, на какие устройства заходит, к каким файлам получает доступ, в каких группах состоит и т.д. После построения поведенческого профиля пользователя система может сообщать об аномалиях в поведении, которые позволяют выявлять злоумышленников, скомпрометировавших учетную запись пользователя.