По данным аналитиков рынка кибербезопасности, в первом квартале 2023 года число инцидентов увеличилось на 10% по сравнению с началом прошлого года, при этом более 50% инцидентов привели к утечкам данных в компаниях-жертвах. Руководитель Центра экспертизы управления доступом «РТК-Солар» Дмитрий Бондарь рассказал о том, почему основной опасностью для компаний в 2023 году стала угроза несанкционированного доступа к инфраструктуре, как ее реализуют хакеры и какие методы защиты помогают избежать последствий атаки.
Фото: «РТК-Солар»
Фото: «РТК-Солар»
— Как изменились риски для безопасности организаций в этом году?
— В первую очередь изменилась интенсивность кибератак, а также действия хакеров: они стали настойчивее, а сами кибератаки — более прицельными. Если образно, то раньше безопасность компаний выглядела извне забором, который проще не взламывать, а идти туда, где его нет вовсе. Теперь ни одна лазейка не останется без внимания хакеров, если им нужно проникнуть в конкретную организацию. При этом хакеры не только финансово мотивированы, они пытаются нанести максимальный репутационный ущерб жертве. Например, теперь за DDoS-атакой чаще всего стоит и взлом IT-систем жертвы, а первое — лишь отвлекающий маневр, за которым может стоять кража конфиденциальных данных.
— К чему стремятся злоумышленники?
— Практически все вредоносные действия хакеров реализуются через получение доступа к системам организации, которые обладают наибольшим объемом полномочий. Угрозы доступа, особенно привилегированного, остаются сейчас самыми актуальными. Они включают в себя и действия хакеров извне, и действия сотрудников, имеющих тот или иной уровень доступа в IT-инфраструктуре.
— Как реализуются угрозы управления доступом сейчас?
— Один из наиболее популярных типов угроз реализуется через аутентификацию пользователей: слабую парольную политику и отсутствие дополнительных факторов аутентификации. Например, если сотрудник использует одинаковый пароль для рабочих и личных аккаунтов, то возможности взлома его корпоративной учетной записи кратно возрастают из-за зачастую более низкой степени защищенности личных устройств и сторонних сервисов. Соответственно, если хакер обнаружит в утечке данных пароль сотрудника интересной ему компании, то он потенциально может взломать его корпоративную учетную запись. Особенно это актуально для сотрудников, работающих удаленно, для доступа подрядчиков.
— Компания может быть атакована изнутри?
— Компания может стать жертвой недостаточного внимания ответственных лиц к вопросам разграничения доступа к информации. Например, если кто-то из сотрудников имеет избыточный доступ к тем или иным блокам информсистемы. Это могут быть записи в файловом хранилище отделения банка, где находятся важные документы не только этого отделения, но и других, с которыми оно ими обменивается. А у сотрудника есть возможность вносить правки в эти документы. И если на компьютер сотрудника попадет вирус-шифровальщик, то пользуясь тем, что у него есть права доступа к хранилищу, шифровальщик может поразить все имеющиеся в доступе файлы и парализовать работу не только одного отделения, но и всех связанных с ним.
— Какие публичные инциденты были организованы по этому сценарию?
— Из-за такой ошибки организации произошло несколько громких утечек сервисов доставки. Если обычный сотрудник службы поддержки видит достаточно большой список клиентов с их телефонами и адресами, историей заказов, то это создает большую уязвимость и возможности для хакеров. Чтобы этой угрозы не было, компании должны разработать системы разграничения доступа к данным для своих сотрудников с учетом правил разделения ответственности.
— Каким образом компания может снизить угрозу доступа?
— Для начала оценить уровень IT-зрелости компании, потому что киберзащищенность можно представить себе как ее иммунитет. Он должен соотноситься с уровнем этой зрелости. Во-вторых, необходимо оценить уровень ответственности компании: если это небольшой институт, который сам по себе не представляет интереса для злоумышленников, но при этом является подрядчиком оборонного предприятия, то уровень его ответственности кратно возрастает. И такой организации нужно выстраивать защиту не хуже крупной компании, даже если штат ее сотрудников не превышает 50 человек.
— Может ли помочь в этом организациям комплексный подход к ИБ?
— Любая технология исторически сначала тестировалась «пионерами» и только затем приобретала массовую популярность, со временем становясь типовой. Сейчас российские средства кибербезопасности в каком-то смысле проходят этот путь, масштабируются на инфраструктуре крупнейших компаний. Диалог с бизнесом в этом году можно сформулировать следующим образом: сначала вендор предлагает компании решение исходя из размера штата, самой организации и диагностики технологической зрелости, а потом переходит на адаптацию изначально типового решения под более индивидуальные параметры бизнеса. Из этого в том числе складывается комплексный подход к безопасности, но учитывающий индивидуальные особенности клиента.
— В сегменте управления доступом такой подход также востребован?
— Безусловно, эти решения будут проходить такой же путь типизации, и компании смогут в дальнейшем подбирать не только общее готовое решение в этом сегменте, но и подходящее им по значительному ряду параметров. Вместе с этим актуальность приобретают услуги аудита инфраструктуры и консалтинга по вопросам управления доступом — так компаниям проще принять решение о внедрении и выстроить наиболее эффективные процессы.
Например, интеграция PAM и IdM-решений позволяет создать полноценный контур управления учетными записями и единый источник достоверной информации путем централизованного управления всеми учетными данными пользователей, привилегированных в том числе. Агрегирование информации о всех пользователях, имеющих доступ к ресурсам компании, производится не только на основании кадровой базы, но и отдельных договоров, проектов, распоряжений. Это дает возможность постоянно держать под контролем актуальность и уровень предоставленных прав как для внутренних работников, так и для внешних подрядчиков.
Автоматизация назначения, изменения и удаления доступа позволит исключить ошибки и злоупотребления и повысить операционную эффективность. А периодическая ресертификация прав доступа позволит выстроить постоянный актуальный процесс исполнения регламентов и политик безопасности.
— В конце пошлого года «РТК-Солар» приобрела в контур разработчика системы контроля привилегированных пользователей — «Новые технологии безопасности» (НТБ). Как это повлияло на ваш бизнес?
— Это была значимая сделка для обеих сторон: мы получили возможность решать задачи контроля защиты доступа комплексно и целостно — мы решали задачи автоматизации и контроля прав доступа обычных сотрудников организации. За счет этого приобретения мы получили возможность решать задачи защиты доступа привилегированных пользователей, в том числе подрядчиков. Решение называется SafeInspect, и оно хорошо зарекомендовало себя на рынке.
В настоящее время мы создаем продуктовую экосистему управления доступом, включающую системы IGA, PAM, технологию безопасного доступа к ресурсам организации, консалтинг, техническую поддержку и сервис, а также обучение сотрудников заказчика. Все решения и сервисы будут доступны в составе единого комплексного предложения.
— Как сейчас будет меняться рынок решений управления доступом в целом?
— Как и в других сегментах ИБ-рынка, основной вектор на рынке управления доступом будет на импортозамещение. С уходом иностранных вендоров образовалось большое количество серых зон — непокрытых ниш, где всего пара игроков. Конечно, конкуренция в такой ситуации высокая и агрессивная — важны сильная команда, экспертиза и зрелость процессов. И думаю, сейчас у молодых компаний-разработчиков очень много шансов успешно выйти на рынок при правильном позиционировании и грамотной конкурентной игре. Заказчики готовы инвестировать в отечественные решения, а государство со своей стороны — стимулировать этот спрос.
ООО «РТК Информационная безопасность»
Реклама