Сотрудник на курорт, хакер — в вашу компанию
Летом руководитель часто вынужден неделю -другую обходиться без любимых сотрудников. Но отложенные задачи еще не самое страшное — в сезон отпусков у киберпреступников есть несколько подлых приемов, чтобы воспользоваться ситуацией и атаковать компанию.
Расскажем, как кибербезопасно отпустить сотрудника на заслуженный отдых.
Продумайте политику использования учетных записей
Иногда есть необходимость на время отпуска передать часть полномочий одного сотрудника другому — это может касаться доступа в систему, возможности вносить в нее изменения, принятия решений. Часто способы, которыми это осуществляется, далеки от лучших практик.
- Сотрудники просто передают друг другу данные учетной записи.
- Создаются «общие» учетки с широким кругом полномочий.
- Замещающему сотруднику дают дополнительные права, которые потом забывают отозвать.
Такой подход чреват злоупотреблениями — например, ситуациями, когда пользователи сами визируют свои документы и согласовывают свои заявки. А главное, избыточные права — это повышенные риски в случае компрометации учетной записи.
Это один из самых популярных векторов атак, и в начале года специалисты центра противодействия кибератакам Solar JSOC наблюдали аномальный рост таких инцидентов: 14% приходилось на несанкционированный доступ к информационным системам и сервисам, еще 6% — на компрометацию учетных записей. К концу полугодия увидели реакцию со стороны компаний: тренд на наведение порядка в политиках и принципах управлений доступом.
Советуем следовать этому тренду — сформулировать и четко соблюдать процедуры предоставления и отзыва привилегий. Автоматизировать это процесс помогают системы IdM/IGA, которые облегчают работу с учетками, обеспечивают исполнение внутренних регламентов и минимизируют проблему избыточных полномочий.
В «Соларе» этот класс решений представляет Solar inRights, а PAM система Solar SafeInspect помогает управлять привилегированными учетными записями, то есть доступами пользователей, которые имеют доступ к средствам ИБ и сетевой инфраструктуре, а значит, представляют особый интерес для злоумышленников.
Напоминайте сотрудникам основы кибергигиены и соблюдайте их сами
Киберпреступники умело манипулируют нашими эмоциями, вынуждая совершать ошибки из страха, под давлением авторитета или поддавшись спешке. Одна из популярных в последнее время фишинговых схем — письмо или сообщение от лица высшего руководства компании, в котором жертву либо предупреждают о скором звонке из органов власти, либо пугают уголовным разбирательством. Нейросети помогают преступникам быть максимально убедительными — создавать аудио и видео дипфейки.
О том, что сотрудник компании находится в отпуске, мошенники могут узнать из соцсетей. А это значит, что можно воспользоваться ситуацией, надавив на два рычага: ограниченная коммуникация с остальной командой и срочность.
Аккаунт менеджер, загорая на пляже, получает сообщение от руководителя о том, что перед отпуском он отправил неправильные документы, и теперь может сорваться большой контракт! Необходимо срочно сообщить данные для входа в систему, чтобы коллеги могли исправить ошибку.
В это время руководитель небольшой компании, отдыхая в горах, слушает голосовое сообщение от бухгалтера: «Нужно срочно заплатить подрядчику, а деньги за заказ поступят только через неделю, пришлите перевод!».
А сотрудник юридического отдела трудился в офисе за двоих, пока в отпуске был его коллега, и в очередной рабочий вторник он получил емейл от напарника — тот просил прислать ему на личную почту конфиденциальные документы, чтобы немного поработать прямо из бассейна.
Чтобы наши герои не поддались на уловки киберпреступников, необходимы два условия. Во — первых, они должны быть в курсе распространенных мошеннических схем и уметь распознавать подозрительные письма и сообщения. Во — вторых, небезопасные практики не должны быть в компании в порядке вещей, даже если они ускоряют процессы. Если иногда руководитель просит скинуть конфиденциальный документ в личный мессенджер, а коллеги делятся данными учетных записей друг с другом, злоумышленнику будет проще убедить сделать это еще раз — но уже не в интересах компании.
Рекомендуем регулярно напоминать сотрудникам о базовых принципах цифровой безопасности, повышать их осведомленность о механиках социальной инженерии, а также контролировать доступ и взаимодействие с неструктурированными данными. Среди которых могут быть чувствительные файлы, письма и изображения. В этом помогают решения класса Data Access Governance, например, Solar DAG.
Разделяйте личное и рабочее
Даже самый усердный работник хоть раз позволял себе на минутку отвлечься на личные дела в рабочее время. В отпускной сезон может возникнуть искушение, например, посмотреть цены на билеты, почитать отзывы об отеле или повыбирать купальник на маркетплейсе, особенно если на глаза попался баннер с выгодным предложением.
Лояльному руководителю ничто человеческое не чуждо, и нарушение трудовой дисциплины можно было бы простить. Однако в погоне за скидками сотрудник может перейти по подозрительной ссылке на вредоносный сайт с рабочего устройства в корпоративной сети. Другой вариант — он скомпрометирует свои личные профили, а злоумышленник использует эти данные для дальнейшей атаки на компанию.
Лучше не ограничиваться внушениями, а обеспечить сетевую безопасность с помощью соответствующих ИБ решений. В портфеле «Солар» есть шлюз веб безопасности Solar webProxy. Он разграничивает доступ сотрудников к веб-ресурсам, защищает от веб-угроз и блокирует утечки конфиденциальной информации через веб-канал.
Обращайте внимание на аномальное поведение
С помощью утекших данных, подбора пароля или нарушения политик ИБ хакер может завладеть инсайдерским доступом. И вот в вашей сети, казалось бы, зарегистрированный пользователь с понятным уровнем доступа и привилегиями, а на деле — злоумышленник, который уже начал делать свое черное дело. А настоящий пользователь находится в отпуске, и поэтому на то, чтобы заметить этот нежелательный обмен, уходит слишком много времени.
Поэтому важно отслеживать любые отклонения от нормального поведения — активность в нерабочие часы или во время отпуска, резко возросшее число контактов с коллегами, с которыми обычно пользователь не взаимодействует, операции с большим объемом информации — перемещение, копирование, удаление файлов.
Мониторить и реагировать на угрозы информационной безопасности, в том числе перехватывать конфиденциальные данные, чтобы предотвратить утечку, позволяют DLP системы — комплексное решение для противодействия и расследования таких инцидентов. В решении Solar Dozor есть аналитический модуль, который умеет строить индивидуальные профили поведения, автоматически выявлять поведенческие аномалии, выявлять опасные массовые тенденции и искать взаимосвязи между ними и событиями ИБ, а также много другое.
Надеемся, что советы были полезны. Не оплачивайте киберпреступникам отпуск на островах — пусть лучше отдохнут от своей противоправной деятельности. Пока что на свободе…
О компании
Группа компаний «Солар» — архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, интеграция комплексных решений, обучение ИБ-специалистов, аналитика и исследование киберинцидентов.
С 2015 года предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солар» — более 1000 крупнейших компаний России.
Группа компаний предлагает сервисы первого и крупнейшего в России коммерческого SOC — Solar JSOC, эко-систему управляемых сервисов ИБ — Solar MSS. По данным независимых аналитиков, «Солар» входит в топ-5 европейских и топ-15 мировых сервис-провайдеров по объему бизнеса.
Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры России в рамках национального проекта «Цифровая экономика Российской Федерации» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения.
Штат компании — более 2000 специалистов. Подразделения «Солар» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.
Фото: пресс-служба ГК «Солар»