Володимир Боянжи, директор з корпоративних рішень ISSP, пояснює, які кроки потрібно вжити компанії, яка зазнала витоку цінних даних.
Кількість резонансних випадків витоку цінної інформації зростає з кожним роком. Повністю застрахуватися від цього не може жодна компанія – ні невеликий стартап, що тільки починає залучати інвестиції, ні потужна міжнародна корпорація, яка представлена на багатьох ринках.
Ось нещодавній резонансний приклад. Стало відомо про витік корпоративної інформації 62 відомих корпорацій, що співпрацювали з аудиторською компанією «великої четвірки». Серед жертв російських хакерів (а саме російська група Clop стоїть за цією атакою) такі відомі канадські компанії, як Air Canada (найбільша авіакомпанія Канади), Constellation Software (один з канадських лідерів у сфері програмного забезпечення), Sierra Wireless (відомий провайдер бездротового комунікаційного обладнання), Staples Canada (великий рітейлер) та Sun Life Assurance of Canada (одна з найбільших компаній по страхуванню життя в Канаді). У відкритий доступ потрапили фінансові звіти, бухгалтерські документи, скани паспортів, контракти та договори, аудити тощо.
Якщо ваша компанія також стала жертвою витоку даних, необхідно негайно вжити низку заходів щодо реагування на інцидент. Це потрібно для зменшення збитків і запобігання подальшим компрометаціям. Першим ключовим кроком у цьому напрямку є проведення ретельних заходів щодо обмеження загроз.
Після виявлення вразливостей необхідно швидко мінімізувати ризики та усунути фактори, що спричинили витік даних. Важливо змінити модулі входу та всі пов’язані зі скомпрометованими даними паролі. Так ви можете бути впевнені, що будь-яка скомпрометована облікова інформація не допоможе зловмисникам несанкціоновано отримати доступ до вашої системи.
Крім того, ви повинні ізолювати заражені пристрої та комп’ютери від решти інфраструктури. Відключення компрометованих пристроїв або сегментів від мережі допоможе усунути порушення і мінімізувати можливе поширення шкідливих програм або несанкціонованого доступу.
Для забезпечення комплексної безпеки та мінімізації ризику подальших витоків даних варто здійснити наступні кроки:
1. Провести оцінку компрометації (Compromise Assessment). Вона передбачає пошук уже скомпрометованих елементів ІТ-системи (так, можливо, інфраструктура вже частково контролюється зловмисниками, але ви про це ще не знаєте) та визначення площі атаки (Attack Surface) – комбінації особливостей бізнесу, слабкостей процесів та технічних уразливостей інфраструктури.
З моменту проникнення зловмисників у систему до кульмінації атаки може пройти кілька місяців. Тому перед впровадженням інструментів та процедур з кіберзахисту слід переконатися, що компанія в даний момент не є жертвою кібератаки, а очевидні вразливості, виправлення яких не потребує великих ресурсів, виправлено. Такі дослідження щодо присутності зловмисників у інформаційних мережах та визначення поточної площі атаки слід проводити не рідше, ніж раз на рік.
2. Провести тест на проникнення (Penetration Testing). Симульовані атаки на комп'ютерні системи або мережі, відомі як тестування на проникнення, можуть допомогти виявити вразливості, якими потенційні зловмисники можуть скористатися. Ці тести дають уявлення про слабкі місця у вашій поточній системі захисту. Тести різняться своїм характером (внутрішня або зовнішня атака) та рівнем знань спеціаліста про інфраструктуру до тестування (black-box, grey-box або white-box testing). Регулярне проведення тестів на проникнення допомагає краще зрозуміти поверхню атаки та зміцнити ваші системи та мережі проти можливих витоків даних.
3. Підключення до професійного Security Operations Center (SOC). Операційний центр безпеки відіграє важливу роль у формалізації зусиль з моніторингу інцидентів. За допомогою SOC компанії можуть покращити свої можливості моніторингу ІТ-інфраструктури, що дозволяє виявляти приховані аномалії у поведінці та реагувати на загрози на ранніх етапах.
SOC – це поєднання кваліфікованих експертів, кібербезпекових технологій та процесів виявлення й реагування. Хоча комерційний SOC не може задовольнити всі ваші потреби у кібербезпеці, він може взяти на себе різноманітні трудомісткі завдання, такі як управління журналами (log management), виявлення інцидентів (incident detection), пошук загроз (threat hunting) та управління вразливостями (vulnerability management). Це дозволяє вашій компанії зосередитись на стратегічних завданнях з безпеки. Навіть якщо у вас є внутрішня команда SOC, завжди є місце для покращення, і ви можете розширити свою поточну команду за рахунок передових можливостей комерційного SOC.
Таким чином, безпека даних повинна стати пріоритетом будь-якої організації, а проактивні заходи у цьому напрямку є необхідними для захисту цінних даних від зростаючих загроз. Регулярно проводьте оцінку своєю інфраструктури та співпрацюйте з надійними провайдерами, оскільки конфіденційність даних є важливою запорукою успіху та репутації вашого бізнесу.
Не знаєте, з чого почати роботу по розбудові кібербезпеки? Звертайтеся до нас за адресою info@issp.com. Ми завжди готові допомогти!