Бизнес – одна из основных мишеней для киберпреступников. Хакеры взламывают базы данных, крадут конфиденциальную информацию, вскрывают банковские счета и т.д. И не стоит успокаивать себя тем, что атакуют только большие и известные компании – это не так, небольшие бизнесы гораздо чаще становятся жертвами кибер-атак. О том, как предпринимателям повысить уровень кибербезопасности своего бизнеса, порталу Biz360.ru рассказал основатель платформы ExploitDog Сергей Крюков.
Сергей Крюков – генеральный директор компании «Навигатор инновационных решений», создатель платформы ExploitDog (система анализа и управления уязвимостями, предназначенная для комплексной защиты ИТ-инфраструктуры.
Для бизнеса наиболее опасны те уязвимости, для которых уже существуют готовые эксплойты – компьютерная программа, фрагмент программного кода или последовательность команд, эксплуатирующие уязвимости в программном обеспечении для проведения атаки на вычислительную систему.
Такого рода эксплойты уже стали универсальными ключами – ими может воспользоваться любой более-менее грамотный пользователь. Раньше для использования таких инструментов требовались глубокие знания о сетях и низкоуровневой работе с памятью. Сегодня же скачать готовый скрипт и запустить его может любой человек, что значительно снижает порог вхождения в сферу киберпреступности.
Лазейкой для утечки клиентских данных или важной финансовой информации могут стать, например, плохо защищённые веб-приложения, системы управления контентом (CMS) и самописные сервисы. Также риски несёт использование небезопасного удалённого доступа, когда устаревшие RDP-соединения или VPN-протоколы открывают злоумышленникам доступ к корпоративным сетям.
Не стоит забывать и об уязвимостях IoT-устройств: IP-камеры, принтеры и другое офисное оборудование, если оно не обновляется и не защищено должным образом, также может стать точкой проникновения в сеть.
Многие компании малого и среднего бизнеса допускали и продолжают допускать ошибки в сфере кибербезопасности:
-
Например, тысячи компаний продолжают работать «вручную»: уязвимости фиксируют в Excel, проверки проводят силами собственных администраторов. А это попытка лечить пневмонию аспирином при наличии тысяч серверов, рабочих станций и облачных сервисов. В условиях, когда на компанию нацелена целая индустрия злоумышленников, ручной подход становится неэффективным.
-
Ещё одна ошибка – недооценка скорости изменений в сфере IT. Пока администратор составляет список систем и устанавливает защиту, инфраструктура в считанные дни или даже часы успевает измениться, создавая «слепые зоны». Компании могут тратить месяцы на проверки, оставаясь уязвимыми.
-
Также среди ошибок – слабая вовлечённость топ-менеджмента в борьбу с киберугрозами. Тема управления уязвимостями пока знакома лишь узкому кругу руководителей – чаще всего это ИТ-директора или директора по информационным технологиям. Для большинства топ-менеджеров других направлений киберриски остаются на периферии внимания, пока не произойдёт серьёзный инцидент.
Необходимо иметь полное представление обо всех IT-активах компании, включая забытые тестовые виртуальные машины, старые маршрутизаторы или IoT-устройства. Для этого нужны системы мониторинга, централизованного логирования и оповещения. Такую «видимость» могут обеспечить специальные сервисы, например, наша платформа ExploitDog.
-
Целесообразно осуществить переход от управления устройствами к управлению уязвимостями. Вместо того, чтобы искать уязвимости на каждом устройстве, следует сначала определить, какие из них представляют наибольший риск для бизнеса, затем найти все устройства, на которых они встречаются – и защитить их.
-
Кроме этого, следует максимально автоматизировать процессы защиты. Системы, работающие в режиме реального времени, позволяют непрерывно сканировать активы и получать актуальную картину. Это снижает операционную нагрузку и позволяет одному специалисту выполнять задачи, для которых раньше требовалась целая команда.
-
Кроме того, необходимо сокращать «окно атаки». В мире нормой считается устранение критической уязвимости за 10-14 дней, в России же средний срок составляет полгода. Полгода вместо двух недель – это как оставить дверь нараспашку. Сокращение «окна атаки» также можно доверить специальному ПО.
-
Крайне важно, чтобы все пользователи компании понимали риски и осознанно соблюдали правила защиты от киберугроз. Это как ремень безопасности в машине: компания должна предоставить средства защиты, но и пользователь должен не забывать ими пользоваться.
Обеспечение кибербезопасности – это инвестиция. Стоимость системы защиты может варьироваться в зависимости от масштаба бизнеса и его потребностей:
-
Минимальный бюджет. Сосредоточьтесь на базовых – бесплатных или недорогих – решениях. Это может включать в себя регулярное обновление операционных систем и программного обеспечения, использование антивирусного ПО с базовой защитой, обучение сотрудников основам кибергигиены (например, распознаванию фишинга и защиты от него) и простым правилам безопасности при работе с информацией. Бюджет – от 5 000 до 15 000 рублей в месяц за программное обеспечение и обучение.
-
Средний бюджет. Помимо базовых мер, сюда входят специализированные программы для управления уязвимостями (например, ExploitDog), решения для защиты конечных точек (EDR), усиленная аутентификация (MFA) и более продвинутые курсы обучения для сотрудников. Стоимость может варьироваться от 20 000 до 70 000 рублей в месяц в зависимости от количества активов и выбранных решений.
-
Расширенный бюджет. Для компаний, стремящихся к максимальной защите, добавляются системы обнаружения и реагирования на инциденты (SIEM, SOAR), регулярные пентесты, программы имитации атак, выделенные специалисты по кибербезопасности и комплексные системы управления уязвимостями с глубокой автоматизацией и отчётностью. Такие решения могут стоить от 100 000 рублей и выше в месяц, обеспечивая более высокий уровень защиты и соответствие строгим нормативным требованиям.
Управление уязвимостями – это важный стратегический инструмент для бизнеса. Соблюдение правил безопасности и внедрение современных систем защиты позволяют перейти от реактивного реагирования на инциденты к проактивному управлению рисками.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал и страницу в «ВКонтакте».
