Kиберзаплахите за малкия и средния бизнес и как да се подготвим за тях

Злонамерените опити стават по-прецизни и ефективни. А най-слабо подготвените са най-лесните цели Тодор Илиев, директор „Информационна сигурност“ в „Телелинк Бизнес Сървисис“

Остават ми няколко минути до следващия видеоразговор. Достатъчно време за молещите за внимание десетки писма. Едно от тях привлича погледа ми – напомня ми да сменя веднага паролата си за електронната поща, за да не загубя достъп до нея. Натискам бутона за промяна. Зарежда се страница, в която въвеждам настоящата и желаната нова парола, но излиза съобщение за грешка. Затварям я – ще опитам отново след видеоразговора.

През цялото време компания ми прави една тревожна мисъл. Защо ми се случва за първи път и наистина ли беше необходимо да сменям паролата си? Ако се бях вгледал и усъмнил, вероятно бих разпознал опит за злонамерена манипулация (фишинг) по създаденото усещане за неотложност. Но имейлът изглеждаше съвсем правдоподобно. Страницата също.

Този пример ясно показва колко прецизни и ефективни са кибератаките днес. И лесни. Безплатни приложения и достъпни напътствия помагат и на хора без опит да откриват слабости в защитата на компаниите и да ги използват в успешни атаки. Могат да бъдат подготвени бързо от готови съставни части – списъкът с имейл адреси на получателите на имейла, неговото визуално оформление и страницата, която събира данните, се продават свободно в пространства отвъд периферията на познатата ни световна мрежа.

Възможността на кибератаките да бъдат автоматизирани и автономни в основната част от действията си, докато остават невидими за традиционните методи за защита, е причина да ги наричаме „напреднали постоянни заплахи“ (Advanced Persistent Threats). И далеч не са запазени само за големите компании.

Малките компании са все по-честата цел на кибератаките

Проучване сред малки и средни компании в Европа и САЩ (Ponemon Cybersecurity SME 2019 Report) разкрива, че 66% от тях са станали поне веднъж обект на кибератака през 2019 г. Основната причина за това е, че те обичайно нямат екип, който се грижи за сигурността, и имат ограничен бюджет за информационни технологии и сигурност. Но имат какво да губят. Според изследване на IBM (Cost of a Data Breach Report 2020) сред компании в 17 държави, включително и в Европа, пропуснатите ползи са близо 40% от средните разходи, свързани с инцидент. Общата средна сума за възстановяване на една организация възлиза на 3,86 млн. долара. Успешен пробив и заличаване или ограничаване на достъпа до информационните активи могат за дни да изправят малките компании на прага на оцеляването. Затова лесно се съгласяват с условията на извършителите на атаките и дават отговор на основния мотив зад злонамерените действия – финансова облага. Плащането на откуп обаче невинаги гарантира успешен изход. Вторият мотив зад атаките на по-малките компании също не е за подценяване. Нерядко те се превръщат в проводник, по който злонамерените лица или групи могат да достигнат до по-големите си цели.

Неравностойно състезание

Традиционните методи за защита помагат само частично.

- Антивирусният софтуер разчита на предварително знание за заплахите, за да успее да ги разпознае. Но днес те се появяват и се променят за часове и минути и го превръщат в инструмент на миналото.

- Спам филтрите пък лесно могат да бъдат заблудени от нов, непознат и наглед достоверен изпращач на електронно писмо, в което е приложен злонамерен код или препратка към злонамерена уебстраница.

- Традиционната защитна стена пази корпоративната ни мрежа, но днес много от работните ни устройства са извън нея. Те обаче са в основата на 27% от атаките в международен план (Check Point Software Security Report 2020).

- Частичният поглед над мрежата на компанията превръща нейния екип, отговарящ за информационните технологии, в пасивен наблюдател с ограничена видимост над случващото се.

Как да се превърнем в по-сложна цел 

Фактори, които помагат на една компания да противодейства на злонамерени лица или организации:

 1.  Най-важният фактор са хората и тяхната подготовка. Служителите на една компания са нейната първа и последна линия на защита. И най-добрите продукти за киберсигурност не биха могли да заместят умението на хората да разкриват и да реагират своевременно и адекватно на киберзаплахите. Затова периодичните обучения, които следят напредъка и слабите страни на служителите, трябва да бъдат неизменна част от стратегията на една компания.

 2.  Своевременно актуализиране на операционните системи и софтуерни приложения (на сървъри, работни станции и мобилни устройства) е често неудобен, времеемък и криещ подмолни камъни процес. Но заедно с правилното конфигуриране и поддръжката на системите, включително използваните облачни услуги, той ще направи повечето киберзаплахи неприложими при нормални условия. Автоматизирани тестове за уязвимости и пропуски в настройките позволяват на компаниите да вземат бързи и ефективни мерки.

 3.  Поддържането на резервни копия на данните на компаниите е от критично значение при тяхното възстановяване от потенциално успешна кибератака. Важно е тези копия да са едновременно максимално актуални спрямо активно използваните от компанията данни и да са изолирани от работната ѝ среда. Това означава например компанията да автоматизира правенето на чести резервни копия на важните данни на едно място, част от нейната инфраструктура – на сървър, свързан с мрежата носител на информация или в облака. Тези копия обаче също могат да пострадат при евентуална успешна атака. Затова е важно да се прави тяхно копие на носител или място, което е физически и логически изолирано – най-простият пример за това са два преносими твърди диска, всеки от които само временно се свързва с устройство на компанията, за да съхрани най-актуалното копие на данните.

 4.  Многофакторното удостоверяване (MFA), изискващо сканиране на пръстов отпечатък или въвеждане на допълнителен динамичен код за сигурност, е ефективен начин компанията да се увери, че единствено правилните хора получават достъп до желаната информация или приложения. Това е особено ценно при работата от дистанция и излизането извън рамките на сигурната работна среда, които срещат компаниите с нови и непознати устройства. В тази ситуация достъп до чувствителна вътрешна информация могат да получат и неподходящи лица.

Приложени ефективно, тези мерки правят възползването от пропуски в сигурността по-трудно и превръщат компанията в по-сложна цел – те бързо ще откажат по-неподготвените злонамерени лица.

Следващи стъпки за защита

Особено важен фактор е способността на компанията да разкрива навреме злонамерените действия, които са успели да заобиколят останалите ѝ мерки за сигурност, и да ги ограничава, преди да причинят вреди. Затова от изключително значение са бързината и точността на реакция. Те изискват пълна видимост и контрол над всичко, случващо се в нейната среда – корпоративна мрежа, сървърни и работни устройства, облачни услуги и данни. Необходими са и ясни процедури и стъпки за действие, както и екип за справяне с инциденти. Това на свой ред изисква инвестиция в продукти за киберсигурност, които често надхвърлят финансовите възможности на компанията. По-голямото предизвикателство е привличането и задържането на експертите в тази сфера.

Изнесен Център за управление на сигурността (Security Operations Center) е начин една компания да придобие инструментите и способността да разкрива и отговаря на по-сложните и насочени атаки на по-достъпна цена. „Телелинк Бизнес Сървисис“ прави всичко това чрез решението си Advanced Security Operations Center (ASOC), изградено на база технологии от последно поколение от водещи доставчици и отговарящо на нуждите на малкия, средния и големия бизнес. ASOC не изисква инвестиции в инфраструктура, наемане на екип за киберсигурност, обучения или технологии.

Недостатъчната информираност или омаловажаването на киберопасностите може да ни остави с отключена входна врата в един не особено приятелски настроен квартал. Ролята на киберсигурността е да я затваря и заключва вместо нас, когато ние забравим.

[[{"fid":"360599","view_mode":"default","fields":{"format":"default","alignment":"","field_file_image_alt_text[und][0][value]":false,"field_file_image_title_text[und][0][value]":false},"link_text":null,"type":"media","field_deltas":{"1":{"format":"default","alignment":"","field_file_image_alt_text[und][0][value]":false,"field_file_image_title_text[und][0][value]":false}},"attributes":{"height":375,"width":679,"class":"media-element file-default","data-delta":"1"}}]]

Основни типове атаки

Проучване на Ponemon Institute разкрива, че основната използвана тактика в кибератаките срещу малки и средни компании са фишингът и социалното инженерство. Злонамерените лица разчитат на благоприятно стечение на обстоятелствата и липсата на допълнителни мерки за сигурност, за да ни принудят да изпълним очакваното от тях действие.

Следващата тактика се възползва от слабости в уеб приложенията на организацията (уеб базирани атаки). С тях сайтът или уеб базираните услуги на компанията могат да дадат достъп на злонамерените лица до чувствителна информация в нарушение на GDPR.

Трети като дял, но не и по степен на въздействие е зловредният код, който се възползва от уязвимости в операционните системи и приложенията, на които разчита една компания. Изследване на Cisco потвърждава, че рансъмуер, един от представителите на зловредния код, е най-вероятната причина, която може да доведе до тежки негативни последици, лишавайки компаниите от достъп до собствените им данни.

Компрометиране на устройства и придобиване на данни за достъп са следващите в класацията тактики, използвани в кибератаките срещу малки и средни компании.

ФИШИНГ   -  53%

УЕБ БАЗИРАНА АТАКА -   50%

ЗЛОВРЕДЕН КОД  - 39%

КОМПРОМЕТИРАНО ИЛИ
ОТКРАДНАТО УСТРОЙСТВО -   37%

ОТКРАДНАТИ ДАННИ ЗА ДОСТЪП  -   33%

АТАКИ ОТ ТИПА „ZERO DAY“ - 29%

ОТКАЗ НА УСЛУГА (DOS) - 29%

SQL INJECTION  - 21%

ПРЕВЗЕМАНЕ НА ДОСТЪП - 19%

ЗЛОНАМЕРЕН СЛУЖИТЕЛ  - 16%

CROSS-SITE SCRIPTING (XSS) - 12%

Друго - 3%

Автор: Тодор Илиев, директор „Информационна сигурност“ в „Телелинк Бизнес Сървисис“*. Текстът е публикуван в бр. 08/20 на списание Мениджър