рус | eng
Главная | Клиентам | Новости | Решения | Сервисы | Оборудование | Ресурсы | Контакты

Сервисы

Microsoft Azure
Аудит информационных cистем
Проектные работы
Создание ИТ-инфраструктуры
Информационная безопасность

Информационная безопасность

Главная / Сервисы/Информационная безопасность

Существует три условия, которые должна обеспечивать информационная безопасность (ИБ):
+ целостность данных — защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных;
+ конфиденциальность информации;
+ доступность информации для всех авторизованных пользователей.
 
В нынешних условиях компании начинают экономить: урезается не только бюджет на ИБ, но и сокращают профильных специалистов. Обеспечение ИБ все же требует затрат на установку средств защиты, при квалифицированном определении границы разумной безопасности, чтобы обеспечить поддержание системы в работоспособном состоянии.
 
1. Для базовой защиты информации надо установить антивирус
    Однако антивирус не дает полноценной защиты, т.к. хакеры проверяют и отлаживают вредоносные программы. Например, на VirusTotal (онлайн-сервис проверки файла на наличие вредоносного кода) они тестируют насколько качественно созданы ими трояны.
Для некоторых компаний ИБ упирается лишь в выполнение нормативных требований, сертификации средств защиты. Проблемой, которая привела ко многим хищениям становится отсутствие понимания, что делать, если заражение обнаружено. Должны выстраиваться процессы локализации инцидента, но в большинстве организаций реагирование сводится только к антивирусной зачистке. При этом в 90% хищений на компьютерах стоит антивирусное ПО.
Требуется проведение «боевых учений» — offensive security (агрессивная защита информации), то есть поиск и ликвидация слабых мест в компьютерной системе через имитацию атак.
 
2. Нигерийские письма 
    Пример 1. К вам отправляют письма с просьбой о помощи в банковских операциях, связанных с переводом денег, якобы облагаемых большим налогом или сообщают о недавней смерти очень богатого человека «с такой же фамилией», как у получателя письма и предлагают содействовать в получении денег с банковского счета усопшего.
Даже если пользователь вступает в переписку, чтобы выругаться в ответ, то тем самым он подтверждает адрес своей электронной почты. Впоследствии этот адрес будут использовать для дальнейших спам-рассылок и хитроумных методов атак.
    Пример 2. На электронную почту приходит письмо с сообщениями от Booking.com или присылают послания авиакомпании, в которых информируют пользователя, что его кредитной картой будто бы оплачен билет на самолет, и предлагают ссылку на фишинговый сайт, где якобы можно узнать информацию о предстоящем полете.
    Пример 3. Массовая рассылка, замаскированная под письма Всемирной организации здравоохранения (ВОЗ), с якобы важной информацией о смертельном вирусе Эбола и о том, как уберечься от эпидемии.
Спамеры отправляют и фальшивые квитанции от интернет-магазинов, выставляющие счет за совершенную покупку, которую получится отменить лишь на фишинговом сайте.
По данным Proofpoint, каждое пятое спам-сообщение содержит вредоносный файл или ссылку.
Единственное противодействие этим атакам – полное игнорирование письма.
 
3. Защита от DDoS-атак, вирусов, троянов и фишинга 
    Число мощных DDoS-атак растет, их цель - «положить» сайт компании на долгое время и лишить его владельца дохода. Инструменты, реализующие Volumetric-атаки (адресный инструмент против крупных целей), доступные раньше отдельным группам, вышли на массовый «хакерский рынок»

Стоимость кибератак

Тип атаки Цена
Взлом обычного сайта
$30–40
Аренда 10 ботов $1,5–2
Аренда готовой сети ботов $150–200
DDoS-атака базового уровня $30/сутки
Профессиональная DDoS-атака $160–170 тыс.

Источник: Zecurion Analytics

 
На DDoS-атаках, продажах трафика, эксплоитов, загрузок, предоставлении услуг по анонимизации «зарабатывают» сотни миллионов долларов.
    Потери от атак – это не только упущенная прибыль, но и косвенные потери. Например, это повышенная нагрузка на call-центр в случае проведения DDoS, ИТ-инфраструктуру (особенно если компания размещает свои ресурсы в облаке), технический персонал, который вместо исполнения своих прямых обязанностей будет заниматься проблемой ликвидации атаки. Если идет DDoS-атака, то, скорее всего, кто-то отвлекает внимание и подчищает следы иной более серьезной преступной активности. Важно учитывать и репутационный урон, который может в разы превышать финансовые убытки компании. Решение:
- не кликайте по сомнительным ссылкам;
- придумывайте сложные пароли для свои аккаунтов;
- не открывайте вложения в письмах;
- не оставляйте без присмотра корпоративный компьютер;
- по минимуму выдавайте информацию о себе в социальных сетях;
- ставьте комплексную защиту.
 
4. Ущерб от утечек информации и вредительства
    «Слив» информации, когда уносят наработки, забирают уникальные методики созданные в команде, копируют базы клиентов и контакты партнеров, являющиеся результатом труда коллег, часто является следствием демотивации и притеснения сотрудников. При увольнении некоторые сотрудники могут не только унести с собой ценную информацию, но и нанести ущерб работодателю: вывести из строя какие-либо элементы инфраструктуры или установить вредоносные закладки в программное обеспечение.
    Пример, - летом 2013 г. три топ-менеджера компании HTC были задержаны за передачу конкурентам конфиденциальной информации по разработкам новых продуктов, и уже в 3 квартале 2013 г. HTC зафиксировала чистый убыток около $100 млн.
    Рецепт борьбы с утечками: наем квалифицированной компании (системного администратора), с обязательной покупкой комплексной программы защиты от DDoS-атак, вирусов, спама, программ-шпионов и фишинга в режиме реального времени.  Так же требуется минимизация прав доступа, регламентирование обработки и защиты конфиденциальной информации, реализация режима защиты коммерческой тайны, использование специализированных систем контроля и мониторинга пересылаемой и хранимой информации (DLP-системы). Используя системы корреляции событий с разных систем — почты, СКУД, телефонии и т.п., выявляются устойчивые цепочки событий, позволяющие видеть нелогичные связи.
 
5. Подписанные сертификаты 
    Необходимо следить за тем, чтобы у используемых приложений и у сайтов, на которые надо заходить, были валидные (подписанные) сертификаты SSL. Эти сертификаты делятся на три типа валидации – подтверждающие только доменное имя, домен и организацию и сертификаты с расширенной проверкой, в которых есть «green bar» (при входе на сайт, где установлен сертификат в адресной строке браузера посетителя появится зеленая строка с названием организации, получившей сертификат).
    «Чумой» являются уязвимые веб-приложения и сайты. Хакеры атакуют не жертву на прямую, а одного из поставщиков ПО. Многие мобильные приложения (в т.ч. и с онлайн-магазина Google Play) уязвимы к атаке man-in-the-middle («человек посередине») из-за невалидных SSL. Во время такой атаки взломщик, подключившись к каналу между контрагентами, может перехватить например, данные кредитных карт пользователей, которые пользуются мобильными приложениями, предполагающими электронные платежи.
 
Средства зашиты информации проектируются и устанавливаются после проведения соответствующего анализа.
 
Международные стандарты информационной безопасности:
ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005.
ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
 
Для внедрения решения обращайтесь к сотрудникам ООО "Абсолют-программ".
 

Главная| Клиентам| Новости| Решения| Сервисы| Оборудование| Ресурсы| Контакты
Яндекс.Метрика