Презентация описывает основные киберриски для бизнеса, их источники и категории потерь, а также даёт действенные и понятные рекомендации для повышения уровня кибербезопасности как личной, так и корпоративной от практиков-консультантов по кибербезопасности консалтинговой компании 10Guards (10guards.com)
4. 10GUARDS.COM
Почему взломы компаний возможны?
Бизнес автоматизируется с помощью ИТ инструментов
Автоматизированные системы управления
предприятием (АСУП, ERP)
Системы управления взаимоотношениями с
клиентами (CRM)
Финансовая отчётность, складской учёт и
инвентаризация
Автоматизация процессов закупки
Internet-банкинг , дистанционное банковское
обслуживание (ДБО)
Автоматизированные системы управления
технологическими процессами (АСУТП, SCADA)
Использование WEB-приложений: новостные и
развлекательные порталы, Internet-магазины,
платёжные online-системы, сайты-агрегаторы
информации и т.д.
7. 10GUARDS.COM
Кто взломщики?
Исполнители Цели Потенциальные жертвы Величина ущерба
Одиночки
Любители
Энтузиасты
Новички
Хулиганы
Самоутверждение Соревнование
Обучение
Мелкая нажива
Web-ресурсы
Небольшие компании
Любые слабозащищённые
ресурсы
Небольшая
8. 10GUARDS.COM
Исполнители Цели Потенциальные жертвы Величина ущерба
Одиночки
Любители
Энтузиасты
Новички
Хулиганы
Самоутверждение Соревнование
Обучение
Мелкая нажива
Web-ресурсы
Небольшие компании
Любые слабозащищённые
ресурсы
Небольшая
Организованные группировки Крупный заработок Финансовые структуры Крупный
и средний бизнес Популярные
Web-ресурсы
Максимально возможная
Кто взломщики?
9. 10GUARDS.COM
Кто взломщики?
Исполнители Цели Потенциальные жертвы Величина ущерба
Одиночки
Любители
Энтузиасты
Новички
Хулиганы
Самоутверждение Соревнование
Обучение
Мелкая нажива
Web-ресурсы
Небольшие компании
Любые слабозащищённые
ресурсы
Небольшая
Организованные группировки Крупный заработок Финансовые структуры Крупный
и средний бизнес Популярные
Web-ресурсы
Максимально возможная
Государственные кибервойска Кибершпионаж
Кибервойны
Правительственные структуры
стран мира
Государственного масштаба
10. 10GUARDS.COM
Кто взломщики?
Исполнители Цели Потенциальные жертвы Величина ущерба
Одиночки
Любители
Энтузиасты
Новички
Хулиганы
Самоутверждение Соревнование
Обучение
Мелкая нажива
Web-ресурсы
Небольшие компании
Любые слабозащищённые
ресурсы
Небольшая
Организованные группировки Крупный заработок Финансовые структуры Крупный
и средний бизнес Популярные
Web-ресурсы
Максимально возможная
Государственные кибервойска Кибершпионаж
Кибервойны
Правительственные структуры
стран мира
Государственного масштаба
Идеологические хакерские
группировки
Отстаивание гражданских
позиций
От отдельных частных лиц до
правительственных структур,
крупных корпораций
Непредсказуемая
13. 10GUARDS.COM
Основные категории потерь
РепутационныеФинансовые
прямые непрямые
потеря лояльности
клиентов
потеря клиентов
потеря доли рынка
вывод денег
получение секретных
данных
простой отдельных бизнес-
процессов
неработоспособность
бизнеса в целом
Что может произойти с компанией?
14. 10GUARDS.COM
Что может произойти с компанией?
По данным McAfee, Center for Strategic and International
Studies, Symantec
Статистика за 2017 год
Украли хакеры почти у 1 млн
потребителей в 20 странах мира
Мировой ущерб от киберпреступлений =
0,8% мирового ВВП
$155 млрд.$600 млрд.
16. 10GUARDS.COM
Почему защита не всегда помогает?
Взломом стали заниматься
профессиональные организованные группы
хакеров (АРТ)
Средства защиты «не успевают» за
средствами атаки
17. 10GUARDS.COM
Почему защита не всегда помогает?
Человеческий фактор
Взломом стали заниматься
профессиональные организованные группы
хакеров (АРТ)
Средства защиты «не успевают» за
средствами атаки
18. 10GUARDS.COM
Что не так с защитой?
Распространённые ошибочные ожидания
установка средств антивирусной защиты – не
спасает от всех вирусов, а только от уже
известных
покупка и установка дорогостоящего
оборудования (firewalls, IPS/IDS, UTM
и т.п.) – неправильная его настройка и
эксплуатация
политики информационной безопасности
остаются на бумаге
сначала строим ИТ инфраструктуру, а потом
пытаемся её обезопасить
19. 10GUARDS.COM
На каком месте безопасность?
Человек
Физпотребности
Безопасность
Соцпотребности
Самореализация
Уважение
20. 10GUARDS.COM
На каком месте безопасность?
Человек Бизнес
Физпотребности
Безопасность
Соцпотребности
Самореализация
Уважение
Безопасность
Команда
Деньги
Деньги
Деньги
22. 10GUARDS.COM
5 правил кибергигиены
Для людей
Регулярно обновляйте ПО, включая защитное
ПО
Устанавливайте сложные и несловарные
пароли, не переиспользуйте их – пользуйтесь
менеджером паролей
Используйте двухфакторную аутентификацию
Используйте шифрование
Создавайте резервные копии важных
документов
23. 10GUARDS.COM
5 правил кибергигиены
Для людей Для компаний
Регулярно обновляйте ПО, включая защитное
ПО (patch management)
Внедряйте парольную политику не только на
бумаге
Используйте двухфакторную аутентификацию
внутри компании и для своих клиентов
Используйте шифрование
Создавайте процедуры и процессы
непрерывности бизнеса и восстановления
после атак (BCP/DRP)
Регулярно обновляйте ПО, включая защитное
ПО
Устанавливайте сложные и несловарные
пароли, не переиспользуйте их – пользуйтесь
менеджером паролей
Используйте двухфакторную аутентификацию
Используйте шифрование
Создавайте резервные копии важных
документов
24. 10GUARDS.COM
5 правил кибергигиены
Для людей
Используйте лицензионное ПО
Не кликайте по незнакомым ссылкам и
файлам в письмах, мессенджерах –
перепроверяйте источник их получения
Не используйте публичные Wi-Fi сети для
передачи важной информации и проведения
платежей без шифрования
Создавайте отдельную банковскую карту для
платежей в Internet
Не публикуйте в соцсетях важную, приватную
информацию (дни рождения родных, свой
достаток и местоположения)
25. 10GUARDS.COM
5 правил кибергигиены
Для людей
Используйте лицензионное ПО
Не кликайте по незнакомым ссылкам и
файлам в письмах, мессенджерах –
перепроверяйте источник их получения
Не используйте публичные Wi-Fi сети для
передачи важной информации и проведения
платежей без шифрования
Создавайте отдельную банковскую карту для
платежей в Internet
Не публикуйте в соцсетях важную, приватную
информацию (дни рождения родных, свой
достаток и местоположения)
Для компаний
Застрахуйте киберриски
Подключайте внешний консалтинг по
кибербезопасности
Изучайте законодательство, стандарты и
требования регуляторов
Коммуницируйте с клиентами во время и
после атак
Отслеживайте подозрительные
действия/активности внутри вашей
инфраструктуры
27. 10GUARDS.COM
Компания 1. Бизнес с IT-автоматизацией
Исходные данные:
1. Дешёвый интернет-шлюз, он же - внутренняя Wi-Fi точка доступа
2. Приходящий системный администратор за $25/месяц
3. Основная база данных на внутреннем сервере с открытым доступом извне
Итоги:
1. Уязвимость в устаревшей версии «прошивки» (firmware) позволила получить полный
доступ к интернет-шлюзу.
2. Изначальная неверная конфигурация доступа ко внутреннему серверу (DMZ) позволяла
получать удаленный доступ к директориям, которые были открыты для доступа из
внутренней сети с конфиденциальной информацией
3. База данных и сервер без дублирования и регулярного резервирования
28. 10GUARDS.COM
Компания 2. E-commerce бизнес
Исходные данные:
1. Стандартная CMS для интернет-магазина
2. Приходящий системный администратор за $50/месяц
3. Выделенный хостинг
Итоги:
1. Уязвимость в устаревшей версии CMS позволила получить полный доступ к админ-панели
управления интернет-магазином и файловой системе хостинга
2. Резервное копирование проводилось нерегулярно и вручную, а копии хранились на том же
сервере
3. Простые (очень простые) пароли привилегированных пользователей
29. 10GUARDS.COM
Компания 3. Финансовые услуги
Исходные данные:
1. Плановый (для сертификации) заказ услуг по тесту на проникновение («серый ящик»)
2. Отдельное подразделение по ИБ
3. Серьёзная IT-инфраструктура (внутренние и внешние ресурсы)
Итоги:
1. Технически внешний сетевой периметр не имел существенных брешей, а внутри инсайдер
мог получить несанкционированный доступ к критичным ресурсам
2. Один из внешних ресурсов находился на виртуальном хостинге (shared hosting) с
соседскими ресурсами, содержащими критические уязвимости, а также некорректной настройкой
прав доступа в файловой системе. Результат – полный доступ к внешнему ресурсу компании.
3. При проверке персонала на устойчивость к методам социальной инженерии (в частности,
«фишинг») – более 40% сотрудников перешли по внешней ссылке из электронного письма.