Как информационная безопасность спасет ваш бизнес

03.11.2023
Как информационная безопасность спасет ваш бизнес
В информационной сфере все чаще можно услышать вопрос: “Стоит ли тратить так много ресурсов на информационную безопасность?” Заместитель директора по безопасности Сергей Лузгин True Engineering расскажет о современных угрозах, их последствиях и о том, можно ли от них защититься.

Тренды и угрозы в 2023 году
Вспомним недавние громкие случаи утечек данных: 13 апреля 2023 хакеры выложили в открытый доступ персональные данные зарегистрированных пользователей сайта sogaz.ru, 28 апреля выложены персональные данные уже пользователей «Альфастрахование». Две утечки из крупнейших страховых компаний с разницей всего в две недели.
А в сентябре этого года в открытый доступ улетели персональные данные клиентов «Сирена Трэвел». Две базы были доступны к скачиванию без пароля и регистрации. 20 сентября на каждую из них приходилось 130 скачиваний.

В какой-то момент изменилась мотивация злоумышленников. Монетизация здесь и сейчас отошла на второй план, теперь основная цель – полное уничтожение инфраструктуры и нанесение ущерба репутации.

Конечно, шифровальщики и DDoS атаки не теряют своей актуальности, но вот еще некоторые актуальные «тренды» на 2023 год:

  1. Распространение вредоносного ПО под видом законного, атаки на цепочки поставок – это библиотеки, фреймворки, прикладное ПО.

  2. Сокращение времени от обнаружения публикации сведений о недавно обнаруженной уязвимости до атаки на нее. Нам известны случаи, когда это заняло всего 3 суток.

  3. Продажа доступов к скомпрометированной инфраструктуре

  4. Рост утечек баз данных

  5. Рост банковских троянов для мобильных приложений под Android

Причины успеха большинства атак

Один из наших проектов – анализ защищенности приложения страховой компании, которая входит в топ-20 по России. 

На первый взгляд – это отличное приложение с понятным функционалом, простым кодом и прекрасная архитектура. Но в ходе анализа приложения мы быстро обнаружили несколько уязвимостей. Смоделировав серию хакерских атак с разным вектором направленности, мы легко смогли как выкрасть персональные данные пользователей, так и полностью положить работу сервиса. На одну атаку уходило не более получаса.

Можно подумать, что это частный пример, который встречается редко. Но вот что интересно: протестированное нами приложение разрабатывала компания, в чьем портфеле не один десяток продуктов. Можно предположить, что базовые требования информационной безопасности игнорируются не в двух продуктах, а масштабируется на все остальные.

Мы можем выделить несколько основных причин, из-за которых могли возникнуть уязвимости:

  1. Проблема конфигурации
  2. Слабые пароли
  3. Отсутствие шифрования
  4. Известные уязвимости

Как защититься в современных условиях

Первоочередная задача – повышение компетенций команды в информационной безопасности, соблюдение мер ИБ в каждом продукте и на каждом этапе жизненного цикла.

На уровне команды это:

  • Автоматическое сканирование: выявление и исправление уязвимостей в коде и компонентах, исправление небезопасных конструкций и функций языков программирования, выявление неправильных конфигураций сервисов.

На уровне компании:

  • Формирование простых и понятных планов развития информационной безопасности, процедур и регламентов, проведение киберучений, анализ защищенности.

  • Привлечение внешнего аудита для оценки защищенности и тестирования на проникновения.

Инструментарий

Что касается инструментов, то их очень много, они все разные, по-своему эффективные. Какого инструмента не бывает, так это инструмента, который решал бы все проблемы сразу. Изучите этот вопрос, выберете то, что подходит вам. Мы предлагаем следующий необходимый минимум (все инструменты бесплатны):

  • Sonar Qube – статистический анализ кода на уязвимости и качество кода

  • Trivy – выявление уязвимостей в коде и контейнерах, выявление неправильных настроек конфигурации Docker, Kubernetes

  • GeatLeacs – поиск секретов в коде

  • Dependency Track – обнаружение устаревших версий ПО, библиотек и уязвимостей в них

  • MobSF – фреймворк анализа защищенности мобильных приложений

Не стоит забывать, что ни один инструмент не справится со своей задачей без участия человека. Он лишь обнаруживает проблемы, но не устраняет их.

Итоги

Хакерские атаки – это не абстрактная угроза, а реальная проблема. Утечка данных или отказ сервера грозит потерей клиентов, финансовым ущербом и штрафными санкциями регуляторов.
Полностью обезопасить свой продукт невозможно. Ни один инструмент не гарантирует надежной защиты от кибератак. Но проведение мероприятий по информационной безопасности и мониторинг рынка на предмет актуальных угроз поможет:

  • Снизить риски успешной реализации атаки
  • Минимизировать ущерб
  • Спрогнозировать вектор атаки

Читайте также
IT-World рассказывает о принципах работы интеллектуальных систем учета электроэнергии, о СИГМА.ИВК - комплексе на базе импортозамещенных цифровых решений. Как работает СИГМА.ИВК, где применяется? Узнаем планы разработчиков комплекса.

Похожие статьи