Как выявить уязвимости и защитить бизнес от кибератак
Главная » Практика » Способы
19 Мая 2025 - 14:49

Как найти уязвимости в ИБ вашей компании

Аватар пользователя Даниил Бориславский
Даниил Бориславский
Заместитель генерального директора по развитию продукта Staffcop
Вверх
Проголосовало: 0
...
Как найти уязвимости в ИБ вашей компании

Киберпреступники атакуют сейчас даже тех, на кого раньше не обращали внимания. Это значит, что абсолютно любой компании приходится задумываться о своей защищенности от кибератак. Даем полезные советы: где искать уязвимости и как защищаться от их эксплуатации.

 

 

 

 

 

 

  1. Введение
  2. Какие уязвимости чаще всего приводят к незащищенности
  3. Как увидеть уязвимости «невооруженным взглядом»
  4. Как построить систему защиты
  5. Как часто нужно проверять компанию на уязвимости
  6. Выводы

Введение

По результатам исследований в среднем на одну российскую компанию приходится 13 уязвимостей разной степени критической значимости. При этом почти треть обнаруженных проблем (29%) относится к критическим и высокоопасным.

В этой статье расскажем, как проверить цифровой периметр на уязвимости и как построить систему безопасности в компании. 

Какие уязвимости чаще всего приводят к незащищенности

К инцидентам в информационной безопасности могут приводить уязвимости любого типа — от технических до организационных. 

Чаще всего уязвимости делят на 3 типа.

Технические

Например, это устаревшее ПО и технологии, для которых уже не выпускают обновления и производители не оказывают техническую поддержку. Если в таком софте появятся бреши, их не смогут оперативно «залатать».
Кроме этого технической уязвимостью может быть использование зарубежного ПО в государственных организациях. 

К техническим уязвимостям также может относиться организация работы ИТ-отдела. Например, если сотрудники хранят все данные на одном сервере и не создают резервные копии, информация может просто потеряться.

Организационные

Они чаще всего связаны с неправильной организацией рабочих процессов. Например, при увольнении сотрудника ИТ-отдел забыл заблокировать учетную запись. Сотрудник зашел на серверы компании и забрал данные, которые передал конкурентам. 

Также такой уязвимостью становится отсутствие регламентов и политик. Допустим, ИТ-отдел создает резервные копии данных, но делает это нерегулярно и сохраняет данные на публичном диске, к которому у всех есть права доступа. 

Человеческий фактор

Эти уязвимости возникают из-за действий отдельных сотрудников: из-за их невнимательности, эмоций, страхов, желания восстановить справедливость. 

Например, сотрудники могут пройти по фишинговой ссылке и «отдать» злоумышленникам данные учетной записи для доступа к корпоративным ресурсам. 

Также это касается сознательной передачи данных конкурентам. При этом ИБ-отдел может наладить процессы, закрыть организационные уязвимости, но пропустить отдельных людей, которые в силу обстоятельств готовы найти любые лазейки. 

Уязвимости любого типа неодинаково распределены во всех компаниях. Они зависят от:

  • Размера компании. Например, в небольших компаниях не всегда в штате есть сотрудник службы информационной безопасности. Тогда его функции выполняет ИТ-специалист, технический директор,  а иногда и сам собственник бизнеса. Это приводит к потере фокуса и откладывании важных инициатив. С другой стороны, в больших компаниях ИБ-инициативы могут внедрять по несколько месяцев из-за большого количества сотрудников и высокого уровня бюрократизации. 
  • Отрасли. Продуктовые сети менее привлекательны для злоумышленников, чем компании финансового сектора, медицинские организации, объекты КИИ
  • Режима работы. Чем больше в компании удаленных сотрудников, тем больше рисков и уязвимостей — ИБ-службам сложнее контролировать, как они работают, что делают с информацией, к каким сетям подключаются. 

Однако мало знать о существовании брешей, нужно также их находить и устранять.

Как увидеть уязвимости «невооруженным взглядом»

Все эти уязвимости можно обнаружить с помощью специально организованного аудита. Но даже без работы специалистов можно понять, насколько уязвима ваша компания. Вот как это проверить.

Выяснить, насколько легко получить доступ к данным компании

Закрывается ли серверная комната на ключ? У кого есть доступ к «1С» и клиентским данным? Как сотрудники передают друг другу информацию, по корпоративной почте или в публичных мессенджерах? Ответы на эти вопросы уже помогут оценить, насколько данные защищены от третьих лиц. 

Проверить наличие политик

При этом важно, чтобы политики и стандарты не просто были зафиксированы в документах. Необходимо, чтобы ими реально пользовались. Например, сотрудники должны хранить конфиденциальные документы в особой папке на корпоративном диске, а де-факто хранят на своих компьютерах. Это же касается правил в отношении паролей — каждый соблюдает их в меру своей лени. Кто-то использует сервисы для создания паролей, кто-то использует комбинацию «1234».

Выяснить наличие лицензионных средств защиты

У всех технических средств защиты, которые используются в компании, должны быть действующие лицензии. 

Проверить сети передачи данных

Важно, чтобы использовался стандартный пул портов, существовал сетевой шлюз для фильтрации трафика, роутер был доступен только из локальной сети и пароль от него находился только у проверенного сотрудника. 

Как построить систему защиты

После проверки компании на уязвимости, можно начать выстраивать систему защиты. 

Для этого нужно выполнить следующее:

  • Определить, что мы должны защищать. Это могут быть пользовательские данные, интеллектуальная собственность компании, инфраструктура. Также важно понимать, где хранятся данные и программные приложения — на серверах или в облачных хранилищах. 
  • Оценить степень критической значимости. Например, одной компании будет важнее защитить финансовые отчеты и база платёжеспособных клиентов, другой — демо-стенд с продуктом. Определяя приоритеты, компания может распределить ресурсы и тратить их на защиту самых важных данных. При оценке важно использовать прошлый опыт, свой и других компаний. Если мы знаем, что злоумышленники серийно атакуют инфраструктуры компаний из нашей отрасли, то и нам стоит усиленно защищаться. 
  • Провести микроанализ защищенности. Для этого можно воспользоваться списком, который мы обозначили выше: проверить, у кого есть доступы к данным, как соблюдаются политики, обновить лицензии средств защиты и проверить сети передачи данных. 
  • Найти решения для защиты от уязвимостей. В «Контуре» есть четыре продукта, которые закрывают потребности в защите от уязвимостей: Staffcop, ID, PAM и «Доступ». 

С помощью Staffcop можно анализировать действия сотрудников, распознавать повторяющиеся поведенческие шаблоны и контролировать их в будущем. Например, можно тщательно наблюдать за сотрудниками определенного отдела перед увольнением, потому что их коллеги уже пытались похитить данные клиентов. 

С помощью «Контур.ID» можно защищать учетные записи сотрудников и весь цифровой периметр компании в целом. Если вдруг злоумышленник получит доступ к учетной записи сотрудника, то второй фактор помешает ему добраться до сервера. 

С помощью PAM можно защититься от действий инсайдеров. Решение помогает не только определять, кто из пользователей получает доступ к определенным ресурсам компании, но позволяет фиксировать их действия на серверах и блокировать сессии.

С помощью «Доступа» можно настроить безопасное подключение к удаленным компьютерам. Например, только с согласия пользователя, без анонимного подключения. 

Как часто нужно проверять компанию на уязвимости

Конечно, хочется один раз проверить компанию, защититься от всех уязвимостей и больше не нервничать, но это невозможно. 

Поэтому очень важно:

  • Раз в год обновлять регламенты и политики. Периодически регуляторы, например, Роскомнадзор, выпускают новые локальные акты — и их требованиям необходимо соответствовать. 
  • Раз в квартал проверять сайт и другие публичные сервисы компании на уязвимости и атаки. При этом важно контролировать инфраструктуру, например, проверять актуальность версий серверов. 
  • Раз в полгода проверять актуальность и обновления других инструментов, используемых в компании, например, сервера для виртуализации рабочих мест.
  • Раз в квартал следить за кейсами и атаками, которые происходят вокруг. Если конкуренты, клиенты и партнеры получают фишинговые рассылки, то и вашей компании необходимо приготовиться. 

Регулярные проверки по расписанию укрепят безопасность и уменьшат площадь потенциальной атаки.

Выводы

Потенциальных брешей в цифровом периметре очень много — начиная от использования зарубежного ПО и заканчивая невнимательностью сотрудников (не говоря уже о том, что само понятие периметра сейчас размывается из-за удаленной работы). Поэтому очень важно быстро находить уязвимости и устранять их.

Начать не так трудно, как кажется: в качестве первых шагов часто достаточно навести порядок в том, что уже есть, но работает бессистемно или бесконтрольно. Ответив самим себе на вопросы о том, есть ли у компании лицензии на антивирусы и запирается ли серверная на ключ, уже можно продвинуться вперед на пути к защищенности.

Однако даже хорошо выстроенный и организованный процесс поиска уязвимостей не будет полезен, если провести его один раз и забыть о нем навсегда. Следует помнить, что проверки и тесты на защищенность нужно проводить регулярно с определенными интервалами. Тогда нарушить работу бизнеса будет гораздо труднее.

Полезные ссылки: 
> Боятся ли российские разработчики возвращения зарубежных компаний
> Аналитическая справка по изменениям в Федеральном законе № 187-ФЗ
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.