5 мер, которые помогут вашей ИТ-инфраструктуре справиться с ЧС

К сожалению, какой бы ни была ситуация с безопасностью в компании, чрезвычайные ситуации будут случаться — от атак на ИТ-инфраструктуру никто не застрахован. Любая DDoS-атака может «уронить» критичные серверы, новый сотрудник может открыть фишинговую ссылку, а в ПО поставщика попасть вредоносный код. 

В этой статье расскажем о самых распространенных и наиболее эффективных решениях для защиты ИТ-инфраструктуры малого и среднего бизнеса. Материал будет полезен не только для технических экспертов, но и руководителей ИТ-отделов, а также для всех, у кого есть ИТ-продукты.

Дыры в безопасности: где искать

Если проанализировать состояние инфраструктуры и действия компаний, столкнувшихся с атаками и утечками данных, можно выявить следующие общие особенности:

• Компания не верит, что может быть целью хакеров, и пренебрегает развитием службы безопасности. Сейчас атаки на ИТ-инфраструктуру стали массовыми. Надеяться, что компания этого избежит, достаточно опрометчиво. Последствия такой самонадеянности могут быть разрушительными для бизнеса и репутации.
• В компании отсутствует единый вектор развития службы безопасности. Безопасность — это не только защита серверов антивирусным ПО, наличие резервных копий и бесперебойного питания. Это единая система и культура, когда происходит контроль за данными, управление доступами, обучение персонала для предотвращения атак с использованием социальной инженерии, работа на предупреждение инцидентов и многое другое.
• Недостаточное финансирование и низкая квалификация специалистов по безопасности. Понимая, что это два самых опасных врага любого бизнеса с точки зрения борьбы с чрезвычайными ситуациями, уже в первой половине 2024 года многие российские компании увеличили расходы на информационную безопасность более чем на 50%. Подобная тенденция радует, учитывая, что в статистику вошли не только крупные игроки, но и средний бизнес. Вопросы с недостаточной квалификацией тоже решаются. Рынок аутсорсеров, предлагающий комплексные услуги по аудированию и обеспечению услуг в этой сфере также серьезно вырос. Так называемый MSSP (Managed Security Service Provider, «безопасность как сервис») начал свое развитие в России еще в 2021 году и сейчас представлен десятком разных компаний, предлагающий комплексные подходы к предоставлению услуг защиты ИТ-инфраструктуры.

Проанализировав основные причины, из-за которых происходит постоянное откладывание развития ИБ в компании, можно приступать к анализу объектов, которые могут стать причиной возникновения ЧС. Перед тем, как анализировать ситуацию с готовностью компании встретить ЧС, важно понимать наиболее критичные элементы ИТ-инфраструктуры. 

Самое уязвимое звено в организации с точки зрения безопасности — рабочее место сотрудника. Открытие фишинговых писем, скачивание непроверенного ПО, слабые пароли, социальная инженерия, — все это может стать причиной крупных утечек информации, атак на серверы и аппаратное обеспечение. 

Что делать? Иметь стандарты и регламенты по обеспечению кибербезопасности, проводить обучение персонала, проверки и тесты на знания элементарных правил безопасности в Сети.

Еще один сложный элемент для контроля безопасности — цепочка поставок: экосистема поставщиков аппаратного и программного обеспечения, приложений и облачных вычислений, с которыми работает ИТ-служба. Ни одна компания не может обойтись без многочисленного партнерского ПО, компонентов и библиотек. Их могут быть десятки и даже сотни. Стоит одному из наиболее слабых элементов быть подверженным внедрению вредоносного скрипта, это сразу влечет опасность для всей ИТ-инфраструктуры компании. 

Что делать? Наиболее универсальным решением здесь будет использование только надежных поставщиков услуг, а также комплексных систем обеспечения безопасности ПО и аппаратной безопасности. Сейчас можно найти множество решений для отслеживания программных аномалий, мониторинга сетей, фаерволов, скрывания IP-адресов и т.д. Самое лучшее — доверить свою инфраструктуру профессионалам вне зависимости, будет ли команда работать у вас в штате или на аутсорсе, главное — не оставлять ситуацию без контроля.

Сетевое оборудование и уязвимости операционных систем — наиболее контролируемые бизнесом элементы. Использовать уязвимости в сетевой инфраструктуре уже не так-то просто, необходимо обладать серьезными знаниями в кибербезопасности. Однако уязвимости в прошивках оборудования и опасные дыры в ОС становятся быстрым инструментам для взлома систем.

Что делать? Вновь на помощь приходят строго регламентированные работы по обновлению ИТ-инфраструктуры. Проведения комплексного аудит сетевого и серверного оборудования. Строгая политика безопасности при найме специалистов работающих с объектами сетевой инфраструктуры.

5 мер защиты ИТ-инфраструктуры, доступные всем

Чтобы хакерская атака или технический сбой не стали разрушительными для компании с точки зрения потери прибыли и репутации, рекомендуем внедрить следующие простые, но эффективные меры:

1. Разработка и внедрение базовых мер и правил для предотвращения ЧС

Любой сотрудник — от бухгалтера до системного администратора — должен иметь памятку, содержащую базовую информацию о соблюдении безопасности. В SimbirSoft мы используем следующие мероприятия:

• Юридически сильное соглашение о неразглашении (NDA) — документ, который устанавливает правила работа с конфиденциальной информацией.
• Постоянное обновление ПК и мобильных устройств, предустановка антивирусного ПО.
• Строгие правила по установке паролей на корпоративные ресурсы, наличие двухфакторной аутентификации.
• Строгий контроль доступов к корпоративным ресурсам и документам. Ситуации, когда к файлам в облаке имеют доступы уволившиеся сотрудники, исключены.
• Любая необходимость скачивания ПО должна быть согласована с системным администратором.
• При возникновении непонятного, аномального поведения каких-либо приложений, снижении скорости и прочего незамедлительное обращение в службу техподдержки компании.

Эти простые правила помогут любой компании значительно снизить риск возникновения чрезвычайной ситуации с ИТ-инфраструктурой.

2. Хаос-инжиниринг как возможность подготовиться к худшему 

Если коротко, то Chaos Engineering — практика, при которой намеренно создаются ситуации сбоев в работе бизнес-сервиса для улучшения его надежности. 

Используя эту методику можно смоделировать множество чрезвычайных ситуаций в компании и натренировать не только ИТ-службу и службу поддержки клиентов, но и весь персонал, а также зафиксировать скорость восстановления инфраструктуры после ЧС, скорость отслеживания неполадок и прочее. Важно понимать, что хаос-инжиниринг — достаточно глубокий подход, и его внедрение требует глубокого погружения в область DevOps и администрирования.

Например, наша компания внедрила такие проверки для крупного поставщика услуг в медицинской сфере. Мы постоянно обучаем и проводим тренинги для системных администраторов и службы поддержки, моделируя различные чрезвычайные ситуации. Также внедрили достаточно большое количество уведомлений и логирования, которые помогают быстро реагировать на нетривиальное поведение системы, например, утечка памяти, нестандартные данные на серверах, слишком объемные файлы и т.д.

3. Внедрение ИИ как быстрого помощника для выявления ЧС

Если инфраструктура компании большая или содержит множество мелких элементов, риск пропустить атаку, аномальное поведение серверов и проблемы с аппаратной частью высок. 

Чтобы его спрогнозировать и избежать, разрабатываются комплексные решения на базе ИИ. Такие системы отлавливают и уведомляют службы ИТ и безопасности об аномалиях, возникающих в логах, базе данных, следят за состоянием антивирусных систем и др. Благодаря ИИ можно предотвращать возможные ЧС. Например, вовремя освобождать место на жестких дисках, делать необходимые бэкапы или наращивать оперативную память на серверах.

В одном из наших кейсов рассказывали, как разработанные алгоритмы помогли не только отлавливать 98% аномалий, подсвечивая рисковые зоны, но и предсказывать возникновения инцидентов на 300+ сервисах клиента за 10-15 минут до их наступления. Все это позволило обеспечить сохранность данных и полное устранение инцидентов в рамках периода, отведенного SLA.

4. Привлечение внешних команд 

Как было упомянуто выше, в России уже осваивается кластер по MSSP. Выбор, пользоваться услугами внешних команд или нет, — за бизнесом. Многие компании предлагают гибкие условия сотрудничества, необходимый уровень безопасности определяется индивидуально. При этом бизнес может получить узкопрофильную специализацию на безопасности, отслеживание трендов и новых тенденций в киберугрозах, а также огромный инструментарий для поддержки всей ИТ-инфраструктуры в случае ЧС.

5. Полноценная команда безопасности

В случае организации команды безопасности внутри компании важно учитывать разные роли, которые будут управлять доступами, выполнять бэкап данных, управлять рисками и быстро реагировать на любые кризисные ситуации, управлять действиями при атаках и заниматься развитием команды.

Примерный состав команды следующий: 

• Юристы, которые будут работать над NDA и хранением интеллектуальной собственности
• Команда разработчиков, создающих индивидуальные решения под ключ для обеспечения безопасности системы. 
• DevOps, создающие ИБ-инфраструктуру, включая работу с виртуальными решениями, базами данных, отладкой доступов и т.д.
• Системные администраторы, которые управляют сетевой инфраструктурой, системами верификации, доступами и т.д.
• Эксперты по информационной безопасности, проводящие регулярные проверки систем и тренинги для персонала, а также отвечающие за своевременное внедрение современных решений.
• Техлид, которые отвечает за модернизацию систем безопасности, набор и обучение команды, а также за принятие решений в момент чрезвычайных ситуаций.

Внедрение регламентов, развитие команды безопасности, обучение персонала, управление доступами является комплексной задачей и не может ограничиваться наличием в компании одного системного администратора. К сожалению, реальность такова, что многие российские компании продолжают пренебрегать даже сложными паролями для внутренних систем. 

С другой стороны, тенденция 2023-2024 годов показывает заинтересованность компаний в улучшении ситуации. Это подтверждается ростом спроса на специалистов по безопасности и интересом к компаниям, предоставляющим MSSP-услуги. По оценкам iKS-Consulting, за 2024 год интерес к MSSP вырос на 20% по сравнению с 2023 годом. 

Отсюда можно сделать вывод, что обеспечение безопасности в самых разных кластерах в российского ПО — вопрос времени. Крупные аварии и хакерские атаки только подстегивают бизнес к решению этих задач и не дают забыть простую парадигму: любая система рано или поздно дает сбой, и хорошо, если компания будет к нему готова.