Хвърляме светлина върху лесно пренебрегваните киберпукнатини, които могат да се превърнат в големи пропасти, излагащи вашия бизнес на опасност
Само защото не сте голямо предприятие или известно име, това не означава, че вашият бизнес не трябва да се тревожи за пробиви в сигурността. Наистина може да ви изненада, но всъщност е точно обратното: по-малките предприятия са най-уязвими и нападателите знаят това. Правителственото „Проучване за нарушения на киберсигурността“ от 2021г. установи, че само 31% от анкетираните фирми имат планове за непрекъснатост, свързани с киберсигурността, а по-малко от 15% са извършили одит на уязвимости в киберсигурността.
Това е разбираемо; малките предприятия „имат по-малко време и по-малко ресурси, за да се съсредоточат върху киберсигурността, която често остава на заден план спрямо дейностите, свързани с продажбите“, казва Хемант Кумар, главен изпълнителен директор и съосновател на Enpass. И все пак те също „често имат по-големи компании като клиенти, което прави потенциалната печалба по-голяма и последствията от нарушението по-тежки“. Не е чак толкова изненадващо, че киберсигурността остава на заден план, когато смятате, че решенията често се възприемат като „скъпи и прекалено сложни“, според Пийт Бауърс, главен оперативен директор в NormCyber. „Но докато решенията на корпоративно ниво могат да идват с на определана цена на ниво предприятие“, продължава Бауърс, „има някои прости безплатни и евтини мерки, които собствениците на малък бизнес би било разумно да приложат.“
Важно е да запомните, че няма такова нещо като „100% сигурност“ и в реалния свят може да има препятствия по пътя. Въпреки това разбирането къде да насочите ресурсите си ви поставя в по-добра позиция. Номерът е да знаете какви дупки в сигурността имате и кои трябва да бъдат запушени.
Идентичността е „вероятно първият проблем, с който малките предприятия се борят по отношение на сигурността“, според Том Бридж, главен продуктов мениджър в JumpCloud. Това е въпросът кой използва устройството или ресурса и как можете да го докажете, а за големите предприятия „има цяла индустрия, която се занимава с идентичността и сигурността, използвайки силно удостоверяване и единично влизане (SSO)“. За по-малките фирми обаче има уловка: „Тези технологии често се основават на Microsoft Active Directory и това не е насочено към малкия бизнес.“
Това, което можете да направите, е да използвате силата на управлението на пароли, многофакторното удостоверяване (MFA) и принципа на най-малко привилегии, за да запушите пропуските в сигурността на самоличността и удостоверяването. Една проста политика за пароли просто няма да свърши работа, тъй като повторното използване на пароли е широко разпространено и много хора избират една от най-често срещаните пароли поради удобство.
Лесното решение е налагането на силни, уникални пароли за всички критични за бизнеса приложения и акаунти. „Генераторите на произволни пароли са чудесен вариант за гарантирана еднократна употреба, като мениджърите на пароли помагат на потребителите да бъдат в крак с времето“, препоръчва Джон Гудакър, директор на предизвикателството „дигитална сигурност чрез дизайн“ на Обединеното кралство за изследвания и иновации и професор по компютърни науки и архитектура в Манчестърския университет.
Всяка политика за управление на самоличността трябва също така да включва стабилен MFA процес, където това е постижимо. Лий Уол, директор на доставчика на управлявани услуги (MSP) Everything Tech, казва, че скорошно проучване на Microsoft разкрива, че 99,9% от клиентите – жертва на кибератаки, които са се обърнали към тях, можеше да са предотвратили атаки, ако MFA е бил активиран. „Ако даден доставчик не го поддържа“, казва Уол, „време е да потърсите друг“. Честно казано, не е трудно да се намерят доставчици, които оценяват стойността на MFA като търговска точка. „Технологията на MFA се използва в банковата индустрия от дълго време“, казва Адам Сиймънс, инженер по системи и сигурност в GRC International Group, „и сега е в много масови продукти като Microsoft Office 365, Google Workspace и Apple iWork . Активирането на MFA не е сребърен куршум против компрометиране на акаунта, но може да направи дълъг и скъп процеса за нападателите.“
Това ни отвежда до последната линия на защита, когато става дума за сигурност на самоличността: принципът на най-малко привилегии, което просто означава да се гарантира, че достъпът до данни и системи е достъпен само за тези, които се нуждаят от тях. „Ако всеки във вашата компания може да прави промени в системата и да има достъп до важни данни, тогава всичко, което е необходимо, е един акаунт, който да бъде компрометиран от злонамерен софтуер или киберпрестъпник и всичко е свършено“, заключава Сиймънс. „Неизбежно в света на малкия бизнес, служителите често трябва да носят множество отговорности и да работят в редица роли и системи, така че може да се наложи да претеглите сигурността срещу удобството, но поставянето на пръста върху страната на сигурността на везната рядко е лош ход.
За Джейми Ахтар, главен изпълнителен директор и съосновател на CyberSmart, дупката в сигурността, която най-спешно се нуждае от адресиране в повечето малки предприятия, е пачването.
„С течение на времето дори най-добрият софтуер развива уязвимости, претърпява пробив или просто остарява“, казва той. „Проблемът е, че корекцията е толкова ефективна, колкото е броят на клиентите, които редовно актуализират своите операционни системи и софтуер.“ И това може да бъде трудно да се управлява в рамките на по-малкия бизнес.
Инструментите за управление на корекциите могат да помогнат за централизиране на процеса, но истинският ключ е да влезете в рутина за корекциите. Както Кен Галвин, старши продуктов мениджър в Quest, казва: „Неправилно конфигуриран, остарял и необработен софтуер са три основни уязвимости, които хакерите се опитват да използват.“ Възможността за автоматизиране на процеса е особено полезна за по-малките фирми без ИТ екип. „Потърсете инструменти с вградено сканиране за уязвимости, които могат да намерят податливи устройства и да ви кажат как да отстраните проблемите“, препоръчва той.
Може да изглежда странно да мислим за имейла, нещо толкова централно за почти всеки бизнес, като за дупка в сигурността, но е така. „Системата за бизнес имейл е отворена входна врата, която приема практически всяко съобщение, изпратено до валиден имейл адрес“, обяснява Галвин. Дори след като изтриете опасни прикачени файлове, фишинг атаките са толкова разпространени, че те са заплаха, която е почти невъзможно да управлявате.
„Голяма част от вашия успех в осуетяването на тези опити ще бъде контролиран от вашите служители“, отбелязва Галвин. Разбира се, обучението по сигурността и филтрирането на имейли, плюс антивирусен софтуер, всичко това спомага за смекчаване на основните принципи. Но за по-добра защита той препоръчва „постигане на по-добра видимост и контрол на устройствата, които имат достъп до вашата мрежа, чрез инструменти като унифициран софтуер за управление на крайни точки“. Това може да бъде голям залък с големи разходи за малък бизнес. Въпреки това тези входни точки към вашите платформи и услуги представляват огромна възможност за нападателите, така че инвестирането в тяхната защита е от изключителна важност.
Ако вашият персонал стане жертва на фишинг атака, не забравяйте, че начина, по който реагирате след факта, все още може да окаже влияние върху цялостната заплаха. „Ако малък бизнес стане жертва на фишинг атака, винаги е важно да докладвате за това на властите“, съветва Галвин – „и не забравяйте да не наказвате служителите, тъй като това ги обезсърчава да докладват бъдещи инциденти.“
Използването на протокола за отдалечен работен плот (RDP) и други инструменти за отдалечен достъп рязко се увеличи през последните няколко години, тъй като бизнесът все повече възприема хибриден модел. Това обаче може да представлява риск: „С този прозорец към вашата бизнес среда“, казва Галвин, „ако хакерите успеят да намерят отворени портове, като използват софтуер за тестване на проникване като Cobalt Strike, хакване с груба сила на тези отворени портове, за да получат достъп, което да доведе до пълно поемане на контрол върху ИТ системата.“
Йоан Питърс, ръководител на съвместна практика за киберриск в Европа, Близкия изток и Африка с Kroll, препоръчва вашият отдалечен работен плот да бъде достъпен само чрез виртуална частна мрежа (VPN) или решение за виртуален работен плот, за да се сведат до минимум шансовете на нападателя да намери път – и, доколкото е възможно, за установяване на дистанция между критичните за бизнеса ресурси и личните системи на служителите.
„През 2022г. вашият малък бизнес е толкова сигурен, колкото и най-слабият ви доставчик на облачни услуги“, казва Тим Маки, главен стратег по сигурността в Изследователския център за киберсигурност Synopsys. Всъщност защитата на чувствителни данни от изтегляне от инфраструктурата от неоторизирани потребители е едно от най-критичните предизвикателства за бизнес от всякакъв размер. Тъй като компаниите все повече разчитат на базирани в облак платформи като Google Workspace и Microsoft Office 365, за да дадат възможност на служителите си, това е кибер крак, който заплашва да се превърне в пълномащабна дупка в сигурността.
„Един малък бизнес може да няма вътрешен екип по сигурността“, казва Бурак Агджа, инженер по сигурността в Lookout, „но защитата на данните може да бъде приведена в съответствие със сигурни ИТ практики относно начина, по който потребителите имат достъп до инфраструктурата и данните в нея.“ Lee Wrall ви препоръчва сериозно да обмислите инвестиране в управляван доставчик на услуги: „Колкото по-дълго „управлявате“ своя ИТ сами, толкова повече ще бъдете изложени на риск“, предупреждава той. „Малките фирми трябва да свикнат да плащат на някого, за да им позволи да спятспокойно през нощта от най-ранните дни на техния бизнес; повечето доставчици имат мащабиращ ценови модел, за да се впишат в бюджета ви.“
Малките предприятия често нямат ресурсите да подложат всичко на задълбочен преглед на сигурността и това може да доведе до пускане на опасен софтуер в мрежата на вашата компания. „Това се отнася предимно за мобилните приложения“, казва Агджа, „особено след като потребителите могат несъзнателно да изтеглят приложения, изпълнени със злонамерени зареждащи програми, които изтеглят зловреден софтуер на устройството след инсталиране.“
Въпреки че може да е трудно да се наложи в ерата на носенето на собствено устройство (BYOD), софтуерът за сигурност е задължителен за всеки смартфон и таблет, който се използва в среда на малък бизнес. „Проактивната защита от злонамерен софтуер е от решаващо значение за гарантиране, че вашите служители и данни са защитени от заплахи“, казва Агджа.
Съветът е особено уместен, тъй като много малки предприятия имат много малка, ако изобщо имат, видимост за това какви уязвими активи всъщност съществуват в тяхната инфраструктура. Сатя Гупта, основател и главен технологичен директор във Virsec, ни напомня, че атаките по веригата на доставки, които могат да доведат до внедряване на компрометиран или зареден със малуер софтуер, също трябва да се вземат предвид. „Тези атаки се увеличават в обем напоследък и позволяват на атакуващия да инжектира злонамерен код в бизнеса, без да се налага да използва уязвимост или да използва откраднати идентификационни данни“, казва Гупта. Едно добро решение за контрол на приложенията може да помогне за смекчаване на това.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.