Делюсь своим видением по поводу ИТ безопасности и покупки лицензионного программного обеспечения.
Что такое безопасность в ИТ по-простому, в 2-х словах? Это когда ваша информация вводится, просматривается, редактируется, удаляется и доступна только тогда, когда вам это нужно.
Безопасность в ИТ это очень большой, я бы даже сказал огромный вопрос, который в небольшом блоге не опишешь, но если говорить об этом в общем, то можно выделить несколько общих мер по повышению безопасности в компании:
- Те, кто разбираются в ИТ и те, кто нет — знают, что такое вирус и особенно вирус шифровальщик! Многие сталкивались с этим бедствием. Так вот, Антивирус может защитить вас от подобных проблем. Главное, чтобы Антивирус обновлялся и «знал» о последних вирусах. У каждой компании, которая выпускает Антивирус, есть свои лаборатории по выявлению, идентификации и подготовки сигнатур (короткого куска кода вируса для включения в Антивирусную базу). Чья лаборатория раньше других включит сигнатуру в свою базу – тот антивирус и обезвредит вирус. Если Антивирус не поймает вирус по той или иной причине – есть план Б, о нём в другом пункте блога.
На каждом компьютере, на каждом сервере должен стоять Антивирус. Вы скажете – Антивирус тормозит работу системы! Да, скорость работы падает и разные антивирусы, по-разному нагружают систему. Первое, что можно с этим сделать — подобрать Антивирус в зависимости от вашей инфраструктуры (Позвоните мне или напишите). Второе, если у вас хотя бы core-i3, 4 ГБ памяти, то компьютер с Антивирусом, даже который «грузит», будет работать нормально, так что старую технику нужно потихоньку менять.
- Был у меня случай, мой помощник, который должен был контролировать Антивирусную защиту, мало того, что не установил Антивирус на один из компьютеров пользователя, так ещё и когда к нему обратились по поводу подозрительного письма, для «проверки», запустил файл этого письма (JavaScript). Вирус-шифровальщик зашифровал все данные на компьютере, в том числе 1С базу. Я потом чтобы проверить ловит Антивирус или нет, запускал на виртуальной машине с установленным Антивирусом данный вирус. Ловит и уничтожает. Так вот, это я к Плану Б – обязательно, все важные данные (не нужно всё подряд, хотя если место есть…) должны быть зарезервированы или по-простому, их нужно копировать каждый день! Мы просто удалили зашифрованные файлы и скопировали из копии. Зачем платить вымогателю 500-1000 EUR, когда можно просто копировать файлы. Конечно это нужно делать в автоматическом режиме. Существует множество программ, платных и freeware. Существуют подходы к копированию, которые позволяют копировать даже большие объёмы данных. Старайтесь осуществлять копирование в директорию к которой имеет доступ только один специальный пользователь – это убережет вас от заражения или шифрования файлов в копии. Хороший и современный подход предлагает облачный сервис Office 365. На каждый компьютер пользователя устанавливается OneDrive – программа для синхронизации файлов с компьютера пользователя в облако Office 365. Ярлык папки складываем на рабочий стол, и пользователь складывает в эту папку файлы, как если бы он работал с папкой Мои документы. Файлы в автоматическом режиме складываются в облако. Если даже файлы были зашифрованы – облако хранит все изменения ваших фалов и можно просто откатиться на нужную версию.
- Не секрет, что большинство в нашей стране, на работе и дома используют пиратское программное обеспечение. Сейчас уже больше понимания, что пиратский софт – это большая проблема. Обычные люди и организации начинают покупать лицензионное программное обеспечение, но почему это проблема – до конца не понимают. Первое, чего боятся люди – за это могут посадить в тюрьму. Могут, но большую часть страны не посадят. Посадят для острастки, какое-то количество оказавшихся в ненужном месте в ненужное время. Самая большая проблема – нелицензионное программное обеспечение взломано (чтобы работало без покупки) и почти всегда не обновляется. По поводу обновлений, даже от ИТ специалистов я слышал столько ереси, что обновление — это зло! Эту ужасное заблуждение. Зачем обновляется программное обеспечение? В обновлении могут быть: новые возможности, исправление ошибок и повышение безопасности. Что из этого в обновлении – зло? Да, бывают ситуации, когда после обновления что-то исчезает или перестаёт работать, но перед обновлением можно почитать что делает обновление, попробовать это обновление на тестовом компьютере или сервере, сделать копию системы перед обновлением. В крупных компаниях типа Microsoft, Adobe, Oracle и прочих – есть целые подразделения тестировщиков, которые проверяют новые обновления «и в хвост, и в гриву». Как обновления повышают безопасность? Хакеры, которые взламывают сети, компьютеры или серверы организаций и физических лиц – это не всегда какие-то умные, опытные технари. Часто, взломщики – это просто преступные личности, которые хотят лёгких денег. По всему миру, существует множество производителей программного и аппаратного обеспечения для взлома. Сами они не совершают взломов, а только продают дорогое программное обеспечение, которое могут использовать даже не разбирающиеся не только во взломе, но и вообще в ИТ, люди. Взлом, в основном, построен на знании так называемых «дыр» в безопасности. Что это за «дыры»? «Дыры» — это любая возможность получить доступ к данным без соответствующих прав. Например:
- ИТ специалисты или обычные пользователи, просто открывают общий доступ к нужной информации (и это наблюдается достаточно часто). Заходит любой человек на сервер данной организации, а там папки в которых хранятся пароли, ключи ЭЦП, документы. Бери что хочешь. Вы можете сказать, а как злоумышленник узнает адрес моего сервера? Существуют бесплатные программы в открытом доступе для сканирования диапазонов сетей Интернет для выявления открытых портов и сервисов. Программа сканирует миллионы адресов одного из провайдеров Интернет, например, Казахтелеком и показывает где и что доступно.
- При установки программного обеспечения, достаточно часто есть пароли по умолчанию, которые не меняют. Вводишь общеизвестный пароль и вуаля – доступ получен.
- Популярное программное обеспечение, которое используют миллионы или миллиарды людей очень интересно Хакерам, настоящим Хакерам, которые сутки напролёт сидят за компьютерами и ищут способы получения не санкционированного доступа. Например, если ввести в строку слишком большое значение (больше буфера хранения информации данного элемента) и при этом нет защиты от переполнения, то введенные данные могут повредить кусок памяти в которой содержится код управления доступом. И всё, доступ есть. Подобных или более изощренных «дыр» в постоянно улучшаемом программном обеспечении может быть множество. В случае, если производитель программного обеспечения узнаёт о подобной дыре, то он выпускает обновление, в котором содержится исправление и «дыра» закрывается.
- Пиратское программное обеспечение – это измененное оригинальное программное обеспечение, в котором отключена проверка лицензии. Чтобы отключить лицензию, необходимо потратить время опытному Хакеру для создания взлома. Вы верите, что все, кто взламывают программное обеспечение альтруисты? Я не верю! Как хакер может монетизировать свою работу? Он может что-то положить внутрь взломанной программы. Программа превращается в троянского коня, которого вы сами вкатываете в свою ИТ инфраструктуру становясь пособником Хакера и главным виновником несанкционированного доступа.
- Часто программное обеспечение имеет возможность предоставлять разграниченный доступ к данным. То есть кто-то имеет доступ ко всем данным, а кто-то только к части и то только на просмотр. Поскольку правильное предоставление доступа – это кропотливый труд, который начинается с должностных обязанностей, а там уже бардак, то зачастую доступ даётся всем и на всё или очень укрупненно, что даёт возможность инсайдером скачивать информацию и передавать конкурентам.
Если у вас нет возможности купить сразу всё программное обеспечение, то наметьте себе план и покупайте небольшими партиями. Попробуйте использовать облачные сервисы, например, Office 365 – это зачастую дешевле, чем брать и строить всё самому, и есть всё необходимое. Просто часто считают только оборудование и программы, а про полную стоимость владения никто не задумывается. При облачном подходе, часто, серверное оборудование, можно не покупать или покупать частично, а использовать полностью или частично облачную инфраструктуру. Если посчитать всё: электроэнергию, амортизацию, зарплату специалистов, обслуживающих эти системы (в облаке поддержкой занимаются специалисты с высокой квалификацией и это входит в цену), программы (производитель не пожизненно выпускает обновления, а лишь несколько лет) и сервера (они же когда-то устареют или выдут из строя и нужно покупать опять).
- Аутентификация – это способ определения личности
получающего доступ к данным. Это может быть пароль, ЭЦП, eToken и прочие. Это
то, чего не любят пользователи, а под их давлением, ИТ специалисты упрощают её
настолько, что доступ практически открыт. Вот основные проблемы аутентификации:
- Нет пароля – мы уже это обсуждали ранее. Любой может получить доступ.
- Пароль есть, но он всем известен, записан на разных бумажках, его кричат при посторонних людях друг-другу через весь кабинет. При этом пользователь не понимает, что пароль – доступ к данным.
- Пароль очень простой, его можно подобрать (эта процедура называете брутфорс). Возможность брутфорса зависит от длины пароля и используемых символов. Чем длиннее пароль и больше разнообразных больших, маленьких букв, цифр и спецсимволов, тем больше времени нужно, чтобы подобрать пароль. Когда срок подбора настолько большой, то его подбор становится не целесообразным. Кстати есть в Интернет словари часто используемых паролей, когда перебираются не каждая буква пароля, а сразу часто используемые пароли.
- Пароль не меняется годами и его можно, если поставил цель, получить, подсмотрев его набор или другими, более технологичными способами.
Нужно обязательно проводить разъяснительную работу для всех в вашей компании, чтобы знали, что пароль — это важно, важна длина, важна смена пароля, важно держать в секрете. Или внедрять другие способы аутентификации, например, eToken.
- Утечка информации через Инсайдеров. Инсайдер –
это обычный сотрудник, который используя своё служебное положение ищет и часто
находит способ обогатиться за счёт компании, например, продав базу клиентов,
базу зарплат, алгоритмы продаж или другую ценную коммерческую информацию
конкурентам или перекупщикам. Для борьбы с этим древним явлением придуманы
всевозможные DLP системы, настроенные правила которых блокируют и регистрируют
такие утечки. Есть и более простые способы, чтобы помешать таким нечистоплотным
сотрудников. Например:
- Разработать права пользователей так, чтобы не было полного доступа ко всей базе, например, договоров. Чтобы можно было смотреть, но нельзя скачивать и печатать. Я делал подобную систему, причём в облаке Office 365. Конечно можно сфотографировать договор, но сколько нужно фотографий и сколько договоров таким образом можно похитить, если на экране видно только половину страницы pdf файла в один момент времени?
- Запретить на уровне системы, установку пользователями своих программ. Утвердить разрешенный список систем;
- Определить, что является конфиденциальной информацией;
- Запретить разные Mail.ru, Однокласники, VK и прочие (особенно пересылку в них служебной информации), а вместо них используйте внутренние сервисы компании. Например, SharePoint, Teams, Yammer, Stream (Можете даже устроить в них внутреннюю фильмотеку, библиотеку, барахолку, Wikipedia, форумы по интересам);
- Часто Антивирус позволяет закрыть доступ к флэшкам, а бесплатные системы прокси серверов включить блокировки по определенному контенту.
- Системы, которые позволяют контролировать трудолюбие сотрудников, например, Стахановец, позволяют выявлять Инсайдеров в ручном режиме, анализируя их работу на компьютере.
- Доступ извне в вашу систему возможен, если в
ваших основных маршрутизаторах, на которые приходит Интернет, есть открытые
порты, так же доступ часто получают через Wifi. Полностью закрывать порты не
целесообразно. Как минимум открыты 80, 443 – HTTP и HTTPS сервисы, через них мы
получаем из Интернет страницы в браузер, а также ещё небольшой набор портов,
например, почтовые. Чаще всего доступ получают к службе RDP (удаленное подключение
к рабочему столу компьютера), к самому роутеру, почтовым службам, камерам
наблюдения. Как с этим бороться?
- Закройте все не нужные порты;
- Регулярно, обновляйте программное обеспечение, в том числе на роутере;
- Сделайте VPN;
- Ограничьте доступ к Wifi только для устройств с определенными параметрами, например, через защиту RADIUS и настройте политику, чтобы пароли были достаточно сложными и менялись не реже раза в 30 дней, тогда взлом WiFi будет сильно усложнён (лучше конечно вообще без WiFi, но не всегда возможно);
- Отделяйте на канальном уровне Гостевые WiFi от вашей основной сети;
- Ограничьте список лиц, кто имеет доступ к сервисам компании извне;
- Ограничьте доступ по времени;
- Настройте на роутере соответствующие правила для противодействия подборам паролей, используйте ограничения доступа по определенным адресам.
- Резервирование каналов связи, оборудования, систем и электропитания – это мера для обеспечения доступности данных. Если канал связи головной компании отключился, а в головной компании все серверы, то работа в компании «встала». То же относиться и к серверам и системам, которые могут ломаться или отключаться, когда нет подачи электроэнергии. Старайтесь делать резерв тех систем, простой которых не желателен и стоит много денег, то есть сопоставимо или больше стоимости резерва.
Каждый раз, когда вы думаете, что вас прослушивают, ваши данные смотрят, облако – это не надёжно, обновление — зло и вообще всё плохо – проверьте может просто нужно что-то улучшить в вашей компании и тогда крепкий сон вам обеспечен. Если что-то из вышеперечисленного вам нужно, то без стеснения пишите и звоните. Кроме того, что я являюсь ИТ специалистом с очень богатым багажом знаний и опыта (администрирования и программирования) и предлагаю услуги ИТ консалтинга, разработки и внедрения программного обеспечения, я являюсь дилером программного обеспечения около 100 различных компаний.