Как защитить свой бизнес от хакеров, которые используют уязвимости в приложениях
Четыре способа
Михаил Кондрашин, технический директор Trend Micro в России и СНГ, рассказывает о том, как ваши бизнес-приложения могут стать мишенью для хакеров.
Любая современная компания использует разнообразные корпоративные приложения, чтобы позволить сотрудникам выполнять свои обязанности. К таким приложениям относятся системы ERP, CRM, инструменты обмена файлами и другие решения. В наше время экзотикой является скорее неиспользование подобных продуктов.
Увы, очень часто бизнес-приложения становятся мишенью для киберпреступников. Одна незащищенная уязвимость открывает широкие возможности для проведения серьезной кибератаки. В результате преступник получит доступ к финансовым инструментам, конфиденциальным данным и персональной информации клиентов. Более того, сама пострадавшая компания может невольно стать инструментом в мошеннических схемах.
Масштаб проблемы
По оценкам специалистов, более 70% приложений, используемых в корпоративной среде, страдают как минимум от одной уязвимости, которая будет обнаружена при первом же сканировании специальными средствами. Для Java-приложений этот показатель еще выше — больше 80%. При этом регулярные проверки на наличие уязвимых компонентов проводят менее 30% компаний. Поэтому не стоит в сегодняшней ситуации обвинять только разработчиков приложений. Сами компании должны отвечать за своевременную установку уже выпущенных заплат.
В то же время обеспечить необходимым обслуживанием все приложения на предприятии непросто, так как их количество постоянно меняется. Сегодня даже небольшие предприятия могут использовать 500 приложений. Причем большинство из них устанавливается неофициально и никак не контролируется ИТ-подразделением. Так, сотрудник исходя из собственных предпочтений или привычек, может позволить себе установить любимое приложение, которое в будущем окажется потенциальной точкой входа для совершения атаки.
Другая угроза связана с тем, что более 80% данных, которые оказываются внутри компании, либо поступают из публичных систем обмена файлами, либо загружаются приложениями, которые не обеспечивают надежное хранение полученных. И чем крупнее предприятие, тем больше масштаб потенциальных угроз и ущерба для бизнеса.
Фото: UnsplashЛандшафт угроз
Сотрудники компаний за время своей работы периодически устанавливают популярные приложения, не переживая за надежность того или иного продукта. Мало кто задумывается о том, что происходит с файлами на подобных платформах: в каком виде они хранятся, происходит ли шифрование при их передаче и кто еще имеет к ним доступ.
Как показывает опыт, неприятности могут случиться даже с самыми известными сервисами, как, например, Dropbox, который пережил масштабную утечку данных в 2014 году. Тогда 7 миллионов имени пользователей и их паролей попали в руки хакеров.
Серьезные проблемы могут доставить и уязвимости в критичных бизнес-приложениях типа CRM. В прошлом месяце специалистам стало известно о двух найденных уязвимостях в компоненте системы SAP CRM. Злоумышленники получили возможность прочитать зашифрованные учетные данные администратора, после чего расшифровывать пароль и авторизоваться на портале.
Фото: UnsplashМы считаем, что одной из самых серьезных угроз может оказаться манипулирование производственными средами предприятий. Именно эту цель будут преследовать киберпреступники, пытаясь проникнуть в корпоративные информационные системы. Сценариев реализации такого проникновения может быть несколько, но наиболее вероятным представляется создание сбоев в работе информационных систем и создание так называемых «цифровых клонов» систем управления, деятельность которых будет направлена на разрушение бизнес-процессов.
В качестве вероятного примера такой атаки можно привести простой для понимания сценарий: получив доступ к управлению ERP (системе управления предприятием), злоумышленники подменяют номера финансовых документов, осуществляют денежные переводы или даже перезагружают систему. Результат такого вмешательства — прямая кража средств со счетов компании и косвенные потери, которые могут оказаться для бизнеса катастрофическими.
Рекомендации
Опыт показывает, что большинства инцидентов, связанных с уязвимостью приложений, можно было бы избежать при соблюдении простых правил.
Во-первых, информационная система компании должна быть абсолютно прозрачна для руководства и ИТ-администраторов. Самостоятельная установка любых приложений или даже надстроек сотрудниками должна быть строго запрещена, а все работающие в корпоративной сети бизнес-приложения должны быть хорошо известны.
Во-вторых, обновления систем и приложений должны устанавливаться не просто регулярно, а сразу же после их рассылки производителями ПО. В прошлом году установилась традиция: такие гиганты, как Microsoft и Adobe стали выпускать патчи каждый вторник. Мы видим, что, число уязвимостей из года в год не снижается. Это значит, что любой компании нужно внимательно следить за тем, чтобы обновления устанавливались на все без исключения компьютеры регулярно и своевременно.
В-третьих, каждый сотрудник, имеющий доступ к информационной системе предприятия, должен пройти подготовку по обеспечению безопасности приложений. Оно должно касаться не только работы с самими приложениями, но и порядка доступа к ним, использования мобильных устройств, правил создания паролей.
Четвертая мера: формирование так называемого «белого списка» приложений. Работать в корпоративной сети могут только те из них, что прошли проверку, регулярно обновляются и получают необходимую защиту от вендора или разработчика системы защиты информации. Современные продукты класса Application Control позволяют реализовать подобный контроль предельно гибко и с минимальными усилиями со стороны технического персонала компании.
Использование такой системы, непременно комплексной, тоже обязательная мера. Выбор на рынке достаточно широк, чтобы найти подходящее решение. Сомневаетесь? Обратитесь к компаниям-консультантам в области кибербезопасности, которые подберут наиболее подходящее решение. И, кстати, помогут с обучением персонала.
Материалы по теме:
11 советов о том, как защитить свои данные в интернете
Хакеры смогли создать ключ к миллионам гостиничных номеров
-
Ритейл Когда ручная отчётность мешает компании расти: как ускорить аналитику в фешен-ретейле 16 апреля 2026, 18:29
-
Искусственный интеллект Экономика суверенитета: как финансовый сектор, промышленность и ретейл монетизируют новые технологии 28 апреля 2026, 17:00
-
Деньги Персональные данные и цифровой след: кто и как на них зарабатывает 27 марта 2026, 10:11
-
Технологии Подключённые автомобили: как интернет меняет автопром 25 марта 2026, 13:17
-
Карьера Зумеры в управлении — не мода, а необходимость 28 февраля 2026, 01:00
-
Личное «Успешным я стану, продав бизнес и уехав в Африку реабилитировать горилл». Интервью с ресторатором Денисом Бобковым 10 апреля 2026, 17:00
-
IT Мессенджер imo в России в 2026 году: где скачать, как установить и начать пользоваться 09 апреля 2026, 19:38
-
Кибербезопасность Как пополнить Apple ID в России после 1 апреля 2026 года 03 апреля 2026, 19:34
-
Банки В начале 2026 года кредитные договоры с уступками приблизились к полумиллиону — ипотека и автокредиты в приоритете 28 апреля 2026, 20:00
-
Бизнес Flowwow открывает первый офлайн-магазин в центре Москвы: помимо товаров в нём будут кафе и лаундж-зоны 28 апреля 2026, 19:35
-
Технологии «Возможность конкурировать с криптобиржами — вызов»: в России появится законопроект по регуляции рынка криптовалюты 28 апреля 2026, 19:12
-
Искусственный интеллект OpenAI не смогла выполнить цели по наращиванию продаж и аудитории — это отразилось на акциях партнёров стартапа 28 апреля 2026, 19:00
-
Реклама В Яндексе доля рекламных бюджетов под управлением ИИ достигла 85% — нейросети генерируют почти каждый третий баннер 28 апреля 2026, 18:21
-
Тренды «Массового замещения людей машинами» не будет: главным барьером для бизнеса станет не ИИ, а дефицит кадров 28 апреля 2026, 16:01
-
Банки В Москве проходит Альфа-Саммит — топ-менеджеры обсуждают ключевые вызовы бизнеса и экономики 28 апреля 2026, 10:00
-
Бизнес Тим Кук покидает пост CEO Apple — его преемником станет главный инженер компании Джон Тернус 21 апреля 2026, 00:07
