Михаил Кондрашин, технический директор Trend Micro в России и СНГ, рассказывает о том, как ваши бизнес-приложения могут стать мишенью для хакеров.
Любая современная компания использует разнообразные корпоративные приложения, чтобы позволить сотрудникам выполнять свои обязанности. К таким приложениям относятся системы ERP, CRM, инструменты обмена файлами и другие решения. В наше время экзотикой является скорее неиспользование подобных продуктов.
Увы, очень часто бизнес-приложения становятся мишенью для киберпреступников. Одна незащищенная уязвимость открывает широкие возможности для проведения серьезной кибератаки. В результате преступник получит доступ к финансовым инструментам, конфиденциальным данным и персональной информации клиентов. Более того, сама пострадавшая компания может невольно стать инструментом в мошеннических схемах.
Масштаб проблемы
По оценкам специалистов, более 70% приложений, используемых в корпоративной среде, страдают как минимум от одной уязвимости, которая будет обнаружена при первом же сканировании специальными средствами. Для Java-приложений этот показатель еще выше — больше 80%. При этом регулярные проверки на наличие уязвимых компонентов проводят менее 30% компаний. Поэтому не стоит в сегодняшней ситуации обвинять только разработчиков приложений. Сами компании должны отвечать за своевременную установку уже выпущенных заплат.
В то же время обеспечить необходимым обслуживанием все приложения на предприятии непросто, так как их количество постоянно меняется. Сегодня даже небольшие предприятия могут использовать 500 приложений. Причем большинство из них устанавливается неофициально и никак не контролируется ИТ-подразделением. Так, сотрудник исходя из собственных предпочтений или привычек, может позволить себе установить любимое приложение, которое в будущем окажется потенциальной точкой входа для совершения атаки.
Другая угроза связана с тем, что более 80% данных, которые оказываются внутри компании, либо поступают из публичных систем обмена файлами, либо загружаются приложениями, которые не обеспечивают надежное хранение полученных. И чем крупнее предприятие, тем больше масштаб потенциальных угроз и ущерба для бизнеса.
Фото: Unsplash
Ландшафт угроз
Сотрудники компаний за время своей работы периодически устанавливают популярные приложения, не переживая за надежность того или иного продукта. Мало кто задумывается о том, что происходит с файлами на подобных платформах: в каком виде они хранятся, происходит ли шифрование при их передаче и кто еще имеет к ним доступ.
Как показывает опыт, неприятности могут случиться даже с самыми известными сервисами, как, например, Dropbox, который пережил масштабную утечку данных в 2014 году. Тогда 7 миллионов имени пользователей и их паролей попали в руки хакеров.
Серьезные проблемы могут доставить и уязвимости в критичных бизнес-приложениях типа CRM. В прошлом месяце специалистам стало известно о двух найденных уязвимостях в компоненте системы SAP CRM. Злоумышленники получили возможность прочитать зашифрованные учетные данные администратора, после чего расшифровывать пароль и авторизоваться на портале.
Фото: Unsplash
Мы считаем, что одной из самых серьезных угроз может оказаться манипулирование производственными средами предприятий. Именно эту цель будут преследовать киберпреступники, пытаясь проникнуть в корпоративные информационные системы. Сценариев реализации такого проникновения может быть несколько, но наиболее вероятным представляется создание сбоев в работе информационных систем и создание так называемых «цифровых клонов» систем управления, деятельность которых будет направлена на разрушение бизнес-процессов.
В качестве вероятного примера такой атаки можно привести простой для понимания сценарий: получив доступ к управлению ERP (системе управления предприятием), злоумышленники подменяют номера финансовых документов, осуществляют денежные переводы или даже перезагружают систему. Результат такого вмешательства — прямая кража средств со счетов компании и косвенные потери, которые могут оказаться для бизнеса катастрофическими.
Рекомендации
Опыт показывает, что большинства инцидентов, связанных с уязвимостью приложений, можно было бы избежать при соблюдении простых правил.
Во-первых, информационная система компании должна быть абсолютно прозрачна для руководства и ИТ-администраторов. Самостоятельная установка любых приложений или даже надстроек сотрудниками должна быть строго запрещена, а все работающие в корпоративной сети бизнес-приложения должны быть хорошо известны.
Во-вторых, обновления систем и приложений должны устанавливаться не просто регулярно, а сразу же после их рассылки производителями ПО. В прошлом году установилась традиция: такие гиганты, как Microsoft и Adobe стали выпускать патчи каждый вторник. Мы видим, что, число уязвимостей из года в год не снижается. Это значит, что любой компании нужно внимательно следить за тем, чтобы обновления устанавливались на все без исключения компьютеры регулярно и своевременно.
В-третьих, каждый сотрудник, имеющий доступ к информационной системе предприятия, должен пройти подготовку по обеспечению безопасности приложений. Оно должно касаться не только работы с самими приложениями, но и порядка доступа к ним, использования мобильных устройств, правил создания паролей.
Четвертая мера: формирование так называемого «белого списка» приложений. Работать в корпоративной сети могут только те из них, что прошли проверку, регулярно обновляются и получают необходимую защиту от вендора или разработчика системы защиты информации. Современные продукты класса Application Control позволяют реализовать подобный контроль предельно гибко и с минимальными усилиями со стороны технического персонала компании.
Использование такой системы, непременно комплексной, тоже обязательная мера. Выбор на рынке достаточно широк, чтобы найти подходящее решение. Сомневаетесь? Обратитесь к компаниям-консультантам в области кибербезопасности, которые подберут наиболее подходящее решение. И, кстати, помогут с обучением персонала.
Материалы по теме:
11 советов о том, как защитить свои данные в интернете
Хакеры смогли создать ключ к миллионам гостиничных номеров
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Старт работы на Яндекс Маркете»
- 1 Безопасность мобильных приложений: главные угрозы и способы защиты данных
- 2 В России разработали ИИ-модуль для поиска преступников в Telegram
- 3 Графический ключ — один из самых ненадежных способов блокировки смартфона
- 4 Безопасное управление данными сотрудников: сбор и хранение персональных сведений
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025