Как защитить свой бизнес от хакеров, которые используют уязвимости в приложениях

Михаил Кондрашин
Михаил Кондрашин

Технический директор Trend Micro в России и СНГ

Расскажите друзьям
Вероника Елкина

Михаил Кондрашин, технический директор Trend Micro в России и СНГ, рассказывает о том, как ваши бизнес-приложения могут стать мишенью для хакеров.

Любая современная компания использует разнообразные корпоративные приложения, чтобы позволить сотрудникам выполнять свои обязанности. К таким приложениям относятся системы ERP, CRM, инструменты обмена файлами и другие решения. В наше время экзотикой является скорее неиспользование подобных продуктов.

Увы, очень часто бизнес-приложения становятся мишенью для киберпреступников. Одна незащищенная уязвимость открывает широкие возможности для проведения серьезной кибератаки. В результате преступник получит доступ к финансовым инструментам, конфиденциальным данным и персональной информации клиентов. Более того, сама пострадавшая компания может невольно стать инструментом в мошеннических схемах.

Масштаб проблемы

По оценкам специалистов, более 70% приложений, используемых в корпоративной среде, страдают как минимум от одной уязвимости, которая будет обнаружена при первом же сканировании специальными средствами. Для Java-приложений этот показатель еще выше — больше 80%. При этом регулярные проверки на наличие уязвимых компонентов проводят менее 30% компаний. Поэтому не стоит в сегодняшней ситуации обвинять только разработчиков приложений. Сами компании должны отвечать за своевременную установку уже выпущенных заплат.

Чтобы вы не ошиблись при выборе, Rusbase рекомендует своим читателям надежных юристов и адвокатов.

В то же время обеспечить необходимым обслуживанием все приложения на предприятии непросто, так как их количество постоянно меняется. Сегодня даже небольшие предприятия могут использовать 500 приложений. Причем большинство из них устанавливается неофициально и никак не контролируется ИТ-подразделением. Так, сотрудник исходя из собственных предпочтений или привычек, может позволить себе установить любимое приложение, которое в будущем окажется потенциальной точкой входа для совершения атаки.

Другая угроза связана с тем, что более 80% данных, которые оказываются внутри компании, либо поступают из публичных систем обмена файлами, либо загружаются приложениями, которые не обеспечивают надежное хранение полученных. И чем крупнее предприятие, тем больше масштаб потенциальных угроз и ущерба для бизнеса.

picФото: Unsplash

Ландшафт угроз

Сотрудники компаний за время своей работы периодически устанавливают популярные приложения, не переживая за надежность того или иного продукта. Мало кто задумывается о том, что происходит с файлами на подобных платформах: в каком виде они хранятся, происходит ли шифрование при их передаче и кто еще имеет к ним доступ.

Как показывает опыт, неприятности могут случиться даже с самыми известными сервисами, как, например, Dropbox, который пережил масштабную утечку данных в 2014 году. Тогда 7 миллионов имени пользователей и их паролей попали в руки хакеров.

Серьезные проблемы могут доставить и уязвимости в критичных бизнес-приложениях типа CRM. В прошлом месяце специалистам стало известно о двух найденных уязвимостях в компоненте системы SAP CRM. Злоумышленники получили возможность прочитать зашифрованные учетные данные администратора, после чего расшифровывать пароль и авторизоваться на портале.

picФото: Unsplash

Мы считаем, что одной из самых серьезных угроз может оказаться манипулирование производственными средами предприятий. Именно эту цель будут преследовать киберпреступники, пытаясь проникнуть в корпоративные информационные системы. Сценариев реализации такого проникновения может быть несколько, но наиболее вероятным представляется создание сбоев в работе информационных систем и создание так называемых «цифровых клонов» систем управления, деятельность которых будет направлена на разрушение бизнес-процессов.

В качестве вероятного примера такой атаки можно привести простой для понимания сценарий: получив доступ к управлению ERP (системе управления предприятием), злоумышленники подменяют номера финансовых документов, осуществляют денежные переводы или даже перезагружают систему. Результат такого вмешательства — прямая кража средств со счетов компании и косвенные потери, которые могут оказаться для бизнеса катастрофическими.

Рекомендации

Опыт показывает, что большинства инцидентов, связанных с уязвимостью приложений, можно было бы избежать при соблюдении простых правил.

Во-первых, информационная система компании должна быть абсолютно прозрачна для руководства и ИТ-администраторов. Самостоятельная установка любых приложений или даже надстроек сотрудниками должна быть строго запрещена, а все работающие в корпоративной сети бизнес-приложения должны быть хорошо известны.

Во-вторых, обновления систем и приложений должны устанавливаться не просто регулярно, а сразу же после их рассылки производителями ПО. В прошлом году установилась традиция: такие гиганты, как Microsoft и Adobe стали выпускать патчи каждый вторник. Мы видим, что, число уязвимостей из года в год не снижается. Это значит, что любой компании нужно внимательно следить за тем, чтобы обновления устанавливались на все без исключения компьютеры регулярно и своевременно.

В-третьих, каждый сотрудник, имеющий доступ к информационной системе предприятия, должен пройти подготовку по обеспечению безопасности приложений. Оно должно касаться не только работы с самими приложениями, но и порядка доступа к ним, использования мобильных устройств, правил создания паролей.

Четвертая мера: формирование так называемого «белого списка» приложений. Работать в корпоративной сети могут только те из них, что прошли проверку, регулярно обновляются и получают необходимую защиту от вендора или разработчика системы защиты информации. Современные продукты класса Application Control позволяют реализовать подобный контроль предельно гибко и с минимальными усилиями со стороны технического персонала компании.

Использование такой системы, непременно комплексной, тоже обязательная мера. Выбор на рынке достаточно широк, чтобы найти подходящее решение. Сомневаетесь? Обратитесь к компаниям-консультантам в области кибербезопасности, которые подберут наиболее подходящее решение. И, кстати, помогут с обучением персонала.


Материалы по теме:

11 советов о том, как защитить свои данные в интернете

Хакеры смогли создать ключ к миллионам гостиничных номеров

«Заказать кибератаку теперь не сложнее, чем пиццу в офис»

ESET: В 2018 году хакеры переключатся на малый бизнес


Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter


Комментарии

  • Щеглов Андрей
    Щеглов Андрей 11:22, 19.05.2018
    0
    Предлагаю познакомиться с эффективными технологиями защиты - корпоративной системы: http://npp-itb.ru/images/docs/alldocs/pitch.pdf домашних компьютеров: http://www.npp-itb.spb.ru/files/szd.pdf
Зарегистрируйтесь, чтобы оставлять комментарии и получить доступ к Pipeline — социальной сети, соединяющей стартапы и инвесторов.
Volga Angels 2018
7 сентября 2018
Ещё события


Telegram канал @rusbase