Как самостоятельно провести аудит кибербезопасности
Аудиты кибербезопасности могут помочь предприятиям защититься от потенциальных угроз. Аудит – основополагающий процесс выявления критических недостатков в архитектуре кибербезопасности вашей компании.
Внешние аудиты проводятся профессионалами, которые имеют все необходимые инструменты и программное обеспечение для проведения тщательного анализа. Внешние аудиторы имеют преимущество в понимании всех процессов информационной безопасности и обучены выявлять недостатки как в физических, так и в ИТ-системах.
Внутренний аудит имеет ряд преимуществ благодаря скорости проведения и стоимости. Зачастую, онт является более реалистичным и приемлемым вариантом для микропредприятий и малого бизнеса.
С помощью внутреннего аудита безопасности вы сможете определить базовый уровень, на основании которого вы будете оцениваться улучшения при будущих проверках.
Что нужно сделать в первую очередь?
1. Определите приоритеты в области безопасности
Первая задача – определить все активы предприятия. Они могут включать в себя компьютеры, серверы, информационные систем, конфиденциальные данные, информацию о клиентах и т.д.
Далее следует разделить активы на две группы: то, что будет проверяться, и то, что не будет. Если предприятие использует большое количество информационных активов, то практически нереально включить все в процесс внутреннего аудита. Поэтому вы должны выделить самые чувствительные активы и акцентировать свое внимание на них.
2. Определение потенциальных угроз
Следующим шагом будет оценка потенциальных угроз для активов. Угрозы могут варьироваться от использования слабых паролей и фишинга, до утечки данных клиентов. Следует выявить все угрозы, которые могут навредить вашему бизнесу.
Приведем список основных угроз:• Сотрудники компании - это первая линия обороны. Любое слабое звено в этой цепи может поставить под угрозу целостность все инфраструктуры. Поэтому стоит задать вопрос: насколько хорошо сотрудники обучены основам информационной безопасности и кибергигиене? Обучены ли замечать подозрительную активность и строго следовать протоколам безопасности? Используют ли личные пароли для корпоративных учетных записей?
• Фишинговые атаки. Злоумышленники регулярно используют фишинговые атаки для получения доступа к конфиденциальной информации и даже ИТ-активам предприятия.
• Ненадежные пароли. Слабые или скомпрометированные пароли являются наиболее распространенным методом, используемым хакерами для получения доступа к сетям.
• Инсайдерские угрозы. Не хочется думать, что кто-то внутри компании навредит бизнесу намеренно или случайно, но, к сожалению, это возможно, и действительно происходит.
• DDoS-атаки. Мишенью для DDoS-атаки могут стать не только общедоступные веб-сайты и ресурсы, но и критически важные бизнес-приложения, которые компании и их деловые партнеры используют в операционной деятельности. Недоступность интернет-ресурсов и внутренних приложений приводит к нарушению работы организации, а также финансовым и репутационным потерям.
• BYOD. Позволяет ли организация использовать сотрудникам личные девайсы? Любое устройство, имеющее доступ к вашим системам, должно быть учтено и должным образом проверено, даже если оно не принадлежит вашему бизнесу.
• Вредоносное ПО. Термин, используемый для описания вредоносных программ, включая шпионские программы, программы-вымогатели, трояны, вирусы, черви и др.. Вредоносные программы проникают в сеть через уязвимость или когда пользователь переходит по вредоносной ссылку/открывает зараженный файл, тем самым, устанавливая вредносное ПО на устройство.
•Уязвимости ПО. Любое программное обеспечение подвержено уязвимостям. Обнаружив их и распространив, киберпреступники позволяют злоумышленникам быстро воспользоваться ими для атак на уязвимые сети.
3. Оценка текущих процессов обеспечения безопасности
Теперь, когда вы выявили потенциальные угрозы, нужно честно определить, достаточно ли текущая инфраструктура оснащена для защиты от них.
На этом этапе вы оцениваете только эффективность ваших текущих мер/процессов информационной безопасности. Вы должны проанализировать каждое звено в цепочке и выявить слабые места, будь то персонал, процедуры безопасности или техническая оснащенность.
На данном этапе внешний аудит может быть особенно полезен, поскольку у аудитора нет внутренних предубеждений, которые могли бы исказить окончательные результаты проверки.
Для достоверности этапа крайне важно обойти любые предубеждения, которые вы испытываете по отношению к сотрудникам на определенных должностях или даже к своей собственной работе.
Для выполнения этого этапа ответьте на следующие вопросы:
• Существуют ли в компании политики и регламенты информационной безопасности? Планы реагирования на киберинциденты?• Есть ли профильный сотрудник, отвечающий за информационную безопасность?
• Обладают ли сотрудники достаточным уровнем компетенции в вопросах безопасности?
• Используется ли антивирусное ПО на всех устройствах?
• Как осуществляется сегментация сети?
•Как осуществляется защита корпоративных ресурсов и мобильных устройств?
• Использует ли компания VPN, межсетевые экраны, системы обнаружения вторжений?
4. Определение приоритетов
Это самый важный этап в процессе внутреннего аудита. Посмотрите на список угроз и сравните потенциальный ущерб с вероятностью того, что это событие может произойти. Таким образом, вы получите оценку риска.
Например, масштабная DDoS-атака может полностью ограничить доступ к вашим веб-ресурсам в течение неопределенного периода времени, что приведет к "высокому риску", но масштабные атаки на небольшое предприятие маловероятны. Соответственно, оценка должна быть снижена.
На этом этапе очень важно оценить следующие факторы:
• История киберинцидентов. Случались ли ранее инцидент кибербезопасности? Была ли ваша сеть скомпрометирована?• Тенденции в области кибербезопасности. Какие методы используют киберпреступники? С какими угрозами все чаще сталкиваются компании? Появились ли новые технические решения для защиты от угроз?
• Тенденции отрасли. Какие киберугрозы распространены в вашей отрасли?
•Комплаенс. какие нормативные требования вы обязаны соблюдать? Попадает ли ваша организация под нормативные требования по защите информации?
Не забудьте включить результаты оценки эффективности мер безопасности (шаг № 3) при оценке риска потенциальных угроз.
5. Разработайте решения по безопасности
Последний шаг внутреннего аудита безопасности, пожалуй, самый простой – используя информацию из прошлых этапов, составьте список решений по улучшению инфраструктуры информационной безопасности. За основу можно взять фреймворки ИБ:
Ниже приведен список стандартных решений безопасности, которые стоит рассмотреть в первую очередь:
• Обучение сотрудников. Людям свойственно ошибаться. Создание программы обучений основам информационной безопасности для новых сотрудников и переподготовка текущих повысят осведомленность в области ИБ и уменьшат количество допускаемых ошибок.• Защита электронной почты. Число случаев фишинговых атак растет из года в год. Спам-фильтры помогают до определенного момента, но это отличная возможность снизить поток фишинговых писем.
• Резервное копирование. Одна из самых больших проблем - если ваши данные скомпрометированы или зашифрованы вирусом. Внедрение системы резервного копирования и восстановления данных значительно снизит ваши риски.
• Современное программное обеспечение. Поддержание актуальных версий ПО на каждом устройстве в вашей сети - важный шаг на пути к обеспечению безопасности потенциальных точек входа злоумышленников. Вы можете принудительно выполнять ручные обновления или использовать программное обеспечение, которое не позволяет пользователям устройств без актуальных обновлений получить доступ к важной информации.
• Управление паролями. Любой пароль должен быть уникальным и достаточно сложным. Рассмотрите возможность внедрения политики управления паролями и двухфакторной аутентификации.
• Управление доступом. Скомпрометированные учетные записи часто служат точкой входа злоумышленников в сеть организации. Контролируя доступ пользователей, компании могут устранить случаи нарушения политик безопасности, утечки личных данных и незаконного доступа к конфиденциальной информации. Системы предоставляют администраторам инструменты и технологии для изменения роли пользователей, отслеживания действий, создания отчетов об этих действиях и обеспечения соблюдения политик безопасности.
• Предотвращение утечек. Ценность информации нельзя недооценивать. Риски, связанные с утечкой конфиденциальных данных, порождают необходимость совершенствования методов защиты. Data Loss Prevention (DLP) системы анализируют и блокируют данные, передаваемые с помощью электронной почты, мессенджеров, интернет-ресурсов и других источников. Например, если сотрудник попытается переслать деловую почту за пределы корпоративного домена или загрузить корпоративный файл в облачное хранилище Google Drive, то это действие будет остановлено.
• Сетевая безопасность. Развитие методов проникновения в корпоративные сети, а также нарушения их работоспособности делают сетевую безопасность основой комплексной системы информационной безопасности организаций. Средства обеспечения сетевой безопасности: межсетевое экранирование (NGFW), VPN, универсальный шлюз безопасности (UTM), обнаружение и предотвращение вторжений (IPS/IDS), управление сетевым доступом (NAC).
•Защита приложений. Повсеместное использование веб-технологий в бизнесе и глобальный характер Интернета делает веб-сайты, веб-приложения и другие веб-ресурсы наиболее уязвимыми бизнес-активами. Большинство уязвимостей безопасности в веб-приложениях вызваны программными ошибками. Такие уязвимости, как отказ в обслуживании (DDoS), SQL-инъекции, межсайтовый скриптинг (XSS), подделка межсайтовых запросов (CSRF), неправильные настройки безопасности, недостатки бизнес-логики используются злоумышленниками для доступа к конфиденциальным данным, компрометации веб-серверов, создания угроз для пользователей или нарушения функционирования веб-ресурсов. Средства защиты: WAF (Web Application Firewall) - перехватывает весь трафик к веб-приложению, ищет вредоносную активность и предупреждает об угрозе или полностью блокирует подключение; Анализ безопасности кода – это статический и динамический анализ кода с целью поиска потенциальных уязвимостей, ошибок и угроз безопасности приложений.
Важно помнить, что внутренний аудит – это не единовременная проверка, а непрерывный процесс.
Постоянно совершенствуя процессы и технологии информационной безопасности, вы создадите культуру, при которой каждый сотрудник будет обеспокоен любыми потенциальными нарушениями безопасности.
