Як захистити бізнес в Україні від кібератак? | robot_dreams
Для отслеживания статуса заказа — авторизируйтесь
Введите код, который был выслан на почту Введите код с SMS, который был выслан на номер
 
Код действителен в течение 5 минут Код с sms действителен в течение 5 минут
Вы уверены, что хотите выйти?
Сеанс завершен
На главную
«Трошки параної ніколи не завадить»: Eксперти з безпеки у Bolt та Grammarly радять, як захистити бізнес в Україні від кібератак

«Трошки параної ніколи не завадить»: Eксперти з безпеки у Bolt та Grammarly радять, як захистити бізнес в Україні від кібератак

Конспект лекції Юлії Лаанеотс та Станіслава Лановського на конференції STRUM 2.0

У червні 2024 року відбулася онлайн-конференція STRUM 2.0. Security Engineer у Bolt Юлія Лаанеотс та Security Engineer у Grammarly Станіслав Лановський поділилися власними кейсами про захист даних в умовах повномасштабної війни. Як українському бізнесу відбити атаки злочинців та ворога — читайте в матеріалі robot_dreams.

«Вже після 2014 року відбулися помітні зміни. Стало зрозуміло, що кіберпростір — це ще одне поле бою, його також треба захищати. В Україні, яка постійно перебуває під атаками, попит на таких спеціалістів зростає», — каже WOMEN in it Олександра Кардаш, Senior Software Engineer в Google.

За даними Держспецзв’язку, у 2023 році в Україні зафіксували понад 2500 кібератак. Кількість цих випадків зросла майже на 16%. Основними цілями для цих нападів, згідно з інформацією команди реагування CERT-UA, стали:

  • урядові організації;
  • органи місцевої влади;
  • сектор безпеки та оборони;
  • комерційні та освітні організації;
  • енергетичний сектор;
  • телекомунікації;
  • фінансові установи;
  • IT-сектор.
Ми пам’ятаємо сумнозвісну атаку на “Київстар”, що завдала, напевно, найбільшої шкоди мобільним операторам за час незалежності. Крім того, постійно відбувалися атаки на держструктури, їхні застосунки та сервіси. Ціллю стали й приватні компанії. Зачепило навіть GameDev, як приклад — GSC Game World, розробник легендарної гри S.T.A.L.K.E.R. Чи є хоч одна сфера, яка може почуватися захищеною? Спойлер: ні, немає»,

— розповів Станіслав Лановський.

Він запевнив, що Big Data, або великі дані кожної компанії чи організації в Україні рано чи пізно стануть, якщо ще не стали, мішенню зловмисників. Кібербезпека — невіддільний складник розвитку та стабільності.

Big Data мають перелік характеристик. Головні з них:

  • Volume (обсяг даних);
  • Velocity (швидкість їхнього накопичення);
  • Variaty (різноманіття даних).

Також є опційні характеристики — це Viability (життєздатність) і Value (цінність даних).

Життєздатність вказує, наскільки актуальні дані за певний період часу. Це залежить від контексту, сфери застосування й технологій, що використовували для їхнього збору та аналізу.

Цінність — важливість чи користь даних для організації або бізнесу. Це може бути їхня потенційна роль для ухвалення рішень, вдосконалення продуктів, послуг та бізнес-процесів.

Наприклад, дані про покупки клієнтів мають велику цінність для маркетологів або рекламодавців, адже за допомогою цієї інформації фахівці зможуть персоналізувати послуги та рекламу», 

— пояснила Юлія Лааонеотс.

Big Data окремо поділяють на типи:

  • структуровані дані (наприклад, бази даних із визначеними полями);
  • напівструктуровані (формати JSON, XML тощо);
  • неструктуровані (відео-, аудіо-, текстові файли).
Дані можуть не лише накопичуватися в межах вашого сервісу чи застосунку, а й походити від різних джерел, з якими є взаємодія. Їх можуть збирати від працівників, це можуть бути системні логи, що фіксують події в інфраструктурі вашої організації чи компанії», 

— наголосила Security Engineer у Bolt.

статьи по теме:
Post cover «Продукт не для войны, а для людей»: Co-founder SkyLab о развитии military tech в Украине

Конспект лекции Евгения Рвачова на онлайн-конференции STRUM

Post cover «Тренувальний центр розташований за 15 км від нуля», — Co-founder SKIFTECH про реформи в підготовці бійців ЗСУ та роль Defence Tech

Конспект лекції Михайла Обода на конференції STRUM 2.0

Неабияке значення в структурі бізнесу має Sensitive Data, або чутлива інформація. Розголошення цих даних, неправильне використання та несанкціонований доступ може спричинити серйозні наслідки.

Ось які види Sensitive Data існують:

  • приватні або персональні дані (інформація про клієнтів, користувачів сервісу або працівників компанії: ім’я, адреса, номер мобільного телефону, історія пошуку та покупок тощо);
  • чутливі бізнес-дані (інформація про внутрішні процеси, стратегію та секрети, фінансовий стан або ділових партнерів компанії).

Відповідно, є категоризація цих даних. Їх поділяють на конфіденційну інформацію (Confidential), дані з обмеженим доступом (Restricted), дані для внутрішнього користування (Internal) та публічні дані (Public).

Щоб ефективно управляти чутливими даними, варто визначити їхні межі, обсяг та зміст (Define the scope). Це легко зробити, відповівши на запитання: «Що збираємо?», «Як збираємо?», «Де зберігаємо?», «Як обробляємо?».

Насамперед треба поставити собі запитання: “А чи насправді потрібно збирати ці дані”? Якщо чіткої відповіді немає, то ми не робимо цього. Можна подумати: “А що, як знадобиться? Ось коли знадобиться, тоді й збиратимемо”»,

— поділилася досвідом Юлія Лааонеотс.

Що стосується зберігання Big Data, це можна робити як за допомогою локального ПО (On-premise), так і хмари (Cloud). Їхнє об’єднання в гібридну модель теж допустиме.

Кіберзлочинець завжди націлений на документи й записи, які зберігаються у сховищах (Data Storage), базах даних (Database) тощо. А точкою доступу до даних найчастіше стають самі працівники компанії, внутрішні сервіси (наприклад, боти) та незахищені API.

Працівники мають доступ до внутрішньої документації, баз даних. Якщо їхні облікові записи будуть скомпрометовані або вони зловживатимуть своїми привілеями, це може призвести до витоку та крадіжки даних»,

— роз’яснила Юлія Лаанеотс.

Отже, можна визначити вектори потенційних загроз:

  • зовнішні (DDoS-атаки, програми-вимагачі (ransomware), фішинг);
  • внутрішні (інсайдерські атаки, зловживання привілеями).

Для запобігання негативним наслідкам треба потурбуватися про злагоджену роботу систем. Є кілька підходів.

Безпека за замовчуванням (Security by DEFAULT) — в такому разі стандартне налаштування системи полягає у зборі мінімальної кількості приватних даних — лише необхідних для роботи. Підхід орієнтований на користувача.

Безпека за задумом (Security by DESIGN) — розробка та/або впровадження програмних продуктів здійснюється за найкращими практиками конфіденційності. Метод орієнтований на процес розробки.

Важливу роль відіграє те, хто працює з Big Data. Це може бути внутрішній клієнт (працівники компанії) та зовнішній (користувач, клієнт-контрактор тощо).

Бізнес та організації по всьому світу користуються різними моделями доступу до даних. Станіслав Лановський виділив такі:

1. Рольова модель (RBAC: Role-Based Acces Control);

2. Принцип найменших привілеїв (Least Priviledge).

Принцип найменших привілеїв — перші базові контролі. Це означає, що доступ мають видавати лише тим, хто дійсно цього потребує. RBAC вже на основі цього принципу дає змогу зручно та ефективно керувати доступом до даних відповідно до ролі людини у компанії. Якщо це команда юристів, фінансів, айтівців, розробників тощо, ролі мають бути обмеженими у правах всередині системи»,

— навів приклади Станіслав Лановський.

Інструментів доступу для даних також є декілька:

  • Технологія єдиного входу Single-Sigh-On (SSO)
Це єдина система входу в усі сервіси та застосунки за допомогою одного набору автентифікаційних даних. Зазвичай це юзернейм, пароль і другий фактор. Звучить як проблема безпеки, але насправді SSO-провайдери надають широкий спектр безпекових налаштувань»,

— додає фахівець.

  • Тимчасовий доступ до даних (JIT: Just-In-Time ACCES) як перший крок до контекстного доступу до даних (Conditional Access).
Суть Just-In-Time у тому, що доступ до даних надають тимчасово — на пів години, годину, чотири, вісім годин тощо. А Conditional Access «приправлений» додатковими умовами. Наприклад, доступ до коду можуть отримати лише інженери з певної локації або лише з девайсів компанії»,

— каже Security Engineer у Grammarly.

На цьому етапі бізнес стикається з вибором інструментів автентифікації. Ідеться про:

  • Комплексний пароль/Passkey та парольний менеджер;
  • Безпечний менеджмент ключів доступу та секретів (зберігання, ротація, secrets detection тощо);
  • Мультифактор (2FA/MFA), наприклад, FIDO2.
FIDO2 — це найбезпечніша технологія. Він розшифровується як fast identity online. Протокол побудований так, що сервіс ідентифікує користувача лише з прив’язаного до акаунта пристрою — це флешка або ноутбук. Ми впровадили FIDO2 у Grammarly два роки тому. Тригером стало банальне внутрішнє тестування — ми виявили неефективність одноразових кодів проти сучасних фішингових атак. Звісно, стикнулися з багатьма челенджами на шляху, але це того вартувало»,

— поділився Лановський.

Крім того, існує ZERO TRUST MODEL, або Модель з нульовою довірою. Вона виходить з того, що систему начебто вже зламано, тож довіряти не можна навіть легітимним користувачам. Отже, кожен доступ до даних і програм потребує підтвердження.

Модель може охопити:

  • верифікацію юзера (незалежно від локації);
  • обмеження доступу (принцип найменших привілеїв);
  • постійний аудит (виявлення аномалій та потенційних загроз);
  • багаторівневий захист (на рівні пристрою та мережі);
  • мікросегментування мережі (це знижує ризик поширення загрози);
  • гарантування безпеки API (захист від негативного впливу команд, запитів тощо).
Ця модель для великих компаній стає вже не просто nice-to-have. Сьогодні вона вже must-have у короткостроковій та довгостроковій перспективах»,

— переконаний Станіслав Лановський.

Безпечне зберігання даних неможливе без створення прийнятних умов безпеки (hardening) в інфраструктурі (on premise/cloud) відповідно до найкращих практик (security benchmarks), як-от CIS (Centre Of Internet Security Benchmarks). Методи:

  • Використання Cloud Security Posture Menegement також Служби управління безпекою хмари (CSPM) для аудиту хмарної інфраструктури. Це здійснюють за допомогою вбудованого функціонала (built-in) або зовнішніх сервісів (external).
  • Шифрування як даних, що перебувають у спокої (at rest), так і тих, які передаються (in transit).
  • Анонімізація/псевдоанонімізація даних.
Це дає змогу застосовувати дані без розголошення особистої інформації користувачів. Дані перетворюються, щоб людину неможливо було ідентифікувати. Це зміна або видалення імені, адреси, мобільного номера. Псевдоанонімізація — це зміна ідентифікаторів, наприклад, імені клієнта і псевдонім або код»,

— детальніше розповіла Юлія Лаанеотс.

Захист даних забезпечать також регулярні оновлення систем (patch management) та образів (images update). Допоможе й резервне копіювання (BCP/DRP).

Говорячи про BCP [іншими словами — планування безперервності бізнесу], хочу зупинитися на понятті in-house testing. Це навмисне створення збоїв у виробничому середовищі для оцінки того, як система витримує їх та наскільки швидко відновлюється. Ми в Bolt дуже активно користуємося цією методикою напередодні якихось свят, наприклад, Нового року. Підготовка дає зрозуміти, наскільки варто наростити потужності для безперебійної роботи сервісу», 

— додала Лаанеотс.

Фахівці роз’яснили кроки для Data liquage prevengion (DLP) — запобігання витоків інформації. Для цього треба знати, де зберігаються ключові дані, та зрозуміти, як на бізнес повпливає їхня можлива втрата.

Це може бути втрата довіри клієнтів, фінансові збитки чи порушення вимог законодавства про захист даних. Ви повинні розуміти, які ризики можете толерувати. Якщо збудеться найгірший сценарій, кращим рішенням буде “покласти” систему повністю»,

— радить експертка з кібербезпеки.

статьи по теме:
Post cover Как айтишнику оставаться востребованным специалистом: мнения экспертов из GlobalLogic, Intellias и бигтеха

Главное из панельной дискуссии о навыках в IT на конференции STRUM

Post cover Почти каждая украинская компания пережила кибератаку в 2023 году. Что помогло им выстоять

Тезисы выступления Михаила Кольцова на IT-конференции STRUM

Впровадження DLP буде максимально ефективним, якщо ви не просто окреслите чіткі правила, а й визначите, що буде маркером успіху. Це може бути кількість виявлених порушень, швидкість реагування на проблеми або оперативність у виявленні інцидентів. 

Ще один інструмент для запобігання витоку інформації — її логи (Log files). Технологія Security information and event management або SIEM агрегує логи з різних джерел і дає змогу в режимі реального часу аналізувати події, визначати аномалії (anomalies detection) та зміни в системі (change management).

Надмірне використання ресурсів може свідчити не лише про те, що ваш застосунок набирає популярності, а й про несанкціоновані дії в інфраструктурі. Не залишаємо жодні аномалії без уваги. Трошки параної ніколи не завадить»,

— каже Лаанеотс.

Сучасні SIEM допускають використання Machine Learning для побудови моделі звичної поведінки (behavior analysis) системи та її тренування розпізнавання небажаних змін. Технологія Security Orchestration Automation and Response (SOAR) допомагає безпековим фахівцям оптимізувати роботу й прискорити реакцію.

В сучасних умовах компаніям варто розвивати в працівниках обізнаність (Security Awarness) та культуру безпеки. Тренінги важливі не лише для підтримки кваліфікації. Їхня додаткова опція — своєрідний «вхідний квиток» для роботи над проєктами. 

Надважливою є пряма комунікація. Наприклад, практика Security Champions дає змогу назначити експертів у кожній команді фахівців з розробки, які будуть посередниками між розробниками та командою кібербезпеки.

Інші безпекові контролі:

  • мережеві контролі;
  • сегментація мережі для безпечного доступу до даних (можна сказати, що це той самий принцип найменших привілеїв);
  • Web Application Firewall (WAF) та/або DDoS protection інструменти.

Контроль впроваджених безпекових рішень:

  • зовнішній pen-test;
  • Red Team тестування;
  • Bug Bounty програма;
  • тестування відповідності безпекових контролів security-стандартам ISO, SOC, NIST та інше.

Наприкінці лекції спікери навели цитату експерта з кібербезпеки Мікко Гіппонена: «Робота у сфері інформаційної безпеки іноді нагадує гру в Tetris: ваші успіхи зникають, а невдачі накопичуються».

Текст: підготувала Анастасія Могилевець

Ещё статьи
Vibecoding: Чи дійсно AI вміє кодити краще за вас?
Порівнюємо швидкість, якість і відповідальність за результат
8 SQL-запитів, які розв’язують 80% робочих завдань
З прикладами коду
Все материалы