Большинство сотрудников не ожидают, что проснутся и узнают, что день выплаты жалованья был отложен из-за фишинга. И вы, вероятно, не догадались бы, что финансовый директор занимается своей подработкой с компьютера компании или что корпоративные учетные данные сотрудника находятся в даркнете из-за часов, проведенных на сайтах знакомств. истощается из шоу веб-камеры «для взрослых» рабочих, это немного более тревожно. Добро пожаловать в жизнь профессионала в области ИТ-безопасности.
Подобные истории могут быть на удивление типичными для профессионалов в области ИТ-безопасности. На самом деле угрозы кибербезопасности — как внутри, так и снаружи компании — стали настолько велики, что кибербезопасность обрела собственную жизнь в ИТ-секторе. Он стал настолько большим, что спрос на профессионалов в области кибербезопасности сильно растет. Согласно данным из данных CyberSeek, бесплатной карьеры в области кибербезопасности и ресурса рабочей силы, только в США «было 301 873 вакансий в области кибербезопасности в частном и государственном секторах в течение 12-месячного периода с апреля 2017 года по март 2018 года». Страшные истории о корпоративной кибербезопасности, подобные тем, которые вы собираетесь прочитать, являются серьезной причиной.
Проведение шоу для взрослых на корпоративных серверах
Хотя неподобающее поведение в Интернете кажется главной проблемой в мире ИТ, во многих случаях его демонстрируют не хакеры, а внутренние сотрудники. Радж Гоэл, основатель нью-йоркского поставщика управляемых услуг (MSP) Brainlink, считает, что за 20 с лишним лет работы в сфере ИТ он повидал все это. Но один недавний инцидент был чем-то, чего он никогда не мог себе представить.
Финансовый директор клиента позвонил в Brainlink, чтобы выяснить, почему их ИТ-отделу постоянно не хватает полосы пропускания, даже после того, как они только что потратили деньги на обновление.
«У этих парней было то, что я бы назвал «жирной трубой», — говорит Гоэл, — но по какой-то причине их айтишники продолжали говорить, что они полностью заполнены. Итак, я посмотрел и обнаружил, что один из тех же ИТ-специалистов запускал веб-сайт с оплатой за просмотр с веб-камеры вне корпоративной сети. Это был порносайт, и, очевидно, его девушка и ее друзья были талантом».
Что еще более шокирует: это продолжалось более двух лет, и никто этого не заметил — даже после того, как действия этого сотрудника обошлись компании более чем в 180 000 долларов и необходимости обновлять свою сеть каждые три месяца, потому что она работала так медленно.
Итак, я посмотрел и обнаружил, что один из тех же ИТ-специалистов запускал веб-сайт с оплатой за просмотр с веб-камеры вне корпоративной сети. Это был порносайт, и, очевидно, его девушка и ее друзья были талантом».
«Вывод заключался в том, что финансовый директор должен был быть более активным. Он обращался в IT, а они просто не отвечали на его вопросы», — говорит Гоэл. «Урок здесь заключается в том, что даже если у вас есть собственная ИТ-команда или MSP, важно (в какой-то момент) привлечь третью сторону для проведения независимого аудита или оценки. Вам нужно получить подтверждение того, что вы получаете рентабельность инвестиций и что все выполняют свою работу».
Побочный концерт финансового директора
Гоэл также вспоминает случай, когда медицинская компания позвонила ему, чтобы провести проверку соответствия и безопасности, и он обнаружил, что финансовый директор управляет совершенно отдельной компанией от своего офиса.
«Я спросил его и упомянул, что каждый день вижу вход в удаленное соединение, и как только он это услышал, парень выглядел ошеломленным… Я думал, что у него будет сердечный приступ, когда я сказал ему. Сначала он ничего не сказал, но потом признался, что подрабатывал для собственного бизнеса», — говорит Гоэл.
Хотя Гоэл отмечает, что исполнительный директор не использовал ресурсы компании, он говорит, что сотрудник по-прежнему проводил половину своего рабочего дня, управляя своим частным бизнесом по импорту/экспорту в рабочее время, удаленно входя в свой домашний компьютер. Гоэл и его команда выяснили это, оценив сетевой трафик брандмауэра. Сначала он предполагал, что, возможно, проблемы возникают из-за удаленного центра обработки данных. Однако, когда он обратился к финансовому директору, он не ожидал такой реакции:
«Я спросил его и упомянул, что каждый день вижу вход в удаленное соединение, и как только он это услышал, парень выглядел ошеломленным… Я думал, что у него будет сердечный приступ, когда я сказал ему. Сначала он ничего не сказал, но потом признался, что подрабатывал для собственного бизнеса», — говорит Гоэл.
Фишинг откладывает день выплаты жалованья
Иногда бизнес не понимает, что произошло нарушение. И даже после обнаружения они не всегда принимают необходимые меры безопасности.
«Внешнее взлом, получивший широкую огласку, может нанести ущерб репутации, и тогда клиент не вкладывает средства в меры безопасности только для того, чтобы узнать, что хакеры никуда не делись и все еще проникают в их сеть», — Барт Барцевиц, основатель чикагской компании MSP B. Suite Cyber Security, сообщает Tom’s Hardware.
«Если бы кто-то настроил правила и аутентификацию, он был бы предупрежден об изменении информации», — говорит Барцевиц. «Самая большая [проблема] заключалась в том, что после того, как это произошло, они не захотели инвестировать в решение для кибербезопасности и не извлекли уроков из этого опыта».
Возьмем, к примеру, крупную производственно-дистрибьюторскую компанию, в которой Барцевиц работал на предыдущем месте работы. Он говорит, что около 10 сотрудников получили фишинговое электронное письмо, на которое они попались, отправив свои учетные данные Office 365 и другую информацию для входа ничего не подозревающим хакерам. Затем хакеры использовали эту информацию, чтобы проникнуть в платежные ведомости этой компании, и изменили всю информацию о счетах сотрудников. Поскольку в компании не было установлено никаких предупреждений или средств контроля безопасности, брешь была обнаружена только через две недели, когда сотрудники не получили зарплату.
«Если бы кто-то настроил правила и аутентификацию, он был бы предупрежден об изменении информации», — говорит Барцевиц. «Самая большая [проблема] заключалась в том, что после того, как это произошло, они не захотели инвестировать в решение для кибербезопасности и не извлекли уроков из этого опыта».
Отчаяние темной паутины
Другая ситуация, которую Барцевич видел у нескольких клиентов, — это сотрудники, использующие корпоративную информацию для входа (например, рабочие адреса электронной почты) для регистрации на личных веб-сайтах, таких как социальные сети и службы знакомств. Хотя доступ к этим сайтам обычно не одобряется в рабочее время, он становится проблемой безопасности, когда корпоративная информация пользователя используется на взломанном сайте, и эти учетные данные попадают в темную сеть. Барцевич обнаружил именно эту ситуацию после проведения анализа даркнета для инженерной фирмы с 2500 сотрудниками.
«Они буквально говорят, что записывают каждое действие пользователя в сети, говорят, что наблюдают за ним по веб-камере и что, если они не заплатят биткойнами, они сообщат своему списку контактов обо всем, что они делали».
Барцевиц также отмечает, что набирает популярность еще одна афера в даркнете, когда хакеры захватывают компьютер пользователя и угрожают сообщить о своем неподобающем поведении в Интернете всем, кто есть в их списке контактов:
«Они буквально говорят, что записывают каждое действие пользователя в сети, говорят, что наблюдают за ним по веб-камере и что, если они не заплатят биткойнами, они сообщат своему списку контактов обо всем, что они делали».
Барцевиц советует сотрудникам воздерживаться от использования рабочей информации в личных целях.
«Кто-то может получить эту информацию, а затем использовать ее для мошенничества, например, получить выкуп за вашу информацию в обмен на деньги в биткойнах», — говорит он.
Борьба с безумием
Одна из причин, по которой спрос на специалистов по безопасности настолько велик, заключается в том, что они не просто борются с множеством угроз извне; они также управляют значительным количеством рисков внутри организации. Это может исходить от сотрудника, имеющего доступ к серверам и другой технике, и тем более после ухода сотрудника — особенно если это не дружеское расставание. Чтобы исправить это, Барцевиц рекомендует предпринять такие шаги, как внедрение двухфакторной аутентификации и установка менеджера паролей.
«Минимум для любого бизнеса — по возможности использовать двухэтапную аутентификацию по паролю, а также использовать разные пароли с помощью инструмента управления паролями», — говорит он. «Мы также рекомендуем менять пароль (для конфиденциальных веб-сайтов) каждые три-шесть месяцев, но с двухэтапной аутентификацией это обычно не нужно делать так часто».
И Барцевиц практикует то, что проповедует своим клиентам. Он лично использует веб-менеджер паролей, который автоматически генерирует отдельный пароль для каждого веб-сайта, на который он заходит (а также двухэтапную аутентификацию). Он говорит, что это связано с тем, что автоматически сгенерированные пароли труднее взломать. «Хакеры не всегда ищут точный пароль, — говорит он. «Они пытаются выяснить варианты и шаблоны, потому что знают, что они часто используются таким образом на других сайтах».
И Барцевиц, и Гоэл говорят, что мораль этих историй заключается в том, что для владельцев бизнеса лучший способ действий — нанять стороннего оценщика ИТ-безопасности, который знает, что они делают.
«Минимум для любого бизнеса — по возможности использовать двухэтапную аутентификацию по паролю, а также использовать разные пароли с помощью инструмента управления паролями», — говорит он.
«Хорошая оценка никогда не помешает, — говорит Гоэль. «Но вы должны потратить деньги; не используйте кого-то, кто просто скачает бесплатный инструмент, а затем скажет вам то, что вы хотите услышать. Вам нужен кто-то, кто будет смотреть на такие вещи, как шаблоны трафика, данные, поведение пользователей и другие важные области».
Барцевиц добавляет, что сопротивление изменениям удерживает некоторых клиентов от инвестиций в надлежащую кибербезопасность. В случае с клиентом, платежная ведомость которого была взломана, руководители по-прежнему отказывались улучшать свой подход к кибербезопасности. «Они не хотели менять то, как они работали, и деньги были вовсе не причиной», — говорит он. «Это было больше сопротивление переменам; это было основным двигателем».
Какая ваша самая безумная история об ИТ-безопасности? Сможете ли вы возглавить скандал с веб-камерой? Дайте нам знать в комментариях ниже.
