Сегодня информационные технологии окружают нас повсюду, а мобильные устройства обеспечивают круглосуточный доступ к разнообразным интернет-сервисам. Однако удобная возможность в любой момент найти нужную информацию, обмениваться сообщениями, осуществлять покупки онлайн, имеет и обратную сторону – злоумышленникам также становится все проще проникать в слабозащищенные гаджеты невнимательных пользователей, чтобы затем, так или иначе, использовать их с целью наживы.
Поэтому в наше время соблюдать базовые правила кибергигиены не менее важно, чем мыть руки. Под кибергигиеной подразумеваются меры безопасности для защиты устройств пользователя, будь то ноутбук или смартфон, от заражения вредоносным ПО и возможного похищения конфиденциальной информации. Причем если неприкосновенность частной жизни – в конечном счете, личное дело каждого, то для организаций и предприятий небрежность работников чревата простоями и финансовыми потерями. Отсюда и первое правило.
Современные угрозы становятся все более изощренными, поэтому важно постоянно актуализировать знания и навыки работников в области кибербезопасности. Хорошим подспорьем в этом деле могу стать регулярные тренинги, в том числе посредством специализированных решений, а также проверки на реальных примерах использования методов социальной инженерии и фишинга. Не повредит и периодическая информационная рассылка по электронной почте.
Сотрудники должны четко усвоить, что очень опасно без разбору открывать ссылки, особенно из сообщений от незнакомых отправителей, а также хранить важные рабочие файлы на личных носителях информации или мобильных устройствах. Крайне нежелательно оставлять компьютер разблокированным, даже при кратковременных отлучках с рабочего места, или позволять коллегам входить под своей учетной записью. Работники должны понимать, почему опасно обмениваться внутренними файлами в обход корпоративной ИТ-системы – через социальные сети или публичные облачные сервисы. С другой стороны важно собирать обратную связь – насколько для вашей команды удобны имеющиеся инструменты, и, может, каких рабочих средств не хватает.
«Человеческий фактор остается самым "слабым звеном". Поэтому для защиты от фишинга и других атак, играющих на людских слабостях, необходимо всерьез заняться повышением уровня общего уровня культуры организации в области кибербезопасности.
Во-первых, нужно разработать программу повышения осведомленности ваших сотрудников в вопросах цифровой гигиены и базовых правилах кибербезопасности. Для этого в составе центра безопасности Microsoft 365 есть готовые курсы подготовки, доступные как администраторам сервиса, так и конечным пользователям. Материалы посвящены распознаванию и противодействию фишинговым атакам, обеспечению защиты домашних устройств и персональной активности в сети Интернет, а также вопросам обеспечения приватности и защиты персональных данных.
Во-вторых, после прохождение тренингов стоит закрепить полученные знания на практике. В этом поможет инструмент "Симулятор атак", позволяющий автоматизировать подготовку и реализацию проверочных атак на сотрудников без какого-либо вреда деятельности бизнеса. Симуляр поддерживает такие сценарии атак, как отправка проверочного фишинг-сообщения всем сотрудникам организации, подготовка специализированного сообщения для конкретных целей в компании (spear phishing), попытка реализации атак с распылением пароля (password spray) и методом перебора (brute force) для проверки учетных записей на устойчивость»
Технологии биометрической аутентификации стремительно развиваются, и сегодня разблокирование устройства по отпечатку пальца, к примеру, уже стало стандартом де-факто в смартфонах. Однако стационарные компьютерные системы обновляются реже и тут этот подход не получил такого широкого распространения. Мы все еще активно используем специальные коды для защиты доступа к различным ИТ-системам и она должна быть надежной.
Не следует записывать пароли и хранить их на виду или в легкодоступном месте. Коды доступа должны быть достаточно длинными и сложными, содержать разные буквы, цифры и знаки. Для упрощения запоминания рекомендуется использовать парольные фразы или специальные программы для их хранения. Для разных сервисов желательно выбирать отличающиеся последовательности символов, а в случае их возможной компрометации – как можно быстрее заменить. При возможности хорошо дополнить пароль многофакторной аутентификацией. Для этого есть множество вариантов, в том числе на базе того же смартфона.
«Использование исключительно паролей – очень плохой вариант. Тут не спасёт ни уникальность, ни частная смена. Безусловно, в наши дни стоит отдать предпочтение многофакторной аутентификации (MFA). Согласно исследованиям, это позволяет защитить от 99,9% всех атак на учетные записи.
При этом лучшим решением проблемы с паролями является отказ от их использования. Современные методы беспарольной аутентификации, такие как стандарт FIDO2 и протокол WebAuthn позволяют выполнить отказ от паролей очень просто и изящно.
В составе Microsoft 365 доступна служба аутентификации Azure Active Directory (AD), реализующая поддержку всех современных методов аутентификации, как для сервисов Microsoft, так и приложений третьих сторон, зарегистрированных в Azure AD.
Пользователи Windows 10 могут использовать Windows Hello для входа без пароля как в локальные службы, интегрированные с каталогом Microsoft AD, так и в сервисы Microsoft 365 через всем знакомые приложения Microsoft Word, Excel, PowerPoint, Outlook и Teams», – говорит Артем Синицын.
Чтобы пользователи не вызывали системных администраторов по каждой мелочи, компании обычно разрабатывают пошаговые инструкции: как воспользоваться офисным принтером, настроить почтовый клиент, подключиться к VPN и т.д. Удобнее всего если они сделаны в формате видеоролика, демонстрирующего необходимые действия. Однако при этом важно следить, чтобы такие руководства обновлялись по мере появления новых устройств или бизнес-процессов. В противном случае в них мало толку.
Особенно это касается правил поведения в случае возникновения сбоев или проблем с информационной безопасностью. Работники должны понимать, когда не стоит пытаться восстановить все своими силами, и знать, к кому обращаться в таком случае. Актуальная контактная информация ответственных технических специалистов должна быть всегда под рукой. Лучше всего в электронном виде.
Полномочия всех без исключения сотрудников, включая системных администраторов, должны быть четко ограничены их должностными обязанностями. Особенно в том, что касается ИТ-систем. Сотрудникам достаточно иметь доступ к своим рабочим программам и файлам. Установку ПО и контроль над системными файлами лучше оставить техническим специалистами. Возможность всем и каждому запускать на рабочем компьютере посторонние программы с администраторскими правами – плохая идея. Это короткий путь к нецелевому использованию ИТ-ресурсов предприятия и распахнутая настежь дверь для компьютерных вирусов.
Причем важно не просто разграничить права в ИТ-системе, но и своевременно актуализировать учетные записи, а также периодически проверять их на изменения. Чтобы оперативно удалять аккаунты уволившихся сотрудников или выявлять неоправданное расширение прав.
Использование пиратских программ из интернета чревато проникновением вирусов в ИТ-инфраструктуру предприятия и утечками данных. Экономия на покупке необходимого софта подвергает бизнес дополнительным рискам. Гораздо безопаснее оплатить лицензионное ПО или облачные сервисы. Чем рисковать персональными данными клиентов и конфиденциальной информацией предприятия, или восстанавливать ИТ-систему после атаки шифровальщика, например.
Нужно контролировать, чтобы сотрудники не скачивали непроверенный софт из интернета и сообщали, каких программ им не хватает для решения рабочих задач. Также важно следить за сроками действия лицензий и своевременно их продлевать.
Привычное ПО от проверенного поставщика поможет избежать многих проблем. Особенно когда в продукт изначально интегрированы механизмы киберзащиты. К примеру, пакет программ Microsoft 365 содержит целый ряд средств кибербезопасности, включая защиту учетных записей от компрометации, а данных от утечки, беспарольную или многофакторную аутентификацию. Также сервис обеспечивает динамический контроль доступа с оценкой рисков и учетом широкого спектра условий.
«Основное преимущество Microsoft 365 заключается в комплексном подходе к реализации модели безопасности на базе ключевых процессов и компонентов, таких как учетных данные, устройства, приложения и информационные активы.
Так, "Центр Безопасности Microsoft 365" выступает централизованным порталом для управления и механизмом настройки и аудита всех аспектов архитектуры безопасности. Инструмент "Оценка безопасности" позволяет оценить текущий статус компонентов защиты, а встроенные средства аналитики и персонализированные рекомендации помогут вам контролировать состояние корпоративных систем безопасности и без труда управлять политиками.
Именно за счет бесшовной интеграции различных механизмов и синергетического эффекта Microsoft 365 позволяет вам сосредоточиться на безопасности без ущерба для производительности», – считает Артем Синицын.
Использование лицензионного ПО обычно подразумевает доступ к технической поддержке и бесплатным обновлениям. Это дает возможность исправить обнаруженные в ходе эксплуатации недоработки и уязвимости, сделать продукт удобнее и надежнее, устранить бреши в безопасности.
Однако обновление софта требует времени на проверку совместимости и установку патчей. Нередко в повседневной рутине персонал месяцами откладывает важный апгрейд. А между тем в большинстве случаев для атак используются давно известные уязвимости. Зачем выискивать какие-то уникальные угрозы нулевого дня, когда можно воспользоваться чужой ленью и халатностью? Поэтому важно следить за критичными обновлениями и своевременно их устанавливать.
С другой стороны, пакет Microsoft 365 включает привычные многим программы Word, Excel, PowerPoint и Outlook, а также софт для безопасных звонков, корпоративный мессенджер и прочие современные инструменты для эффективной совместной работы. При этом он также позволяет без лишних усилий контролировать информационную безопасность в офисе – с ним в вашем распоряжении всегда актуальное легальное ПО и разнообразные автоматизированные средства обнаружения угроз, защиты и противодействия атакам.