Технологическая индустрия движется такими темпами, что, зачастую, как только мы привыкли к какой-то технологии, то в скором времени появляются новые, которые успешно занимают ее место. Это также относится и к корпоративной информационной безопасности: количество и разнообразие атак и кибер-преступлений растут головокружительными темпами, а это означает, что нам необходимо постоянно обновлять наши знания по управлению этими видами рисков.
Впрочем, порой именно классика наилучшим образом выдерживает испытание временем. Среди всех новых способов атак на домашних и корпоративных пользователей продолжают выделяться некоторые традиционные методы. Именно об этом мы можем увидеть в отчете Nine years of bugs & coordinated vulnerability disclosure: Trends, observations & recommendations for the future (Девять лет ошибок и координированное раскрытие уязвимостей: тенденции, наблюдения и рекомендации на будущее), составленном NCC Group, которая анализирует наиболее распространенные веб-уязвимости.
Опасность XSS
За последние девять лет наиболее частой ошибкой на веб-сайтах в мире была уязвимость XSS (Cross-site Scripting), которая составляет 18% от всех найденных ошибок. Этот тип нарушения безопасности позволяет кибер-преступникам вставлять на сайты наборы вредоносных скриптов, которые они затем могут использовать для кражи куков пользователей или даже для получения доступа к их логинам на приватном портале.
Опасность, создаваемая XSS, усиливается еще тем, что она не только позволяет осуществлять кражу пользовательских данных и информации (многие другие уязвимости также позволяют делать это): с XSS существует дополнительный фактор опасности, т.к. злоумышленники совершают свои преступления на тех веб-сайтах, которые в глазах пользователей должны быть полностью надежными, а потому они совершенно не готовы встретиться с такого рода угрозами.
Опасность также и в аппаратном обеспечении
Но потенциальные риски информационной безопасности кроятся не только в программном обеспечении. По данным из отчета NCC Group, аппаратная инфраструктура также подвержена растущему числу уязвимостей, как дома, так и на рабочем месте.
И среди этих новых рисков, связанных с аппаратным обеспечением, особенно выделяются устройства Интернета вещей (Internet of Things, IoT). Помимо того, что они являются частью быстро формирующейся индустрии, они подвержены росту числа кибер-атак, что гораздо более важно, чем в любой другой технологической отрасли.
Ключ к проблеме: информационная безопасность для аппаратного и программного обеспечения
Помимо простых цифр отчет заставляет нас задать себе ряд вопросов. Как возможно, что мы все еще подвержены такому большому количеству рисков корпоративной информационной безопасности? И, что еще более важно, как уязвимости, подобные XSS, которые существуют уже почти два десятилетия, все еще могут представлять одну из самых крупных проблем безопасности на веб-сайтах во всем мире? Ответы совсем не просты, но выводы таковы: каждая компания должна повысить свой уровень информационной безопасности как в плане разработки и внедрения ПО, так и в производстве аппаратного обеспечения.
Для этого они должны делать все, чтобы как можно больше снизить риски, которым они могут подвергаться.
1. Инвестиции. Все крупные компании инвестируют значительные суммы денег в разработку своего программного обеспечения. Но не все из них следуют этому примеру, когда дело доходит до установления каналов проверки безопасности этого ПО. Очень важно, чтобы эти проверки были настолько же важны, как и сам процесс разработки, и при этом они имели специально выделенный бюджет.
2. Коммуникации. Коммуникационные потоки в случае возможных уязвимостей должны быть максимально быстрыми. Более того, они должны быть разнонаправленными: к разработчикам, сотрудникам, поставщикам компании и пр… С другой стороны, также необходимо быстро формировать отчеты об ошибках в информационной безопасности и эффективно управлять ими.
3. Безопасность аппаратного обеспечения. Аппаратные устройства все еще представляют собой один из основных шлюзов для вредоносных программ. Вот почему компании должны также инвестировать в соответствующее «железо», чтобы свести к минимуму риски. Кабели безопасности для ноутбуков или U2F-ключи должны играть важную роль, если речь идет о защите от киберпреступников. Также важно иметь устройства хранения с содержащимися на них наборами резервных копий, к которым можно будет быстро обратиться в случае любых проблем.
4. Решения информационной безопасности. Практически ни одна крупная компания не может самостоятельно справиться с многочисленными рисками корпоративной ИБ. Поэтому, как правило, они должны иметь и внешние решения. Одним из примеров такого решения является Panda Adaptive Defense, который не только осуществляет мониторинг всех процессов, происходящих внутри компании, но он также предотвращает, обнаруживает и устраняет возможные конфликты информационной безопасности.
Факты очевидны. Несмотря на эволюцию и опасность новых уязвимостей, некоторые «старые» образцы все еще широко представлены в корпоративных окружениях. Это означает, что компаниям следует идти вперед как в программном, так и аппаратном обеспечении, чтобы обеспечить ИТ-безопасность.
