Чем выше ТОП, тем короче пароль: как защититься от угроз?
Автор текста: Antxak
Компании стремятся обеспечить свою безопасность. Они следят за периметром, фильтруют почту и сообщения, контролируют рабочие станции. Для этого используются разнообразные инструменты для защиты: от сканеров уязвимостей, до Endpoint Protection и NGFW. На все это тратятся огромные деньги!
Но есть то, что остаётся вне зоны контроля компаний и их средств защиты — это личные устройства и аккаунты топ-менеджмента. Зачастую это самая уязвимая, но при этом критическая точка, которую компании почти никогда не могут контролировать. Что же с ней делать? Разберем в статье.
❯ Проблемы доверия
В целом, для контроля личных устройств и их интеграции в систему безопасности компании достаточно технических инструментов. На рынке их представлено великое множество!
Но кто из топ-менеджеров добровольно согласится передать все свои доступы и коммуникации? Ведь тогда их данные будут доступны не только службе безопасности, но и другим руководителям или владельцам бизнеса. Видно все переписки в мессенджерах, история браузера, личные фотографии и многое, многое другое. К тому же передается и часть контроля над устройством, например, возможность удаленного вайпа.
А если же им контроль навязать, то телефона станет два! Личный-рабочий и личный-теневой, причем данные будут активно передаваться между ними. И взлом «теневого» будет не менее критичен. Это первая проблема — уровня доверия всегда будет недостаточно.
Хотя, были и обратные примеры чрезмерного доверия службе ИБ компании. Во время одного из пентестов мой коллега обнаружил особо интересный случай. Генеральный директор крупной компании хранил логины и пароли от аккаунтов портала госуслуг, системы дистанционного банковского обслуживания, социальных сетей и интернет-магазинов в текстовом файле на контроллере домена!
Вероятно, он считал это место самым надёжным в сети компании, полагая, что ключевой узел максимально защищен. Но он не понимал, что по умолчанию папка с групповыми политиками доступна любому пользователю домена. Почему-то никто из службы информационной безопасности не объяснил ему этого, пришлось передать это ему лично, без отражения в отчете. Но уровень его доверия нас поразил. И это вторая проблема — чрезмерное доверие тоже несет риски.
❯ Взломают, и что?
Некоторые специалисты по безопасности могут подумать: «Это же личные устройства? Что там может быть такого важного? Мы просто запретим использовать личные устройства для работы и общения». Но это требование невыполнимо. Оно либо будет оспорено высшим руководством, либо будет игнорироваться и нарушаться. Иначе оно будет значительно усложнять жизнь всем сотрудникам, а значит снижать эффективность компании. В эпоху удалённой работы люди постоянно решают рабочие вопросы с помощью личных устройств. Ноутбук можно использовать только для работы, но смартфон всегда остаётся и личным, и рабочим инструментом. Из-за этого границы между личным и рабочим компьютерным пространством размываются. Это реальность, с которой мы сталкиваемся каждый день.
Доступ к личному устройству топ-менеджера может привести к фатальным последствиям для всей компании, вот лишь некоторые из них:
Доступ к корпоративной почте и её содержимому. Зачастую опубликованного дампа электронной почты руководства достаточно для серьёзного ущерба репутации компании.
Данные корпоративного аккаунта для удалённого доступа, включая используемый сертификат. Это готовая точка входа в сеть компании.
Сохраненные учетные записи к другим сервисам компании. Это дополнительная информация, которая может быть использована или слита.
Личная переписка руководства, маркетинговые и стратегические планы компании, информация о сделках, а иногда и личные компрометирующие материалы.
Кроме того, такой аккаунт можно использовать для внутреннего целевого фишинга. Например, можно создать «левый» счёт или запросить новую учетную запись — и всё это будет выполнено без сомнений, потому что запрос пришел с настоящего адреса или телефона руководителя.
Самые богатые люди в мире постоянно подвергаются атакам на свои личные устройства. Например, мобильный телефон Джеффа Безоса, который на тот момент был самым богатым человеком в мире, был взломан с помощью лучшего на тот момент шпионского ПО Pegasus.
То же самое касается и других достаточно богатых или публичных людей. Однако речь не идёт об олигархах или политиках. С обычными компаниями всё гораздо проще. Личные устройства руководителей компаний всегда представляют собой более лёгкую мишень, чем периметр самой компании. И когда злоумышленники, благодаря многочисленным утечкам личных данных, начнут нацеливаться именно на личные устройства, для них это станет оптимальным способом проникновения в контур компаний.
❯ А кому защищать?
Возникает вопрос: как обеспечить защиту личных устройств ТОПов? Первое и самое очевидное решение — включить их в контур безопасности компании, но зачастую это недостижимо по описанным в начале причинам.
Остается самый сложный, длинный, но эффективный путь — самозащита. Топ-менеджеры могут самостоятельно защищать свои личные устройства, при минимальном участии компании. В этом случае, они будут отвечать за свою безопасность, оценивать уровень риска и находить баланс между безопасностью, удобством и собственной конфиденциальностью. С большой свободой для них, приходит и большая ответственность!
Без этого никак, ведь никто, кроме них, не имеет доступа к их устройству. Поэтому любые попытки контролировать их действия из вне, будут бесполезны. Всё равно придётся принимать решения самостоятельно.
В момент, когда на электронную почту придёт важное вложение, только топ-менеджер будет решать, открывать его на своём устройстве или нет, проверять содержимое или нет, а если проверять то как? Поэтому без обучения и понимания основ кибербезопасности со стороны руководителей ничего не получится.
Такое обучение поможет защитить их от мошеннических действий, как и других пользователей. Однако на практике ТОП-менеджмент может подвергаться более сложным и целенаправленным атакам, особенно если компания крупная и известная.
Это могут быть истории, связанные с использованием дипфейков, подделкой голоса, многоэтапным фишингом или кражей устройств. Такие ситуации становятся возможными, когда человек перестаёт быть «неуловимым Джо», то есть неинтересным для злоумышленников.
Здесь ситуация иная. Топ-менеджеры должны сначала научиться защищаться от массовых атак, а затем уже обращать внимание на целенаправленные атаки. Они также должны учитывать методы, которые могут быть использованы против них, например, представителями силовых структур, которые могут действовать не в рамках закона, но использовать свои служебные возможности.
Для топ-менеджера обеспечение собственной безопасности — гораздо более сложный процесс, чем простые правила информационной гигиены, которые мы стараемся привить всем пользователям. Например, советы не переходить по ссылкам, не открывать вложения и не отвечать на звонки с неизвестных номеров неприменимы!
Дело в том, что обычной домохозяйке действительно не приходит много важных сообщений, поэтому она может спокойно следовать этим правилам. Но для топ-менеджера это невозможно. Ему приходится оценивать уровень угрозы от конкретного действия и балансировать между бизнесом и безопасностью.
❯ А как же наш бухгалтер?
Важно помнить, что в состав топ-менеджмента входят люди с разнообразным опытом, и зачастую они не имеют технического образования. Например, технический директор (CTO) может распознать фишинговый домен, в то время как для главного бухгалтера это будет сложно без специального обучения.
В большинстве крупных компаний значительная часть топ-менеджеров не связана с IT-сферой и, тем более, не обладает знаниями в области кибербезопасности без дополнительного обучения.
Всем этим людям действительно нужно объяснить, причем достаточно просто:
как их будут атаковать разные типы злоумышленников;
на что стоит обращать внимание, и когда включать «подозрительность»;
чему можно доверять и как проверять что-либо своими силами;
как защищать собственные устройства;
как реагировать на инциденты со своими устройствами/аккаунтами.
Необходимо доступно объяснить всё это, не вдаваясь в технические детали и не пытаясь намеренно напугать. В сфере кибербезопасности торговля страхами уже давно вызывает отторжение, и объективная оценка ценится гораздо больше.
Сейчас на рынке мы видим в основном массовые курсы по гигиене, которые не подходят для руководителей высшего звена. Однако я уверен, что вскоре появятся и специализированные курсы по личной безопасности для руководителей. Возможно, это произойдет после какого-нибудь громкого инцидента, как это у нас часто бывает. Курсы могут быть адаптированы под различные виды бизнеса, конкурентную среду и даже учитывать политические аспекты. Прошедшие обучение топ-менеджеры могут стать надежными союзниками службы информационной безопасности. Они будут поддерживать инициативы специалистов по информационной безопасности, поскольку теперь понимают, для чего это нужно. Это дополнительный бонус для компании.
На данный момент атака на личные устройства руководителей является наиболее эффективным способом получения доступа к данным компаний. Мы ожидаем подобных громких инцидентов, возможно и с участием колл-центров. Хотя последних пока больше волнуют быстрые деньги, чем доступы.
❯ Напутствие
Общайтесь со своими ТОПами, объясните им, что им придется погружаться в основы кибербезопасности. Постарайтесь их этим заинтересовать, и лучшая аналогия тут — Правила Дорожного Движения. Раз мы живем в мире где дороги повсюду, мы должны знать основы ПДД для собственной безопасности, их учат с детства. Почему же с кибергигеной не так? Пора.
Написано специально для Timeweb Cloud и читателей Пикабу. Больше интересных статей и новостей в нашем блоге на Хабре и телеграм-канале.
Хочешь стать автором (или уже состоявшийся автор) и есть, чем интересным поделиться (за вознаграждение) в рамках наших блогов — пиши сюда.
Облачные сервисы Timeweb Cloud — это реферальная ссылка, которая может помочь поддержать авторские проекты.
