Исследование выявило уязвимости в кибербезопасности 84% российских компаний

Люди — самая большая проблема в обеспечении безопасности. Но в то же время люди могут быть самой большой защитой вашей организации.

Как показывает практика и многолетний опыт, многие из наиболее успешных хакеров больше не ищут в первую очередь уязвимости программного обеспечения. Злоумышленники всё чаще взламывают людей. Причина проста: дешевле, проще и работает.

Массовое нарушение данных телекоммуникаций? Незащищённый сервер продавца. Выдающаяся медиа-компания? Украденные учётные данные. Сайт с компрометирующими письмами? Бывший подрядчик. Все эти серьёзные нарушения возникли в результате ошибок отдельных лиц. Вектор угрозы — это вы и ваши пользователи.

Несмотря на годы образования, миллионы страниц политик и ежегодные обязательные тренинги, 60% профессионалов в области безопасности считают небрежность сотрудников главной угрозой. Хотя ещё в 2015 году, согласно глобальному исследованию информационной безопасности EY, так считало всего 44%. Согласно отчету Willis Towers Watson за 2017 год, 66% всех страховых случаев по кибер-страховке связаны с халатностью сотрудников.

Но несмотря на увеличивающееся количество нарушений со стороны персонала, мы не изменили поведение, которое приводит к этим нарушениям. В среднем 4% пользователей, атакуемых в ходе фишинговой кампании, будут кликать на вредоносные ссылки, согласно отчету Verizon Data Breach за 2018 год. Кроме того, люди, которые щёлкнули по фишинговой ссылке хотя бы один раз, чаще всего щёлкают снова.

Почему так происходит? Да потому что большинство современных работников думают, что знают, как избежать угроз безопасности. У нас больше нет проблемы с осведомлённостью: пользователи слышали об основах фишинга. У нас проблема ложного доверия. Знание угроз безопасности — это только полдела. Сотрудники также должны знать, какие действия они должны предпринять.

Осведомлённость против ответов

Qualtrics провела исследование, в котором приняли участие около 1000 взрослых американцев, чтобы проверить два взаимосвязанных, но существенно отличающихся друг от друга момента: осведомлённость о фишинговых угрозах и соответствующие ответы на фишинговые угрозы. Разрыв был поразительным.

Более 70% взрослых в США знают, что такое фишинг, и более половины сказали, что они знают, как не стать жертвой.

Но когда задаются более сложные вопросы из того же набора, результат становится гораздо хуже. Только 10% респондентов знали, как правильно определить, является ли ссылка законной. Точно так же, каждый третий взрослый в США неправильно сказал, что только переход по ссылкам от знакомых людей защитит их от фишинг-атаки.

Стоит понимать, что вы по-прежнему цель, и проблема усугубляется из-за разрыва между знанием об угрозе и пониманием, что именно нужно сделать, чтобы её избежать. Люди развивают ложную уверенность, когда знают о проблеме, но не знают, как правильно её решить. Поскольку эксперты по безопасности всё ещё учатся устранять уязвимости в области безопасности человека, даже самые лучшие могут заменить простую осведомлённость подготовкой.

Заполнение пробелов в уверенности с помощью обучения

Многие люди покупают онлайн-обучающие видео и пытаются решить проблему с их помощью. Либо ставят флажок для обучения кибербезопасности, так как их ИТ-персонал предоставляет базовые напоминания при обучении один раз в год. Такое отношение может быть даже более опасным, чем позволить вообще ничего не знать о кибербезопасности. Когда компании сосредотачиваются на том, чтобы просто поставить этот флажок, они могут впасть в ложное чувство безопасности, думая, что их ежегодная лекция или тестирование подготовили сотрудников к будущим атакам.

Если компании будут уделять столько же внимания планированию и выполнению задач, чтобы помочь своим сотрудникам избежать киберугроз, сколько они создавали брандмауэры и предотвращали нарушения программного обеспечения, они повысят безопасность своей организации. Но это похоже на тяжёлую работу для уже перегруженных специалистов по безопасности и может означать расширение обучения или внедрение других процессов для обмена информацией.

Можно назвать десятки случаев, когда жертвы не переходили по ссылке и не скачивали какие-либо файлы, однако они всё ещё были обмануты фишинговым письмом и потеряли миллионы. Обучение осведомлённости и тесты являются неотъемлемой частью обеспечения безопасности организации. Однако конечной целью должно быть создание культуры безопасности, а не просто повышение осведомлённости людей. Культура подразумевает внутренне мотивированные действия, которые компании должны защищать сами.

Начните с вершины

Самой эффективной учебной программе в мире будет сложно завоевать популярность среди сотрудников, если они не увидят тех мер предосторожности и практики, которые демонстрирует руководство. Без примера сверху среда для развития культуры безопасности не будет существовать.

Эта культура имеет решающее значение по той же причине, по которой должностные лица общественного здравоохранения подчёркивают необходимость иммунитета от вакцинации: если большая часть населения защищена от угрозы, у этой группы гораздо меньше риска быть поражённой этой угрозой. Примеры безопасных практик могут помочь руководителям защитить свою рабочую силу от нарушений.

Возглавлять зарядку не стоит много времени или усилий. Это может быть так же просто, как то, что руководители всегда носят значки безопасности, которые, как они ожидают, будут носить сотрудники, или поощрение обсуждения сотрудников во время обучения по кибербезопасности.

Последующие действия

Последующее обучение или тест на фишинг — отличное начало, но что происходит после этого? Если не следить за обучением, сотрудники могут забыть о важных мерах безопасности, и субъект может дойти до предполагаемой неактуальности до следующего учебного года.

Уровень кибербезопасности должен быть актуальным, повторять обучение необходимо в течение всего года. Возможно, это означает, что вместо одного большого тренинга в год вы разбиваете его на меньшие ежеквартальные тренинги. Может быть, это регулярное тестирование или разговоры о кибербезопасности. Комбинация инициатив — случайный информационный бюллетень с советами, регулярное обучение и так далее — может помочь создать безопасную культуру, сообщая о серьёзности проблемы и необходимости усилий каждого сотрудника по её решению.

Укрепление устройств и исправлений программного обеспечения являются лишь частью борьбы за защиту вашего предприятия. Сегодня вы должны тестировать и обучать сотрудников и помогать им нести ответственность за меры безопасности. Каждый человек представляет собой серьезную угрозу для вашей организации, поэтому вы должны создать культуру безопасности и часто это повторять. Мышление безопасности каждого сотрудника — это единственное, что устранит пробел в безопасности человека, и единственный способ по-настоящему защитить вашу компанию.

11 августа, 2020

Источник: https://ib-bank.ru

В данной статье мы постарались собрать все основные и актуальные новости из СМИ о данном событии.

Российские компании оказались уязвимы перед начинающими хакерами

Более 80% компаний в России пренебрегают основными средствами защиты информационных систем и данных, в результате чего 84% компаний в своих IT-системах имеют уязвимости, которыми способны воспользоваться в том числе и начинающие хакеры, которые не обладают высоким уровнем навыков программирования. Как сообщают "Известия" со ссылкой на руководителя исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерину Килюшеву, от рук неопытных хакеров компании страдают в порядка 10% случаев.

На основании тестирования 19 крупных компаний из разных секторов экономики выяснилось, что в 58% случаев у компаний есть хотя бы один узел с брешью, которую может пробить общедоступное ПО для хакеров. Таким образом, благодаря софту для взлома преуспеть в хакерской атаке в 10% выявленных уязвимостей могут злоумышленники, у которых нет профессионального образования в области программирования.

Отмечается, что чаще всего в российских компаниях бреши безопасности связаны с использованием устаревшего ПО, уязвимости которого уже известны. Так, проблемы с наличием обновлений были обнаружены во всех компаниях, при этом порядка половины (47%) выявленных брешей, по словам специалиста, могут быть устранены установкой актуальных версий софта.

Как заметил специалист по безопасности ESET Тони Анскомба, сегодня все компании должны понимать, что нет точной гарантии полной защиты данных от кибератак, а потому необходимо постоянно уделять внимание области информационной безопасности для защиты данных и предотвращения утечек.

Специалисты уточняют, что клиентам компаний важно обращать внимание при выборе фирмы на то, насколько она оберегает безопасность своих данных. При этом следует помнить, что установка различных паролей в различных сервисах также является одним из действенных способов спасти свои данные от похищения, в случае если брешь будет пробита в одной из компаний, клиентом которой вы являетесь.

Источник: https://ren.tv

У 84% компаний выявлены проблемы с безопасностью IT-систем

Уязвимости, позволяющие получить доступ к конфиденциальной корпоративной информации, в своих IT-системах имеют 84% российских компаний. Это следует из тестирования Positive Technologies 19 крупных компаний из разных секторов экономики страны.

Эксперты изучили защищенность их IT-систем. Всего было просканировано 3514 узлов, включая сетевые устройства, серверы и рабочие станции организаций.

В первую очередь, уязвимости связаны с использованием устаревших версий ПО, которые содержат известные бреши безопасности. Проблемы с наличием обновлений были обнаружены во всех компаниях, при этом 47% выявленных брешей могут быть устранены установкой актуальных версий софта, отметила руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева.

Дыры в безопасности IT-системы могут привести к хищению денежных средств и данных клиентов, недоступности услуг, полному уничтожению корпоративной информации и, как следствие, нарушению основных бизнес-процессов, отметил руководитель направления по продвижению сервисов Solar JSOC компании «Ростелеком» Алексей Павлов.

Подробнее — в эксклюзивном материале «Известий»:

Источник: https://iz.ru

В России у большинства компаний выявлены проблемы с безопасностью IT-систем

Аналитики протестировали 19 крупных организаций из разных секторов экономики.

Специалисты "Positive Technologies" заявили, что 84% отечественных компаний имеют уязвимости, которые в теории могут дать доступ хакерам к конфиденциальной корпоративной информации.

Известия пишут, что всего было проанализировано 3514 узлов, включая сетевые устройства, серверы и рабочие станции организаций. Выявленные уязвимости были связаны, прежде всего, с устаревшим программным обеспечением.

Не пропустите

Отметим, что 47% обнаруженных брешей могут быть устранены установкой актуальных версий софта. Эксперты предупреждают, что, если этого не сделать — есть риск хищения денежных средств и данных клиентов, даже полного уничтожения корпоративной информации.

Напомним, что подключение к любому Wi-Fi, кроме корпоративных сетей, может быть опасным, так как в устройство могут попасть приложения, которые будут сканировать весь контент, проходящий через них.

Источник: https://online47.ru

Около 84% компаний России имеют уязвимости IT-систем

Большая часть российских компаний несерьезно относятся к защите своих IT-систем. У 84% есть уязвимости, благодаря которым хакеры могут получить доступ к важнейшим данным, а каждую пятую организацию сможет взломать даже новичок.

Как сообщает газета «Известия», эксперты изучили защищенность информационных систем 19 крупных компаний из различных секторов бизнеса. Выяснилось, что у большинства из них существуют уязвимости.

В основном лазейки существуют из-за устаревших версий ПО, плохо настроенной сетевой инфраструктуры и операционных систем, а также отсутствия шифрования и двухфакторной аутентификации. При этом только 15% компаний планомерно ищут и устраняют уязвимости.

По словам специалистов, лучше всего защищены телеком-компании и банки. Они работают с большими массивами данных и их бизнес напрямую связан с IT-направлением.

Хуже всего приходится данным здравоохранения, образования, а также ресурсам муниципальных органов власти. Эти сферы чаще всего не имеют большого количества данных, интересных для киберпреступников. Кроме того зачастую финансирование безопасности их IT-систем сильно ограничено.

На днях стало известно, что данные миллиона водителей московского региона утекли в Сеть. В том числе их номера телефонов, VIN-номера и номера паспортов транспортных средств.

Источник: https://360tv.ru

Positive Technologies: на сетевом периметре 84% компаний выявлены уязвимости высокого риска

Эксперты Positive Technologies поделились результатами инструментального анализа защищенности сетевых периметров корпоративных информационных систем. Согласно полученным данным, в большинстве компаний выявлены уязвимости высокого уровня риска, при том что каждая вторая уязвимость может быть устранена установкой актуальных обновлений ПО.

По данным исследования, в 84% организаций выявлены уязвимости высокого уровня риска, причем в 58% компаний есть хотя бы один узел с уязвимостью высокого уровня риска, для которой существует общедоступный эксплойт. В открытом доступе есть эксплойты для 10% всех выявленных уязвимостей, а значит, каждую десятую уязвимость злоумышленник может проэксплуатировать даже не имея профессиональных навыков программирования или опыта обратной разработки. Это при том, что половина уязвимостей может быть устранена установкой актуальных обновлений ПО.

«Проблемы с наличием обновлений были выявлены во всех компаниях, — сказала аналитик компании Positive Technologies Яна Авезова, — а в 42% организаций используются программные продукты, производители которых официально прекратили поддержку и больше не выпускают обновления безопасности. Например, в 32% компаний есть приложения, написанные на языке программирования PHP версии 5, который не поддерживается с января 2019 г.. К слову, возраст самой старой уязвимости, обнаруженной в ходе инструментального анализа, 16 лет».

Как сообщается в исследовании, в 26% компаний на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP, что подвергает компании риску заражения шифровальщиком WannaCry.

На сетевом периметре большинства компаний были выявлены доступные для подключения веб-сервисы, электронная почта, интерфейсы для удаленного администрирования, файловые службы. Более чем в половине организаций внешние ресурсы содержат уязвимости, связанные с выполнением произвольного кода или повышением привилегий. Максимальные привилегии позволяют редактировать и удалять любую информацию на узле, следовательно, возникает риск отказа в обслуживании, а для веб-серверов — еще и возможность дефейса, несанкционированного доступа к базе данных, проведения атак на клиентов. Кроме того, у злоумышленника появляется возможность развивать атаку на другие узлы. Эксперты советуют ограничить количество сервисов на сетевом периметре и убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны из интернета. Если это так, необходимо обеспечить безопасную их конфигурацию и установить обновления, закрывающие известные уязвимости.

Во всех компаниях выявлены узлы, на которых раскрывается та или иная техническая информация: содержимое конфигурационных файлов, маршруты к сканируемому узлу, версии ОС или поддерживаемые версии протоколов. Чем больше подобной информации об атакуемой системе удается собрать злоумышленнику, тем выше его шанс на успех. По мнению экспертов, причина кроется в небезопасной конфигурации служб.

По оценкам специалистов, управление уязвимостями ИБ — сложная задача, при решении которой специалистам невозможно обойтись без инструментальных средств. Современные средства анализа защищенности позволяют не только автоматизировать инвентаризацию ресурсов и поиск уязвимостей, но и оценить соответствие инфраструктуры политикам безопасности. При этом, подчеркивают в компании Positive Technologies, инструментальное сканирование сетевых ресурсов — лишь первый шаг на пути к приемлемому уровню защищенности компании, за которым обязательно должны следовать верификация, приоритизация, устранение рисков и причин их возникновения.

  • ИТ-маркетплейс Market.CNews: выбрать лучший из тысячи тариф на облачную инфраструктуру IaaS среди десятков поставщиков

Источник: https://www.cnews.ru

Исследование выявило уязвимости в кибербезопасности 84% российских компаний

Компания Positive Technologies провела исследование среди российских компаний. Специалисты пришли к выводу, что в 84% организаций имеются крайне опасные уязвимости. Еще в 58% обнаружены уязвимости высокой степени риска с общедоступными способами взлома.

26% компаний подвержены риску заражения вируса WannaCry, каждой десятой уязвимостью может воспользоваться даже неспециализированных злоумышленник. В компании считают, что каждая вторая уязвимость может быть устранена установкой актуальных версий и обновлений программного обеспечения — в рамках исследования обнаружили уязвимость, которой уже 16 лет.

Комментарии

Источник: https://www.kommersant.ru

Смотрите видео: Кибербезопасность и киберпреступность видео 6. Интернет. Программирование

Оцените статью
Добавить комментарий