Уязвимости — это бреши, слабые места или ошибки в информационных системах, программном обеспечении, сетях или процессах. Уязвимости разного уровня встречаются в любых системах и ПО и содержат в себе потенциальную угрозу. Они становятся реальной опасностью, когда о ней узнает злоумышленник, но еще не знает ваша служба ИБ!
Обнаружение и исправление уязвимостей в ПО, на веб-ресурсах, которые использует ваша компания – критически важная часть стратегии информационной безопасности! Для того, чтобы опередить злоумышленника, используются пентесты или программы Bug Bounty.
Какие бывают уязвимости
Для бизнеса важны критические и некритические уязвимости: эксплуатация первых может привести к недопустимым событиям (о них далее), вторых – нет.
Эксплуатация уязвимостей потенциально несет в себе следующие основные риски: финансовые, репутационные, социальные, экологические.
Понятие недопустимых событий
Недопустимые события – это намеренно принесенный компании вред в результате эксплуатации уязвимости, например, кража денежных средств, утечка данных, остановка бизнес-процессов, остановка деятельности предприятия и многое другое. В ряде случаев недопустимое событие в киберпространстве может иметь реальные последствия для экологии, человека.
Что и кто может стать объектом атаки
Объекты сети, веб-приложения, приложения и ПО и особенно сотрудники.
Сами люди помогают черному хакеру совершить преступление. Злоумышленнику достаточно заполучить одну учетную запись в вашей компании.
Распространенный вектор кибератак – так называемые методы социальной инженерии. Человек способен ощущать эмоции - доверие, радость и особенно страх, которые побуждают к импульсивным действиям, и злоумышленники этим пользуются.
Пример от пентестера Simplity Романа:
«Представьте, что вашему малознакомому сотруднику по пути на работу звоните вы – его руководитель, директор. И срочно просите дать пароль от компьютера, где хранится важный документ, нужный сейчас же, потому что на работе происшествие! Скорее всего, он испугается и даст пароль, приняв вас за настоящего босса. Этот сценарий, кстати, очень распространен последнее время».
Лучшая профилактика киберпреступлений – осведомленность о важности социального аспекта в этих преступлениях плюс технические способы защиты. Кстати, о повышении уровня цифровой грамотности мы писали тут.
Как защитить бизнес?
Часто об уязвимости становится известно, когда ущерб уже нанесен. И мы в Simplity НЕ советуем обнаруживать уязвимости в сети или ПО вашей компании таким образом.
Как действуют хакеры? Они могут оставаться в сети незамеченным очень долго прежде, чем проведет атаку. Обычно злоумышленники разрабатывают крупный бизнес месяцы и даже годы, пока ждут нужного момента.
В этом смысле лучшая информационная защита вашего бизнеса – это профилактика. Своевременное проведение тестов на проникновение и устранение брешей и ошибок инфраструктуры и ПО позволит сберечь не только деньги и данные, но компанию и репутацию.