Блог им. AAF
Мы добавили бесплатный для общего пользования «ЧЕКЛИСТ ДЛЯ ПРОВЕРКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ». Мы надеемся, что этот контрольный список и информация, приведенная в данной статье, добавят спокойствия и информационной безопасности вашей организации. С чеклистом можно ознакомиться в конце статьи.
Email.
Чаще всего именно электронная почта является главной точкой входа в тайны вашей компании и ее личного состава. Каждый официальный сайт компании содержит контактную информацию, включающую адрес электронной почты с доменом компании. Например, info@nameoforganization.com или hr@nameoforganization.com.
Это соответствует деловой этике, но в современном Интернете существует огромное количество инструментов (например, Google Dorks, phonebook.cz, hunter.io и др.), которые, используя домен, собирают другие адреса, которые организация, возможно, не хотела публиковать для широкой общественности. В результате можно обнаружить что-то вроде ciso@nameoforganization.com, andreypetrov@nameoforganization.com, SolyuVseSekretyKontory@nameoforganization.com.
Само наличие рабочего e-mail не только дает возможность установить прямой контакт с сотрудником, минуя отдел по связям с общественностью, но и позволяет коллегам использовать его не по назначению: регистрировать аккаунты в социальных сетях, заказывать доставку и так далее, и так далее, и так далее. Все это впоследствии скрывается. По таким электронным адресам можно найти много интересной личной информации, которая пригодится хакерам и кибершантажистам.
Фотографии сотрудников на сайте компании.
Да, фотографии на сайте компании могут помочь найти аккаунты ваших сотрудников в социальных сетях. В большинстве случаев эта информация не имеет коммерческой ценности, но это отличная возможность собрать сведения о личной жизни сотрудника, что может вылиться в настолько хорошо построенную социально-инженерную кампанию, что злоумышленник даже не заметит подвоха.
Кстати, существует достаточно много инструментов для поиска аккаунтов в социальных сетях по лицу. Например, FindClone, SearchForFace и даже просто google.pictures.
Публичная активность.
В действительности фотографии и публичная активность не являются столь критичными уязвимостями, как персональные данные, которые можно получить из адресов электронной почты. Исключить публичную активность компании — значит отсечь 80% маркетинга. Некоторые вещи стоит предавать огласке, а некоторые — нет.
Примером социально-инженерной атаки может служить такой текст, как: «Добрый день, я видел Вас на конференции „Легенды SOC — 2023“. Нам очень понравилась ваша презентация. Мы хотели бы предложить Вам сотрудничество. Условия и подробное предложение находятся во вложении». Согласитесь, заманчиво! Особенно если ваша компания немного недоплачивает сисадмину, и он находится в поисках более выгодного предложения. Велика вероятность, что даже опытный ИТ-специалист сначала откроет вложение и только потом задумается.Файлы на сайте компании.
Вам может казаться, что вы спрятали все ненужные файлы, но поисковые роботы Google все тщательно проиндексировали. Проверить это очень просто. Например, ваш сайт находится по адресу: rogaikopyta.site. Набираем в строке поиска google: filetype: (здесь без пробела формат файла — pdf, doc, docx, xls, txt) site:rogaikopyta.site. Далее проверяем, чтобы ничего лишнего вдруг не оказалось в открытом доступе.
Есть ряд документов, которые юридическое лицо не может не публиковать, но то, что не входит в этот список, лучше почистить, ведь лишняя информация о ваших сотрудниках, контрагентах, финансовых активах — все это отличная пища для потенциальной атаки.
Хочется также обратить внимание на то, какие сотрудники представляют наибольшую угрозу для информационной безопасности компаний.
Большинство исследований в области информационной безопасности показывают, что самым слабым звеном в мерах безопасности являются сотрудники, поскольку именно они имеют полный доступ ко всем ресурсам и документам организаций.
Новый сотрудник ИТ-службы.
Новый сотрудник ИТ-службы может по неосторожности нанести огромный ущерб безопасности компании. Сегодня хакеры используют все более изощренные методы проникновения во внутренние ресурсы компаний, такие как социальная инженерия. Вновь принятый на работу ИТ-сотрудник не знаком с протоколами и процессами, обеспечивающими безопасную передачу файлов по сети, и поэтому является чрезвычайно привлекательной мишенью для злоумышленников, желающих получить полный доступ к корпоративной информации.
Системный администратор.
Во многих компаниях основными вопросами информационной безопасности занимаются системные администраторы. Сисадмин занимается не только техническими аспектами, но и несет огромную ответственность за материальные и нематериальные активы и репутацию организации. Кроме того, он знает о компании практически все, имеет доступ ко всем конфиденциальным данным, поэтому при определенных обстоятельствах может подвергнуться давлению со стороны киберпреступников.
Высшее руководство.
Как ни странно, генеральный директор компании на самом деле часто представляет собой огромную угрозу для ее информационной безопасности. По данным Ponemon Institute, более половины утечек, в которых участвуют сотрудники, происходят по вине высшего руководства. Такие потери являются наглядным доказательством того, что хакеры рассматривают в качестве своих целей не только менеджеров среднего звена, но и топ-менеджеров. Помощники руководителей также являются носителями очень ценной корпоративной информации. Они имеют доступ ко всем учетным данным, паролям, финансовым отчетам и внутренней документации. Именно это делает их особенно привлекательным объектом для взлома.
Консультант по безопасности.
Если вашей организации требуется сложная, многоступенчатая система безопасности, будьте готовы к сотрудничеству с различными поставщиками услуг из этой области. Однако помните, что внешний консультант по безопасности, привлеченный для определения текущего уровня безопасности и постановки задач в области ИБ, имеет полный доступ ко всем внутренним ресурсам компании и конфиденциальным данным, о чем хакеры прекрасно осведомлены.
Внешний поставщик
Крупные компании часто используют сразу несколько внешних поставщиков. Ежедневные хакерские атаки подтверждают, что после получения поставщиками доступа к внутренним системам и сетям компании эти системы и сети становятся особенно уязвимыми для киберугроз. Чтобы обезопасить себя, компании должны предоставлять поставщикам ограниченный и контролируемый доступ.
Уволенный сотрудник
Роковой ошибкой многих компаний является закрытие доступа к внутренним ресурсам и сетям для бывших сотрудников. Совершая эту ошибку, организации становятся еще более уязвимыми для кибератак. Единственным верным решением является немедленное удаление всех учетных записей сотрудников, которые уже не работают в компании. Более того, бывшие сотрудники могут легко унести с собой базы данных потенциальных и текущих клиентов и другую конфиденциальную информацию и разместить ее в свободном доступе в Интернете.
Временный работник
Временная занятость — очень распространенное явление, особенно в сфере обслуживания и продаж. Не является исключением и сфера информационных технологий, где очень часто требуются сотрудники на временной основе для решения тех или иных задач. Таким сотрудникам предоставляется доступ к различным корпоративным порталам и системам, где хранится наиболее важная информация и данные компании. Кроме того, временным сотрудникам предоставляются в пользование корпоративные ноутбуки, планшеты и смартфоны. Именно поэтому таких сотрудников следует считать полноправными членами организации и защищать от угроз информационной безопасности.
что речь пойдет не о технической стороне деятельности компаний, а о социальной инженерии, направленной на уязвимые места ваших сотрудников.
«С точки зрения безопасности математический аппарат безупречен, компьютеры уязвимы, сети паршивы, а люди отвратительны»
Брюс Шнайер
Помните, что именно сотрудники и их халатное отношение к мерам безопасности представляют собой огромную угрозу для ИТ-безопасности компании.
ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ, КОТОРАЯ МОЖЕТ ВАМ ПОМОЧЬ.
✅ ЧЕК-ЛИСТ ПРОВЕРКИ ОРГАНИЗАЦИЙ.
✅ 600 инструментов для osint и исследований.
✅ Инструменты для osint в blockchain.
✅ Маркетплейс для криптопроектов, все опции в одном месте.
✅ Инструменты для обеспечения безопасности смарт-контрактов.
✅ Новости osint, реальные расследования и полезная информация.