Опять о плохих паролях
О необходимости следить, чтобы допуск в конфиденциальные базы данных защищался сложными кодами и паролями, написано и сказано немало. В первый четверг мая даже отмечают Международный день паролей.
В реальной жизни, однако, мало что меняется, пишет Торстен Джордж в издании Security Week, June 14, 2019. Успешные кибератаки становятся все более опасными, разрушительными. Недели не проходит, чтобы пресса не сообщила об очередном взломе корпоративных сетей.
Исследовательский отчет CyberEdge (маркетинговая, консалтинговая компания в области интернет технологий) гласит, что 77% опрошенных организаций пострадали от хакерских вторжений за последний год.
Изучение причин такого положения дел почти всегда приводит к проблеме надежности паролей. Хакеры не лезут куда попало. Они предварительно тщательно изучают уязвимости в системах защиты потенциальной жертвы, находят бреши в виде слабых, ущербных, украденных или скомпрометированных другими способами паролей. Практически все исследования, которые проводились на эту тему, подтверждают, что несанкционированные вторжения обычно происходят через компрометацию доступа в сеть, которым наделяют компании своих работников, партнеров и внешних консультантов, не очень заботясь о надежности аутентификации.
Эксперты испытали шок, выяснив в ходе одного из опросов, что более половины организаций не проводят тестирование систем информационной защиты, а каждая пятая компания не пользуется многофакторной аутентификацией.
Проблема имеет и финансовый аспект. Многие организации тратят немалые средства на дорогостоящие технологии кибербезопасности, но при этом легкомысленно относятся к надежности паролей, раздают права доступа налево и направо, включая тех, кому по рабочим функциям такой доступ совсем не обязателен.
Это огромная ошибка, подчеркивает автор статьи. Он обращает внимание читателей на три ключевые, по его мнению, рекомендации, как предотвратить хакерские взломы через компрометацию прав доступа.
-
Многофакторная аутентификация
Статичные пароли больше не играют отведенной им роли. Невозможно с ходу определить, кто в данный конкретный момент зашел в базы данных – легальный пользователь, которому доступ официально предоставлен, или злоумышленник, похитивший, либо перекупивший права доступа у другого хакера. Только мультифакторная, с использованием средств биометрии, аутентификация более-менее защищает от хакеров. Это то самое «яблоко на нижней ветке, до которого легко дотянуться».
-
Финансы: больше - не всегда лучше
По оценкам компании Gartner, мировые затраты на кибербезопасность в 2019 году составят рекордные 137 миллиардов долларов США. Огромная часть этих средств предназначена на приобретение и модернизацию программных решений информационной защиты. Хакеры, в свою очередь, оттачивают тактику и методы, нацеленные на использование человеческого фактора. Если кто-то по лени или неразумению придумывает простой пароль, скажем, 12345678, то самые совершенные технологии не устоят и не спасут от атаки. «Компании, независимо от их размера и бизнеса, должны стратегически подходить к расходам на кибербезопасность, - подчеркивает автор. – Поскольку права доступа к корпоративным сетям представляют собой основной вектор хакерских атак, то и выделенные на безопасность деньги надо разумно расходовать, в первую очередь укрепляя именно этот сегмент киберзащиты. Если хакер уже внутри сети, какой смысл тратить средства на усиление периметра кибербезопасности? Не лучше ли обратить внимание на организацию системы допусков внутри компании?
-
Ноль доверия (Zero Trust)
Zero Trust означает не доверять никому, даже хорошо известным, неоднократно проверенным пользователям, пока они, входя в корпоративную сеть, не пройдут сложную процедуру верификации, идентификации. Система «никому не доверяй» предполагает предоставление права пользования сетями исключительно тем, кто это заслуживает, кому необходимо по работе, кто предварительно прошел тщательную бэкграундную проверку. Данная модель предусматривает ограничения по спектру доступных баз данных и периоду времени для проведения работы в сети. Обязательное условие – шифрование наиболее важной конфиденциальной информации.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|