Тәжірибеден алынған топ-10 сабақ: ақпараттық қауіпсіздік инциденттерін талдау және қорғау әдістері

Ақпараттық қауіпсіздік туралы есептерде алдыңғы қатарлы қауіптерді талқылағанда, әлеуметтік инженерия әрқашан бірінші орында тұрады. Ақпараттық қауіпсіздікті бұзудың бұл мысалдары хакерлердің жүйелерді емес, адамдарды бұзғанды жөн көреді дегенді дәлелдейді. Мысалы, 2023 жылдың басында Mailchimp компаниясында киберқауіпсіздік оқиғасы болды. Зиянкестер қызметкерлердің деректерін және 133 клиенттік аккаунттарға қол жеткізу үшін психологиялық әдістерді қолданған. Бұл жағдайда ақпараттық қауіпсіздік оқиғасы сенімнің бұзылуының нәтижесі болды.

2022 жылы Cisco компаниясында да ұқсас ақпараттық қауіпсіздік оқиғасы орын алды. Күрделі дауыстық фишинг арқылы хакерлер қызметкердің Google аккаунтын бұзған. Мұндай ақпараттық қауіпсіздік оқиғаларын қарастыра отырып, ақпараттық қауіпсіздікке жасалған шабуыл ең әлсіз байланыс нүктесін іздеумен байланысты болып табылады. Бұл кибершабуылдар мысалдары компьютерлік қауіпсіздік қатерлерін, тіпті технологиялық көшбасшылар да елемеуге болмайтынын көрсетеді. Ақпараттық қауіпсіздік оқиғаларын талдай отырып, сарапшылар уақытылы ақпараттық қауіпсіздік оқиғасын немесе заңды әрекетті анықтау үшін көпфакторлы аутентификацияны (MFA) және мінез-құлық аналитикасы жүйелерін енгізуді ұсынады.

Көптеген ақпараттық қауіпсіздік мысалдары сыртқы шепке шоғырланады, бірақ ICRC ісінде көретін ақпараттық қауіпсіздіктің ішкі қауіптері онша қауіпті емес. 2022 жылы жарты миллионнан астам адамға қатысты деректерді қамтыған ауқымды киберқауіпсіздік оқиғасы орын алды. Мұндай ақпараттық қауіпсіздік оқиғаларын зерттей отырып, зұлымдар желі ішінде жылжу үшін әкімшілердің құқықтарын қалай пайдаланып жатқанын көреміз.

Бұл ақпараттық қауіпсіздік бұзушылығы, ол гуманитарлық сектор үшін шок болды, ақпараттық қауіпсіздік оқиғасы – әрдайым беделге қауіп екенін баса айтады. Ақпараттық қауіпсіздікке артықшылықтарды арттыру негізінде жасалған шабуыл дегеніміз не екенін түсіну маңызды. Қорғау үшін ресурстарға қолжетімділікті шектеу қажет, ішкі оқыту үшін ақпараттық қауіпсіздік оқиғаларының тізімін жасау қажет. Себебі қатаң аудитті қамтитын ақпараттық қауіпсіздік – саботажға қарсы ең үздік бөгет.

Кейде ақпараттық қауіпсіздік бұзылулары қарапайым абайсыздықтан орын алады. 2023 жылы Microsoft зерттеушілері Azure-дің қате конфигурациясының салдарынан 38 ТБ деректерге ашық қол жеткізуге мүмкіндік берді. Мұндай ақпараттық қауіпсіздік инциденттері бұлтқа байланысты ақпараттық қауіпсіздік қатерлерінің кілттер мен құпиясөздерді жоғалтқанға әкелуі мүмкіндігін көрсетеді. Мұндай ақпараттық қауіпсіздік инциденті тұрақты аудит жүргізудің маңыздылығын айқындайды.

Ұқсас киберқауіпсіздік инциденті Pegasus Airlines-те болды, мұнда AWS конфигурациясындағы қателік рейстер туралы деректерді жария етті. «Бакеттермен» байланысты ақпараттық қауіпсіздік инциденттерін зерттегенде, біз бұлттық трансформация дәуіріндегі ақпараттық қауіпсіздік инцидентінің не екенін түсінеміз. Бұл ақпараттық қауіпсіздік оқиғалары IT-бөлімдерінен кіру параметрлеріне ерекше назар аударуды талап етеді. Мұндай ақпараттық қауіпсіздік мысалдары компьютерлік қауіпсіздік қатерлері жиі қарапайым параметрлерде жасырынатынын көрсетеді.

Инсайдерлер ақпараттық қауіпсіздікке тән қауіптерді тудырады, оның мысалдары Tesla жағдайында жақсы көрінеді. 2023 жылы екі бұрынғы қызметкер 100 ГБ деректерді ұрлап алды. Ақпараттық қауіпсіздік оқиғаларын талдай отырып, заңгерлер бұл тікелей ақпараттық қауіпсіздік оқиғасы деп атап өтті, ол үлкен айыппұлдарға алып келді. Шпионаж тұрғысынан ақпараттық қауіпсіздік оқиғасының қандай екенін түсіну үшін Apple және Yahoo-ға назар аудару керек.

Онда қызметкерлер жұмыстан шығар алдында бастапқы кодты ұрлаған. Ақпараттық қауіпсіздікті бұзу мысалдары USB және бұлтты қоймаларды бақылаудың маңыздылығын баса көрсетеді. Мұндай ақпараттық қауіпсіздік оқиғаларын қарастыра отырып, компаниялар қызметті бақылауды енгізеді. Әрбір мұндай ақпараттық қауіпсіздік оқиғасы — қол жеткізу құқықтарын қайта қараудың себебі. Ең аз артықшылықтар принципіне негізделген ақпараттық қауіпсіздік ренішке толы әріптестердің кибершабуылдарының алдын алуға көмектеседі. Бұл ақпараттық қауіпсіздік оқиғаларының түрлері DLP жүйелерін және UEBA құралдарын енгізуді талап етеді.

Ақпараттық қауіпсіздіктің заманауи оқиғалары жиі бір компанияның шегінен шығып кетеді. 2024 жылы American Express компаниясындағы киберқауіпсіздік инциденті серіктестің бұзылуы салдарынан болды. Мұндай ақпараттық қауіпсіздік инциденттері сіздің қорғанысыңыз сіздің ең әлсіз мердігеріңіз қаншалықты қорғалғанына байланысты ғана мықты екенін дәлелдейді. Осындай ақпараттық қауіпсіздік инциденттерінен компаниялар барлық жеткізушілерден қауіпсіздік аудитін талап ете бастайды.

API арқылы 37 миллион пайдаланушының мәліметтерінің таралуы жағдайындағы T-Mobile оқиғасы – бұл классикалық АК инциденті. Ақпараттық қауіпсіздік инциденттерінің түрлерін қарастыра отырып, API осалдықтарының сындарлы болатынын көреміз. Үшінші тарап қызметтері арқылы ақпараттық қауіпсіздіктегі шабуылдың не екенін түсіну, контрагенттерді бағалау үшін ақпараттық қауіпсіздік инциденттерінің тізімін қалыптастыруға көмектеседі. Кез келген АК инциденті – бұл әрекетке сигнал береді. Жабдықтау тізбегіндегі ақпараттық қауіпсіздік бұзылуының мысалдары бізге компьютерлік қауіпсіздік қатерлері күтпеген жақтан келуі мүмкін екенін үйретеді.

Осы ақпараттық қауіпсіздік инциденттерінің тізімін зерттей отырып, негізгі қорытынды жасауға болады: қорғау көп деңгейлі болуы керек. Әрбір ақпараттық қауіпсіздік инциденті – құнды сабақ. Ақпараттық қауіпсіздік инциденттерінің кең ауқымды мысалдарын пайдалана отырып, басшылықты ақпараттық қауіпсіздікке инвестициялардың қажеттілігіне сендіре аласыз. Ақпараттық қауіпсіздік оқиғалары ақпараттық қауіпсіздік қатерлерінің, біз талдаған мысалдар жойылмайды.

Ақпараттық қауіпсіздік инциденттерінің не екенін білу белсенді қорғануға мүмкіндік береді. Өз салаларыңызға тән ақпараттық қауіпсіздік инциденттерін қоспағанда, өзіңіздің ақпараттық қауіпсіздік инциденттер тізіміңізді құраңыз. Программалық қамсыздандыруды ғана емес, процестерді де қамтитын ақпараттық қауіпсіздік тұрақтылық кепілі екенін есте сақтаңыз. Ақпараттық қауіпсіздікке шабуыл дегеніміз не екенін түсініп, ақпараттық қауіпсіздік инциденттерінің түрлерін талдай отырып, кез-келген қиындықтарға дайын боласыз.

Ақпараттық қауіпсіздік инциденттерінің соңғы талдауын өткізе отырып, ақпараттық қауіпсіздік инциденті әркімде болуы мүмкін екенін мойындау маңызды. Бірақ дәл ақпараттық қауіпсіздік инциденті жүйені күшейту мүмкіндігі. Ақпараттық қауіпсіздік бұзушылықтары мәліметтерін ашық дереккөздерде жарияланатын мысалдарды үнемі талдап отырыңыз. Бұл ақпараттық қауіпсіздік бұзушылықтарының мысалдары сіздің стратегияңыздың негізіне айналсын, компьютерлік қауіпсіздік қатерлерін азайта отырып, ақпараттық қауіпсіздіктің мысалдарын шынайы қорғауға айналдырыңыз.

Киберқауіпсіздік оқиғаларының алдын алғысы келетіндер үшін iIT Distribution әлемдік көшбасшы CrowdStrike компаниясының озық шешімдерін ұсынады. Украина, Қазақстан, Өзбекстан, Грузия, Польша, Әзірбайжан, Эстония, Литва, Латвия сияқты елдердегі ресми дистрибьютор ретінде, Қырғызстан, Молдова және Тәжікстан елдерінде ресми дистрибьютор ретінде біз қауіпсіздікке деген көзқарасты түбегейлі өзгертетін Falcon платформасына қол жеткізуді ұсынамыз. CrowdStrike Falcon платформасы жасанды интеллектіні пайдалана отырып, ақпараттық қауіпсіздік оқиғаларын нақты уақыт режимінде анықтап, олар ауыр ақпараттық қауіпсіздік оқиғасына айналмай тұрып бейтараптандырады.

Кибершабуылдарды тиімді блоктайтын CrowdStrike NGAV (келесі буын антивирусы), EDR және XDR технологияларын бір ғана бұлттық агент арқылы біріктіреді. Бұл ақпараттық қауіпсіздік оқиғаларын талдауды автоматтандыруға және кез келген аномалияларға дереу жауап беруге мүмкіндік береді. Хакерлік шабуыл әрекеті болған кезде жүйе оқиғаны — ақпараттық қауіпсіздік оқиғасы ма, жоқ па — анықтап, шабуылдаушының көлденең қозғалуына жол бермейді. Ақпараттық қауіпсіздік қауіптері барған сайын күрделене түскен ортада осындай жылдамдық шешуші фактор болып табылады.

Falcon платформасы ақпараттық қауіпсіздік оқиғаларының ең қауіпті түрлерін, соның ішінде тіркелгі деректерінің ұрлануын шешуге көмектеседі. Identity Protection модулі пайдаланушының әрекетін нақты уақыт режимінде талдап, бұзылған құпиясөздерді пайдалануға байланысты ақпараттық қауіпсіздік оқиғаларының алдын алады. Ақпараттық қауіпсіздік шабуылы деген не екенін түсіне отырып, CrowdStrike сарапшылары тек соңғы нүктелерді ғана емес, сонымен қатар бұлттық орталарды, контейнерлерді және тіркелгі деректерін қорғайтын құралдар әзірледі, осылайша киберқауіпсіздік қауіп-қатерлерін бейтараптандырады.

Польша, Украина және Орталық Азиядағы бизнестер үшін CrowdStrike-ты пайдалану біз талқылаған ақпараттық қауіпсіздік тәуекелдерін басқаруға мүмкіндік береді. Falcon OverWatch-тың тәулік бойы бақылауының арқасында сіздің ақпараттық қауіпсіздік оқиғалары тізіміңізде тек сәтті тойтарылған шабуылдар ғана болады. Біз компанияларға ақпараттық қауіпсіздік оқиғасының практикада қалай көрінетінін түсінуге көмектесеміз: тергеулер үшін егжей-тегжейлі есептер мен дәлелдер ұсынып, кез келген ақпараттық қауіпсіздік оқиғасын қорғанысты нығайтуға арналған құнды оқу тәжірибесіне айналдырамыз.