Телекоммуникационные услуги Облачные сервисы Информационная безопасность Клиентам Onlinebank Smartcloud
Техническая поддержка IaaS Инфраструктурные решения
Аналитика Контакты Профиль
5151 Бесплатно с мобильного по РК info@kazteleport.kz +7 727 364 5151 Международные звонки
5151 Бесплатно с мобильного по РК
+7 727 364 5151 Международные звонки
Блог

Основные правила web-безопасности

06.10.2023

На сегодняшний день бизнес любого масштаба и направленности использует в своей деятельности цифровые активы, включая электронную почту, веб-сайты, профили в социальных сетях для маркетинговых стратегий, интернет-приложения и прочее. В связи с этим, веб-безопасность приобретает один из главных приоритетов и становится важной задачей, которую необходимо решить для сохранности корпоративной информации.

pasted image 0 (3).png

К угрозам кибербезопасности относятся:

  • Офлайн- и онлайн-фишинг. Неправомерное получение учетных данных с использованием вредоносных программных продуктов, поддельных ссылок и других методов.

  • DDoS-атаки. Перегрузка трафиком аппаратных серверов компании, которая способна полностью или частично вывести из строя IT-инфраструктуру; информационная безопасность web-сайта, служб и ПО, в таком случае, оказывается под угрозой.

  • Кейлоггинг. Вредоносное ПО, основная функция которого заключается в регистрации нажатых кнопок на клавиатуре с последующей отправкой записанных комбинаций на удаленный компьютер злоумышленника.

  • Трояны. Небольшие программные продукты, внедряемые в систему машины, как правило, во время установки пиратского ПО. Они позволяют получить хакеру доступ и контроль над зараженным компьютером.

  • Уязвимости cookie. Для простоты использования веб-сайты часто используют файлы cookie, в которые записываются важные данные о посещении и действии пользователя. При получении злоумышленниками доступа к ним, это чревато потерей конфиденциальных данных.

  • Аппаратные уязвимости и уязвимости подключения. Использование роутеров и другого оборудования с устаревшей прошивкой в IT-инфраструктуре предприятия либо подключение к общественной беспроводной сети может привести к появлению уязвимостей, что упрощает хакерам задачу по краже информации.

Технологии продолжают развиваться, но средства защиты всегда немного отстают от злоумышленников, которые изобретают все новые способы обмана ради получения доступа к требуемым данным. Последствия потери информации для бизнеса могут быть разными, начиная от небольшого простоя, в случае наличия резервных копий, до существенного ущерба для репутации или даже полного банкротства предприятия.

Дальше рассмотрим принципы организации киберзащиты информационной инфраструктуры предприятия, которые помогут в предотвращении известных способов хищения корпоративной информации. Этот список не является окончательным. Для максимальной защиты рекомендуется на постоянной основе знакомиться с современными трендами информационной безопасности и внедрять новые технологии в IT-инфраструктуру организации.

Практики кибербезопасности для бизнеса

1. Ограничение доступа посторонних лиц к корпоративным машинам

Рекомендуется создать в компании соответствующие политики и правила доступа к рабочим местам. Лица, не имеющие права доступа за рабочий компьютер, не должны быть допущены к рабочему месту. При нахождении в офисе посторонних лиц, партнеров, поставщиков или клиентов, необходимо организовать сопровождение во избежание вредоносных действий с их стороны.

Идеальный вариант — организация конференц-залов и залов ожидания, физически отдаленных от рабочего пространства. Таким образом минимизируется вероятность несанкционированного проникновения лиц в непредусмотренные для этого места, где можно услышать конфиденциальные разговоры или получить доступ к IT-инфраструктуре. 

2. Внедрение практики блокировки экрана рабочего компьютера

Все рабочие машины должны быть защищены паролем во избежание беспрепятственного доступа к системе неавторизованных лиц. При отсутствии сотрудника на рабочем месте по какой-либо причине необходимо блокировать экран. Для этого существуют специальные комбинации клавиш на разных системах. Например, Win + L на ОС Windows.

Этому же правилу необходимо следовать со всеми гаджетами, применяемыми на рабочих местах, включая мобильные телефоны, смартфоны и другую технику, где потенциально может находиться конфиденциальная информация. Такая практика должна войти в привычку рабочей команды, поэтому рекомендуется напоминать сотрудникам о блокировке рабочих гаджетов на каждом корпоративном собрании, где оговаривается информационная безопасность.

3. Использование надежных паролей и соблюдение правил их хранения

pasted image 0 (4).png

Часто для упрощения использования онлайн-приложений и служб сотрудники используют идентичные пароли на разных ресурсах и устройствах. Такой подход подвергает риску безопасность файловой системы и всей информационной инфраструктуры. При получении злоумышленником пароля на какой-либо ресурс, опасности подвергнется и вся цифровая система предприятия.

Отдельное внимание стоит обратить на методы сохранения паролей сотрудниками. Частой практикой является их хранение в одном файле, например, в таблице Excel для упрощения доступа. Специалисты рекомендуют избавиться от такой привычки по причине того, что в случае получения злоумышленником физического доступа к машине или в случае заражения вирусными программными продуктами, все пароли станут доступны хакеру для кражи и последующего использования.

Для безопасного хранения паролей существует специализированное программное обеспечение — менеджеры паролей. Для использования доступны разные продукты от различных производителей. Рекомендуется выбрать ПО в соответствии с потребностями и задачами организации и внедрить его на все рабочие машины, где требуется хранить длинные пассворды.

4. Развертывание антивирусного ПО и регулярное обновление корпоративных программ

Регулярное обновление корпоративных программных продуктов — залог безопасности работы и хранения информации. Некоторые производители и лицензии позволяют включить автоматическое обновление. Рекомендуется воспользоваться этим вариантом. В новых пакетах обновлений разработчики устраняют найденные уязвимости, что позволяет минимизировать возможность утечек и взломов.

Необходимо выбирать качественное антивирусное ПО, которое обеспечивает защиту в реальном времени, web-безопасность и предоставляет круглосуточную поддержку пользователей. Оно должно быть установлено на каждой машине, вне зависимости от сферы использования и подключения к корпоративной и глобальной сети.

5. Сохранение конфиденциальности IT-инфраструктуры

Точная конфигурация информационной инфраструктуры не должна быть известна никому, кроме сотрудников IT-отдела, которые непосредственно работают с аппаратным оборудованием. Точное количество брандмауэров, серверов, роутеров, схема корпоративной сети и прочее может послужить для злоумышленника ценной информацией для планирования и реализации атаки и кражи данных.

6. Использование рабочих гаджетов только по прямому назначению

Не допускается использование рабочих компьютеров и смартфонов для личного использования сотрудников, в том числе для проверки личной электронной почты, скачивания нелицензионных файлов, просмотров личных страниц в социальных сетях и т.п. Для контроля над использованием рабочих машин существуют специальные средства и инструменты ограничения доступа в браузерах и других программах.

7. Распределение доступа к корпоративной информации

pasted image 0 (5).png

Чтобы предотвратить стороннее вмешательство, преднамеренное или случайное изменение данных, необходимо разграничить доступ к информации по соответствующим отделам. Никто не должен иметь полный доступ ко всей IT-инфраструктуре предприятия, кроме владельца компании. Например, бухгалтерский отдел должен иметь доступ к специализированным программным продуктам, отдел проектирования — к собственному ПО и т.д. Кроме того, рекомендуется определить роли сотрудников, в зависимости от должности и уровня допуска.

8. Закрытые учетные записи в социальных сетях

Если сфера деятельности компании не связана с продажей товаров и услуг или рекламой, рекомендуется ограничить доступ незнакомцев к страницам в социальных сетях. Для этого в каждой современной соцсети есть соответствующие программные инструменты.

Если бизнес связан с продажами или рекламой, ограничение доступа может повлиять на привлечение потенциальных клиентов, поэтому этот вариант может оказаться неприемлемым. В таком случае необходимо проводить регулярные консультации с сотрудниками для информирования о возможных вариантах фишинга и других уязвимостях, связанных с человеческим фактором.

9. Регулярное обсуждение современных тенденций кибербезопасности с сотрудниками организации

Безопасность корпоративной информации, в первую очередь, основывается на здравом смысле. Необходимо создать среду, где сотрудники будут открыты к обсуждению этой темы, делиться своими мнениями и слушать остальных. Безопасность web-приложений и всей информационной инфраструктуры зависит от каждого, кто имеет к ней доступ. На регулярных собраниях рекомендуется сообщать о недавних происшествиях в сфере кибербезопасности, чтобы донести опыт других компаний и воспользоваться им во благо собственного бизнеса.

Резюме

Несмотря на соблюдение всех вышеописанных рекомендаций, ни одна компания не застрахована от кибератаки на 100%. Чтобы минимизировать последствия потенциальной атаки, необходимо разработать детальный план реагирования, который позволит поэтапно выполнить соответствующие шаги для сохранения информации и остановке хакерского вмешательства. В план реагирования рекомендуется включить все возможные угрозы, включая DDoS-атаки, переход по фишинговым ссылкам, появления вредоносного программного обеспечения на компьютере и остальные угрозы, упомянутые выше.



Поделиться статьей
Другие новости
и статьи
Смотреть все
 «Казтелепорт» получил международную сертификацию Tier III Facility, в очередной раз подтвердив надежность услуг
09.08.2024
«Казтелепорт» получил международную сертификацию Tier III Facility, в очередной раз подтвердив надежность услуг
Прочитать
Jelastic на SmartCloud прекращает свою работу
30.01.2024
Jelastic на SmartCloud прекращает свою работу
Прочитать
Как определить скрытый майнинг
29.01.2024
Как определить скрытый майнинг
Прочитать
Ботнеты: что это и как они влияют на кибербезопасность
22.01.2024
Ботнеты: что это и как они влияют на кибербезопасность
Прочитать
Кейлоггер (клавиатурный шпион) и методы защиты данных
15.01.2024
Кейлоггер (клавиатурный шпион) и методы защиты данных
Прочитать
Фишинг и фарминг: сходства и различия
09.01.2024
Фишинг и фарминг: сходства и различия
Прочитать
Что такое троянский вирус и методы удаления?
04.01.2024
Что такое троянский вирус и методы удаления?
Прочитать
Что такое лжеантивирусы?
25.12.2023
Что такое лжеантивирусы?
Прочитать
«Казтелепорт» запустит солнечную электростанцию на территории ЦОД «Сайрам»
21.12.2023
«Казтелепорт» запустит солнечную электростанцию на территории ЦОД «Сайрам»
Прочитать
Программы-вымогатели: как распознать и предотвратить атаку
18.12.2023
Программы-вымогатели: как распознать и предотвратить атаку
Прочитать
/news/statii/osnovnye-pravila-web-bezopasnosti/