Агентство по кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) опубликовало в минувшую пятницу основные, универсальные, и одновременно конкретные рекомендации для защиты информационных систем правительственных организаций и компаний от вторжений с использованием действительных учётных записей пользователей.

Такой вид нападений наиболее распространён и наиболее опасен – что, помимо прочего, объясняет важность сохранения в тайне учётных записей каждого пользователя. Действия от имени сотрудника организации, а это возможно в случае завладения его учётной записью, открывают перед злоумышленником гораздо больше возможностей по сравнению с обычным фишингом. Для такого метода нападения существует отдельный термин – «подводная охота», в отличие от «рыбалки» (фишинга).

CISA видит свою задачу в том, чтобы дать ясные, «лёгкие для понимания» представления о методах обеспечения информационной безопасности. В данном случае CISA рекомендует для профилактики «подводных» нападений соблюдать четыре действительно несложных правила, которые универсальны и будут полезны практически любой мало-мальски крупной организации, отечественной в том числе.

1. Требуйте от поставщика IT-систем смены паролей доступа, выставленных по умолчанию. Ни один продукт не должен поставляться с паролем по умолчанию, который не сбрасывается при первом использовании. Как минимум, узнайте у поставщика, какие из устройств и программных продуктов доступа имеют пароли, назначенные производителем по умолчанию, и смените их вручную.

2. Обеспечьте многофакторную аутентификацию. Она лишит злоумышленника, завладевшего учётной записью сотрудника организации, возможности беспрепятственно войти в систему под его именем. SMS должны быть последним средством дополнительной аутентификации, но и SMS лучше, чем ничего. Предпочтение следует отдавать аппаратным и программным токенам.

3. Разделите учётные записи на обычные (пользовательские) и привилегированные. Следует до предела сузить круг сотрудников, чья учётная запись даёт права администратора системы. Это функционально равно разрешению доступа сотрудника к документам определённого грифа секретности, в отечественной терминологии – «форма допуска такая-то» (они разделяются по номерам). Проверенное временем средство защиты информации.

4. Заведите инструкции для действий в случае инцидента. Первоначально это может простейшее действие – такое же, как «при пожаре звоните по такому-то номеру». В дальнейшем, по мере накопления опыта и классификации инцидентов, инструкции могут и должны дополняться.