Константин Абзац – Стартап в области кибербезопасности для малого бизнеса (страница 4)

Хакер может даже позвонить в офис под видом сотрудника техподдержки и, представившись безобидным специалистом, просто спросить: «Здравствуйте, у нас регламентные работы на сервере, не подскажете, какая у вас операционная система установлена?». И многие ответят, потому что не видят в этом угрозы. Вся эта мозаика из кусочков информации собирается в единую картину, которая показывает злоумышленнику самое слабое место в вашей обороне.

Фишинговый крючок: ловля на живца

Собрав достаточно информации, злоумышленник переходит к активным действиям. И здесь самым популярным инструментом был и остается фишинг. Это не просто письмо «от службы безопасности банка». Современный фишинг – это высокоточное оружие.

Представьте ситуацию. Вы работаете в компании, которая сотрудничает с крупным поставщиком. И вдруг вам приходит письмо от вашего менеджера с этого самого поставщика. Тема: «Срочно! Изменение платежных реквизитов». В письме – вежливая просьба перевести оплату за следующий месяц на новый счет, так как старый закрывается. Адрес отправителя может отличаться всего на одну букву, которую вы не заметите, а логотип и подпись в письме будут точь-в-точь как настоящие. Как думаете, многие ли бухгалтеры перепроверят такую информацию по телефону, если завтра крайний срок оплаты? На этом и строится расчет.

Или другой сценарий. Хакер узнает из соцсетей, что ваш главный инженер увлекается, скажем, моделированием парусников. И вот он находит форум для таких же любителей, регистрируется там, втирается в доверие и присылает «очень редкую схему парусника XIX века» в виде файла. Инженер, обрадованный, скачивает файл и открывает его. В этот момент на его компьютер проникает программа, которая открывает хакеру удаленный доступ. Цель достигнута.

Использование уязвимостей: дверь, которую забыли закрыть

Если фишинг – это обман, то эксплуатация уязвимостей – это просто игра в одни ворота с теми, кто не устанавливает обновления. В любой программе, будь то Windows, ваш любимый браузер или плагин для сайта, рано или поздно находятся ошибки, или «дыры». Разработчики, узнав о такой дыре, выпускают «заплатку» – обновление, которое эту дыру закрывает.

Проблема в том, что хакеры тоже читают новости о найденных уязвимостях. Как только выходит информация о новой дыре, они начинают массово сканировать интернет в поисках тех, кто еще не поставил обновление. Это называется «атака нулевого дня», если уязвимость только что обнаружена, или просто атака на необновленные системы.

Вот представьте, что у вас в крепости есть потайная дверь, о которой знаете только вы и строители. И вдруг строители случайно публикуют в газете ее чертеж. Вы, как хороший хозяин, тут же бежите заколачивать дверь досками. А плохой хозяин говорит: «Да ладно, никто не придет, я потом как-нибудь». Хакеры и есть те самые «потом», которые приходят сразу же. Они находят эту дверь, просто перебирая все возможные варианты, и спокойно заходят внутрь.

Закрепление в системе: тишина перед бурей

Представьте, что вор пробрался в дом. Он не будет сразу хватать все подряд и убегать, потому что на улице может стоять полицейская машина. Он сначала спрячется в кладовке, переждет, прислушается, оценит обстановку. Так же действуют и хакеры. Их задача после проникновения – закрепиться и остаться незамеченными.

Они могут установить небольшую программу, которая будет скрытно работать в фоне, собирать пароли, записывать нажатия клавиш или просто ждать команды. Они сотрут логи, чтобы скрыть следы своего вторжения. В этот момент внутри вашей системы уже есть чужой, но вы об этом даже не догадываетесь. Вы продолжаете пить кофе, обсуждать планы на выходные, а злоумышленник тем временем изучает ваши файлы, переписку и ищет самую ценную добычу.

Остановитесь сейчас на минуту и подумайте. Вспомните, когда вы в последний раз с подозрением отнеслись к письму от «банка» или проигнорировали уведомление о необходимости перезагрузки для установки обновлений. А ведь именно в эти моменты вы либо захлопывали ту самую потайную дверь перед носом у хакера, либо, наоборот, любезно ее приоткрывали и вешали табличку «Вход свободный». Понимание этих этапов – первый и самый важный шаг к тому, чтобы перестать быть легкой добычей и превратить свою маленькую компанию в ту самую крепость, которую обходят стороной.

Часть 2. Строим цифровой фундамент

Парольная защита: от простых комбинаций к менеджерам паролей

Давайте начистоту. Сколько у вас сейчас паролей? Почтовый ящик, соцсети, интернет-банк, CRM-система, облачное хранилище, аккаунт на госуслугах… Я уж молчу про всякие мелкие сервисы вроде доставки еды или записи к стоматологу. У среднестатистического человека сегодня набирается пара-тройка десятков учетных записей. А если вы предприниматель, к этому добавляются рабочие аккаунты сотрудников, доступы к админкам сайтов, бухгалтерские программы. И для каждого нужен пароль.

И тут срабатывает наша человеческая природа. Мозг говорит: “Я не собираюсь держать в голове 30 разных комбинаций из букв, цифр и символов. Это невозможно!”. И он прав. Поэтому мы начинаем хитрить. Берем имя любимой кошки, добавляем год своего рождения и восклицательный знак в конце. Или, что еще хуже, используем один и тот же пароль для всего на свете. Удобно? Безусловно. Безопасно? Примерно так же, как запирать входную дверь своего дома на щеколду, оставляя ключи под ковриком.

Почему мы так делаем? Потому что мы не видим угрозы. Взлом для нас – это что-то из фильмов про хакеров в черных капюшонах. Мы не замечаем, как каждый день в интернете оставляем цифровые следы, по которым злоумышленник, как опытный следопыт, может восстановить всю нашу жизнь.

Представьте ситуацию. Менеджер небольшой фирмы использует один и тот же пароль для рабочей почты и для форума рыболовов-любителей. Форум взламывают. База данных с логинами и паролями (пусть и в зашифрованном виде, но часто шифрование там так себе) утекает в сеть. Злоумышленник, используя специальные программы, подбирает к этим паролям ключи. И вуаля – у него на руках рабочий email менеджера и пароль к нему. А через почту открыт доступ ко всем остальным системам компании. Вот так, из-за безобидного увлечения рыбалкой, может рухнуть весь бизнес. И такие истории – не выдумка, а суровая реальность.

Три кита парольной гигиены

Давайте разберемся, как нам перестать быть легкой добычей. Первое и самое главное правило – пароли должны быть разными. Для каждого сервиса, для каждой программы – свой уникальный ключ. Это как в хорошей гостинице: у каждой двери свой замок, и ключ от номера 101 не подойдет к номеру 102. Если злоумышленник взломает один ваш аккаунт, остальные останутся в неприкосновенности.

Второе – пароль должен быть сложным. Забудьте про “password123”, “qwerty” или “admin”. Такие комбинации взламываются за доли секунды автоматическими скриптами. Сложный пароль – это длинная фраза или набор случайных символов. Идеально, если это будет не меньше 12-14 знаков, с перемешиванием заглавных и строчных букв, цифр и специальных символов. Не нужно использовать личную информацию, которую можно найти в соцсетях: имена детей, даты рождения, клички питомцев.

И третье – периодически пароли нужно менять. Особенно если есть подозрение, что они могли скомпрометированы. Или если в компании уволился сотрудник, который имел к ним доступ.

Я прекрасно понимаю, о чем вы сейчас думаете. “Легко сказать – придумай 30 сложных и разных паролей. А как мне их все запомнить?” И это самый честный и правильный вопрос. Запоминать их действительно не нужно. Для этого существуют специальные программы.

Менеджеры паролей: ваша цифровая связка ключей

Представьте себе огромную связку ключей от всех дверей в вашем доме, офисе, гараже, почтовом ящике. Носить её с собой неудобно, да и постоянно перебирать ключи в поисках нужного – то еще удовольствие. А теперь представьте, что у вас есть один-единственный ключ, который открывает шкатулку, а в этой шкатулке лежат все остальные ключи, аккуратно подписанные. Удобно? Очень. Вот точно так же работает менеджер паролей.

Это специальная программа, которая хранит все ваши пароли в зашифрованном виде. Вам нужно запомнить только один-единственный, но очень сложный мастер-пароль – ключ от этой самой шкатулки. А менеджер уже сам будет генерировать для вас сверхсложные и уникальные пароли для каждого сайта и приложения, запоминать их и автоматически подставлять при входе.

Как это работает в жизни? Вы заходите на новый сайт, регистрируетесь. Менеджер паролей предлагает вам сгенерировать случайную комбинацию вроде “G7&kL9# pQ2$zR1@fM4” – вы даже не пытаетесь её запомнить, просто соглашаетесь. При следующем входе на сайт менеджер сам заполнит поля логина и пароля. Вам нужно лишь ввести свой мастер-пароль, чтобы разблокировать хранилище.

Подумайте о своей электронной почте. Через нее можно восстановить доступ к половине всех ваших сервисов. Если злоумышленник получит к ней доступ, он сможет перехватывать письма с подтверждениями и менять пароли везде, где захочет. Поэтому пароль от почты должен быть самым сильным и уникальным. И если вы начнете использовать менеджер паролей, то для вас это не будет проблемой – программа сделает его таким, что ни один взломщик не позавидует.