Как часто при удаленной работе с помощью личного устройства нужно обновлять антивирус
Перейти к содержимому

Как часто при удаленной работе с помощью личного устройства нужно обновлять антивирус

  • автор:

Главные правила безопасной «удаленки» или Как наладить бизнесу работу вне офиса

Главные правила безопасной

С прошлого года бизнес активно переводит сотрудников на удаленный формат работы. При этом в будущем, в том или ином виде, удаленка неминуемо останется с нами. Согласно исследованию Cisco, до пандемии только в 19% компаний больше половины сотрудников работали в удаленном формате, сейчас – 62%, а когда человечество справится с вирусом, удаленка останется в 37% компаний по всему миру.

Но вместе с тем, возросло количество и качество кибератак, направленных на пробелы в обеспечении безопасности удаленного доступа. Бизнесу важно понимать, что удаленная работа требует налаженной системы защиты. Есть два ключевых правила, о которых нужно помнить для успешного перевода сотрудников на работу вне офиса: во-первых, нужно обеспечить безопасную рабочую среду на стороне пользователя; во-вторых, необходимо обеспечить доступ 24/7 к корпоративным ресурсам и данным, надежно защитив их от кибератак. Часто из соображений экономии украинские компании используют единственное или реже несколько типовых технических решений и подходов для обеспечения безопасности, таких как межсетевой экран и антивирус. Но достаточно ли этого, чтобы избежать взломов и утечек данных? Как нужно защищать свою ІТ-инфраструктуру и почему стоит использовать комплекс решений? В этом мы разбирались в спонсорском проекте с компаниями Cisco и ИТ-Интегратор.

Защита на стороне пользователя

  • безопасное подключение к сети;
  • проверку безопасности подключаемого устройства;
  • верификацию того, кто пытается подключиться к корпоративной сети.

Часто сотрудники на удаленке подключаются с личного устройства, а это чревато повышенным рисками. К примеру, пользователь может «стучаться» в корпоративную сеть с уже «зараженного» домашнего компьютера. Впоследствии вирус может поразить все устройства, подключенные к корпоративной сети и нанести непоправимый вред бизнесу из-за утечки или потери данных.

Для защиты от таких рисков недостаточно только «классического» антивируса, ведь он не может обеспечить комплексную защиту. По словам Дмитрия Жуковского, директора департамента информационных технологий компании «ИТ-Интегратор», для обеспечения безопасного удаленного доступа сотрудников к корпоративным ресурсам важно использовать современные решения по защите от вредоносного кода в комплексе с многофакторной аутентификацией и автоматизированной проверкой безопасности подключаемого устройства.

Также очень важно обеспечить возможность автоматизации настройки всех этих компонентов на удаленном рабочем месте.

Как это работает, Дмитрий поясняет на примере решений Cisco для защиты от киберугроз, наилучшим образом зарекомендовавших себя во всем мире.

В первую очередь, конечно, важно наличие на ПК современного решения защиты от вредоносного кода с расширенными, по сравнению с «классическим» антивирусом возможностями, например Cisco AMP. Эта система защиты не только сканирует устройство, выявляет потенциально вредоносные программы и удаляет их, но и позволяет заблокировать вирусы «нулевого дня» без всяких сигнатур, на которые не среагируют «классические» антивирусы. Cisco AMP может сократить время реагирования на инциденты на 85%, для этого он использует одновременно поведенческую аналитику и машинное обучение.

Затем, защищенное с помощью Cisco AMP устройство нужно безопасно подключить к корпоративной сети, чтобы получить доступ к рабочим файлам. Это можно сделать с помощью решения Cisco AnyConnect, которое включает в себя как функционал VPN (англ. Virtual Private Network –виртуальная частная сеть) для создания безопасного подключения, так и функционал проверки ПК на соответствие корпоративным политикам безопасности (наличие актуальных установленных обновлений и исправлений безопасности приложений и ОС). Если рисков не выявлено, приложение подключает пользователя к сети. Кроме того, благодаря решению Cisco AnyConnect есть возможность провести более глубокий анализ подключенных устройств и повысить уровень защиты корпоративной сети, что упрощает управление подключением за счет использования одного агента.

И, наконец, важно удостовериться в том, что пользователь – это именно тот, за кого себя выдает, а не злоумышленник, похитивший учетные данные. С этим может помочь, например, решение по многофакторной аутентификации Cisco Duo. Интегрируясь с Cisco AnyConnect, оно дополнительно запрашивает код верификации, который пользователь получает через смс или в приложении на телефоне. Это одна из самых простых и безопасных систем многофакторной аутентификации в мире. Применение решения по многофакторной аутентификации надежно обезопасит компанию от таких распространенных угроз, как фишинг и кража учетных данных.

Важным слоем безопасности является также защита от угроз, во множестве присутствующих в интернете. В обычных условиях эту задачу выполняют корпоративные межсетевые экраны. А что же делать с удаленным режимом работы, когда понятие «корпоративный периметр» окончательно размывается? Для этого можно использовать облачные сервисы фильтрации угроз, например Cisco Umbrella. И для того, чтобы получить современную защиту корпоративного класса на любом ПК, в данном случае не нужно покупать и устанавливать сложное оборудование, достаточно приобрести подписку на облачный сервис. С этого момента Cisco Umbrellа обеспечит надежную защиту от большинства известных угроз в интернете.

«Мы пытаемся защитить рабочие сети паролями, но в наше время паролям уже никто не доверяет. Их можно взломать, украсть, узнать даже случайно. Поэтому важно убедиться, что конечным пользователем выступает именно тот, кто нужно. В этом поможет многофакторная аутентификация, которая позволяет выполнить проверку идентификационных данных пользователей», – объясняет Дмитрий Жуковский важность использования подобных решений.

Следует упомянуть об еще одном важном аспекте «удаленки»: контроль продуктивности сотрудников со стороны работодателя и необходимость демонстрации собственной эффективности для самого сотрудника. В этом могут помочь решения класса UAM (User Activity Monitoring, англ.). Именно решение класса UAM предоставляет работодателю эффективный инструмент ведения подробной статистики производительности работников, выявления аномалий поведения, предупреждения утечки чувствительной информации. Для работников же UAM является действенным инструментом количественного измерения и демонстрации руководству собственной эффективности. При этом следует отметить, что конфиденциальность работника всегда остается под его личным контролем: для запуска агентской части UAM нужно ввести учетные данные, только после этого активируются функции мониторинга производительности. Разворачивать UAM в условиях карантина лучше всего из облака, получив его как сервис. В этом случае софт достаточно скачать с облачной консоли управления и установить агенты на ПК. Кроме простоты развертывания, главный плюс такого формата – непрерывность сервиса: независимо от того, с какой сети и с какого ПК (собственного или корпоративного) подключается работник.

Но в удаленной работе важно сохранить и привычную удобную среду, иметь возможность проводить совещания и контролировать обмен конфиденциальной информацией. Для этого рекомендуется использовать доверенные сервисы организации совместной работы, например Cisco Webex Meetings. Этот сервис предоставляет общее виртуальное пространство совместной работы, где можно безопасно обмениваться сообщениями, просматривать рабочие файлы, устраивать видеовстречи и многое другое.

И в дополнение, поскольку удаленные рабочие места становятся частью корпоративной среды, они так же, как и корпоративные ПК, нуждаются в централизованном управлении, диагностике и мониторинге. В этом нам может помочь система класса MDM (Mobile Device Management, англ.), например Cisco Meraki.

Сочетание перечисленных решений позволит обеспечить базовый уровень безопасности удаленного формата работы для компаний, в которых работает до 500 сотрудников.

Но для более крупных компаний понадобится и более широкий спектр средств защиты, который, в том числе, сможет гарантировать круглосуточный доступ к ресурсам и обеспечить сохранность данных в случае кибератаки. Для этого уже потребуется развертывание дополнительных компонент защиты в ІТ-инфраструктуре компании.

Защита на стороне компании

Корпоративные ресурсы компании традиционно гораздо лучше защищены, так как есть возможность лучше контролировать политики информационной безопасности и, что очень важно, реализовать централизованное резервное копирование критичных для бизнеса данных. Чтобы обеспечить доступ 24/7 к корпоративным системам и сохранить их в безопасности, бизнесу рекомендуется использовать решение класса VDI (Virtual Desktop Infrastructure).

В таком случае все файлы, папки, документы и даже программы находятся на серверах компании. Фактически пользователь получает на стороне ПК только картинку: все приложения обрабатываются и запускаются не на устройстве сотрудника, а на серверном оборудовании компании. Пользователи получают виртуальный рабочий стол с персональным окружением и корпоративными политиками. Подробнее о том, как работает VDI, читайте в нашем предыдущем партнерском материале.

В компании ИТ-Интегратор, которая занимается внедрением VDI на украинском рынке, рассказывают, что в прошлом году это решение для удаленной работы активно покупали банки и ритейл-компании. Кроме того, активный интерес к виртуальной инфраструктуре начали проявлять и государственные учреждения.

Дмитрий Жуковский, директор департамента информационных технологий компании ИТ-Интегратор

Решение VDI поможет компаниям, которые работают с людьми и переживают о репутационных и финансовых потерях. В первую очередь решение помогает существенно повысить защищенность от кибератак, а также дает возможность оперативно восстановить работоспособность удаленных рабочих мест.

Ранее на восстановление после кибератаки ушла бы масса времени, ведь системному администратору нужно восстановить работоспособность многих клиентских устройств, чаще всего переустановкой программного обеспечения. В случае масштабного инцидента это может затянуться на недели. В это время сотрудники не работают, а бизнес простаивает. Решение класса VDI эту проблему решает так: в случае заражения, все, что нужно сделать – выполнить перезагрузку, после чего пользователь снова получает доступ к рабочему столу и файлам. Это значит, что теперь для восстановления работоспособности системы достаточно нескольких минут.

Кроме того, VDI предоставляет возможность легко управлять большой инфраструктурой, благодаря возможности группировки пользователей по общим признакам: финансовый департамент, обычные пользователи, инженеры – это в дальнейшем позволяет быстрее обновлять программное обеспечение и сократить временные затраты на администрирование ІT-инфраструктуры компании.

В заключение

Для полноценной защиты IT-инфраструктуры бизнесу стоит усиливать безопасность как на стороне пользователя, так и на стороне компаний. Уже сейчас киберугрозы считаются одними из ключевых вызовов, с которыми сталкивается современное общество, потому защита от кибератак должна быть приоритетом для любой структуры, которая дорожит своей репутацией и местом на рынке.

Но даже если комплексное внедрение защиты на всех уровнях не по карману, компании стоит задуматься хотя бы о некоторых наиболее критичных аспектах: организация безопасного удаленного доступа и защита от вредоносного кода. К примеру, предприятия малого бизнеса могут сфокусироваться на обеспечении безопасности ПК удаленных пользователей, не пренебрегая, в том числе защитой и собственных устройств своих сотрудников.

Если же компания хочет иметь возможность оперативно восстанавливать работоспособность после атаки или некорректного обновления, и обеспечить непрерывность бизнес-процессов, то VDI-решения будут лучшим выходом.

Чего точно не стоит делать – так это неоправданно экономить на кибербезопасности. Опыт показывает – вложения в безопасность всегда в итоге обходятся дешевле, чем их отсутствие.

Информационная безопасность при организации удаленной работы

Переход на удаленную работу становится все более отчетливым трендом на современном рынке труда. Особенно актуальным этот тренд стал в период коронавирусной пандемии, когда многие компании были вынуждены закрывать свои офисы. Для многих профессий и направлений деятельности удаленка дает немало преимуществ. Она позволяет поддерживать стабильную деятельность компании даже в наиболее сложных условиях, сокращать расходы на поддержание деятельности, упрощает условия работы для сотрудников. Однако при своих плюсах удаленка имеет и существенные недостатки. Одним из главных минусов является повышение уровня риска информационной безопасности. Если при работе в офисе обмен данными и взаимодействие часто проходит в сети, защищенной передовыми корпоративными средствами защиты, то при работе из дома информация передается через частные сети с гораздо более слабой защищенностью. В связи с этим особую актуальность приобретает обеспечение безопасности при удаленной работе. Для этого необходимо придерживаться ряда основных правил.

Антивирус для устройств, с которых работаете

В современных компаниях широко применяется целый ряд защитных мер, позволяющих обеспечить безопасность рабочих компьютеров и предотвратить их заражение вредоносным программным обеспечением. Это корпоративные антивирусные комплексы, организационные меры по запрету самостоятельной установке приложений, ограничение доступа к интернету. При работе из дома такую комплексную защиту обеспечить практически невозможно. Однако это не значит, что вопросами безопасности можно пренебречь. Заражение вирусом или другими видами вредоносного ПО может привести к уничтожению или похищению данных. Результатом может стать серьезный ущерб для компании и проблемы для сотрудника. Поэтому к числу основных правил по безопасности при удаленной работе относится использование эффективного антивируса, обладающего достаточной надежностью и функциональностью. Антивирус должен быть установлен на всех устройствах, через которые пользователь взаимодействует с компанией и получает доступ к корпоративной информации.

Обновите программы и ОС

Один из наиболее распространенных каналов для доступа злоумышленников к конфиденциальной информации – уязвимости в операционных системах и приложениях. Их появление является неизбежным фактором, с которым приходится считаться. Однако разработчики постоянно обнаруживают уязвимости и устраняют их при выходе новой версии софта. Таким образом, регулярное обновление позволяет сделать программу более безопасной и минимизировать риск взлома вашего устройства хакерами. Поэтому рекомендуется не пренебрегать предлагаемыми обновлениями, а лучше выбрать автоматический режим их загрузки и установки.

Настройте шифрование Wi-Fi

Одним из базовых правил безопасности удаленной работы является настройка шифрования Wi-Fi. Даже самый лучший антивирус будет бесполезен, если хакер сможет подключиться к вашей беспроводной сети. Это доступ позволит ему перехватывать весь трафик, а это могут быть, например, конфиденциальные данные компании, логин и пароль корпоративной почты, пароль для удаленного доступа к рабочему ПК. Поэтому ваше беспроводное подключение должно быть правильно настроено. Прежде всего, нужно проверить, что зашифровано ли соединение. Шифрование не дает возможности посторонним получить данные, которые передаются по вашей локальной сети. Если при попытке подключения к Wi-Fi запрашивается пароль, значит соединение зашифровано, и простой пользователь со стороны не сможет к нему подключиться. Однако профессиональные хакеры обладают инструментами для взлома паролей. Чтобы свести такие риски к минимуму, важно использовать надежный стандарт шифрования. Сегодня существует несколько таких стандартов, причем, часть из них уже сильно устарела. Рекомендуется использовать тип шифрования WPA2, установить который можно в настройках роутера. Также важно использовать надежный пароль от Wi-Fi. Он должен представлять достаточно сложную и уникальную комбинацию букв и цифр, не связанную по смыслу с вами, вашей семьей или квартирой. Дополнительно рекомендуется поменять логин и пароль для доступа в настройки роутера. Стандартные данные для входа – известные практически всем комбинации, которые активно используются злоумышленниками.

VPN в общественных местах

Находясь на удаленке, периодически хочется поработать не в наскучившей домашней обстановке, а в общественном месте, например, в кафе, коворкинге или просто на лавочке на улице. Организовать такую работу сегодня не представляет проблемы, ведь в современном городе в большинстве общественных мест есть бесплатный общедоступный Wi-Fi. Однако общедоступность таких сетей создает проблемы с информационной безопасностью. Поскольку подключение не защищено паролем, данные по нему передаются без шифрования. Если соединение запаролировано, то получить доступ к паролю тоже не представляет сложности – для этого достаточно просто заказать в кафе чашку кофе или оплатить час коворкинга. Поэтому общественные сети Wi-Fi – это один из излюбленных хакерами источников получения секретных данных. Чтобы не допустить перехвата корпоративных данных, при работе в общественных местах рекомендуется использовать подключение через VPN. В этом случае шифрование информации выполняется вне зависимости от настроек сети. Это делает данные недоступными для посторонних.

Службы мониторинга для сетей

Для обеспечения безопасности удаленной работы необходимо использовать правильно настроенные службы мониторинга для сетей, приложений, пользователей. При переходе на удаленную работу нагрузки на такие службы домашнего компьютера значительно возрастают, поскольку им приходится контролировать намного больше процессов и устройств. В первую очередь, необходимо особое внимание уделять документам, которые содержат конфиденциальную корпоративную информацию. Чтобы предотвратить доступ злоумышленников к таким документам, требуется инструмент, который обеспечит эффективный мониторинг и аудит неструктурированных персональных данных, как в состоянии покоя, так и при копировании или использовании. Это обеспечит надежную защиту информации.

Системы межсетевого экрана

Главным средством защиты от сетевых атак являются системы межсетевого экрана (файерволы, брандмауэры). Они могут быть как аппаратными, так и программными или аппаратно-программными. Функция таких систем заключается в постоянном мониторинге исходящего и входящего трафика при обмене данным между локальной (включая домашнюю сеть Wi-Fi) и корпоративной сетью. Трафик оценивается межсетевым экраном на основе критериев, заложенных в их рабочие алгоритмы и политики безопасности. По результатам такой оценки система принимает решение о разрешении или блокировке трафика. Эффективный и правильно настроенный межсетевой экран защищает сеть от несанкционированного доступа. Применение таких систем является важной мерой, особенно при переходе сотрудников на режим удаленной работы. Это связано с тем, что домашние сети, как правило, защищены намного слабее по сравнению с корпоративными. Поэтому на компьютере работника, переведенного на удаленку, должен быть установлен и правильно настроен эффективный файервол.

Безопасность удаленной работы: проблемы и рекомендации

Материал посвящен теме влияния удаленной работы на безопасность компании и возможностям снижения рисков.

* С какими угрозами столкнулись компании в период «удаленки»

Массовый и спешный переход компаний на удаленные режимы работы существенно обострил проблемы информационной безопасности. Большинство компаний впервые столкнулись с подобной задачей, поэтому переход на «удаленку» вызвал у них немало сложностей.

По словам Дмитрия Пудова, заместителя генерального директора по технологиям и развитию группы компаний Angara, компаниям необходимо было быстро трансформировать ИТ-ландшафт, существующие бизнес-процессы, ИТ- и ИБ-политики. Но в условиях дефицита времени не все уделяли должное внимание вопросам безопасности, поэтому риски выросли.

Есть данные, подтвержденные статистикой и отчетами различных компаний, что и активность злоумышленников подросла в период «удаленки». Под особым прицелом злоумышленников находятся чувствительная информация, перекочевавшая на личные устройства пользователей, и онлайн-сервисы, — отмечает он.

Удаленные сотрудники в зоне наибольшего риска

Эксперты сходятся во мнении, что удаленные сотрудники попали в зону наибольшего риска.

Домашние сети защищены гораздо слабее, чем сети организаций, что делает подключённые к ним компьютеры источником серьёзных потенциальных проблем. К числу рисков информационной безопасности, связанных с удалённой работой, относятся модификация трафика, перехват паролей и конфиденциальных данных, а также взлом маршрутизаторов и перенаправление пользователей на вредоносные сайты, — говорит Виталий Орлов, исполнительный директор «Смарт-Софт».

При этом особую опасность приобретают атаки с использованием методов социальной инженерии.

Ранее, если сотрудник допускал промах и попадался, например, на фишинг, то другие системы обеспечения ИБ могли его подстраховать. При попытке отправить конфиденциальную информацию могла сработать DLP, при попытке получить доступ к системе мог отработать антивирус или IPS, — поясняет Алексей Горелкин, CEO Phishman. — Отдельный вопрос – получения доступа к корпоративной сети – даже если логин и пароль пользователя были утрачены, мог быть ограничен доступ с использованием удаленного подключения. Сейчас удаленные подключения разрешены, систем ИБ, которые страхуют пользователя вокруг нет, и ответственность за информационною безопасность лежит полностью на пользователе.

Причина перехода на удаленку – эпидемия коронавируса – породила множество фишинговых атак, так как тема «горячая» и пользователи охотно переходят по «кликбейтным» вредоносным ссылкам. Для привлечения внимания жертвы в качестве отправителя таких фишинговых писем может фигурировать Всемирная организация здравоохранения или другая уважаемая организация. Российский рынок мобильных приложений для бизнеса и госсектора: крупнейшие игроки, тенденции и перспективы. Обзор TAdviser

В результате безопасность организации стала еще больше зависеть от сознательности и осведомленности в вопросах ИБ ее сотрудников.

Мы наблюдали и продолжаем наблюдать рост атак, эксплуатирующих тему коронавируса: до 13% от всех атак в первом квартале были так или иначе связаны с ним. В их число вошли как атаки, которые эксплуатируют тему коронавируса в фишинговых письмах, так и атаки на больницы, которые проводят тестирование или лечение от коронавируса. Злоумышленники активно используют электронную почту для распространения фишинговых ссылок и вредоносных программ во вложениях. И эффективность их достаточно высока, так как пользователи, получая и вполне легальные новостные рассылки про коронавирус, не всегда в общем их объеме могут распознать и что-то вредоносное. И пока число зараженных только растет, спектр таких угроз также будет только расти, — отмечает Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.

Риски утечек данных

Один из главных рисков удаленной работы – инсайдерская активность. По оценкам экспертов, на «удаленке» она возрастает вдвое.

По словам Льва Матвеева, председателя совета директоров «СёрчИнформ», тому есть несколько причин.

С технической стороны дистанционная работа стала проблемой для компаний, которые не работали раньше в таком формате и переходили на него в спешке. Типичные ошибки – тут не защитили канал удаленного подключения, там не настроили двухфакторную аутентификацию, здесь раздали избыточные доступы к корпоративным ресурсам – «пусть пока так, потом лишнее заберем». В итоге трафик удаленных сессий могли перехватить злоумышленники, а сотрудники получить в распоряжение конфиденциальные данные, работать с которыми по должности им не положено. Плюс ко всему, не у всех хватало мощностей, чтобы поддержать стабильную работу корпоративных ресурсов при массе удаленных подключений. В итоге переходили на публичные сервисы, рабочие документы «для удобства» передавали в мессенджерах и соцсетях, хранили в личных облаках. Все это риски случайных и преднамеренных утечек, — объясняет Лев Матвеев.

Об опасности внутренней угрозы со стороны инсайдеров говорит и Сергей Войнов, генеральный директор EveryTag.

Большая часть компаний не была готова к переходу на удаленную работу – в этом режиме оказалось практически невозможно контролировать действия сотрудников. Многие из них получили потенциальную возможность безнаказанно сливать конфиденциальные данные, в том числе, с использованием личной техники (скриншоты, фотографирование экрана или распечатанных документов на смартфон). Проблема в том, что большинство существующих ИТ-решений на рынке пока не способно бороться с этой угрозой, — отмечает он.

Стоит отметить, что возможности украсть данные либо вывести их из компании были доступны и раньше: все рабочие компьютеры давно подключены к Сети, а сотрудники используют в работе свои собственные смартфоны, которые никто и никак не контролирует. Однако, как отмечает Рамиль Хантимиров, CEO и со-основатель StormWall, при переходе на удаленку усилился риск утечки данных при атаке извне — когда сотрудник работает со своего компьютера и подцепил вирус на каком-нибудь ненадёжном сайте. Это значительно упрощает злоумышленникам как кражу чувствительных данных, так и проникновение во внутреннюю сеть компании.

Работа сотрудников из дома связана с отсутствием достаточного контроля, чем провоцирует большее количество рисков в плане информационной безопасности. По словам Алексея Сухова, коммерческого директора «Гарда Технологии», нередко у персонала возникают идеи обмена корпоративной критической информацией через облачные системы или использование домашнего незащищенного софта для служебных целей. Из-за того, что в большинстве случаев переход на удаленку был экстренный — большинство сервисов просто физически не успели нормально настроить.

Денис Суховей, директор департамента развития технологий компании «Аладдин Р.Д.», подчеркивает, что компрометация секретов компании за счет утечки важной, критичной или конфиденциальной информации – это наиболее опасная угроза для организации при переводе сотрудников на удаленную работу.

Организации в РФ резко нарастили парк ноутбуков для работы сотрудников на «удаленке». Ноутбук является идеальным средством для комфортной работы в таком режиме, однако следует понимать, что вместе с ноутбуком границу контролируемой зоны организации пересекает большое количество бизнес-критичной информации, при этом такая информация наверняка будет активно обрабатываться в недоверенной среде домашних сетей или публичных точек доступа. Такие условия обработки информации являются «питательной средой» для возникновения инцидентов ее утечек. Безусловно, подавляющее большинство сценариев реализации угроз имеют схожий результат – данные похищены или целостность данных нарушена, — уточняет он.

Небезопасные личные ПК и гаджеты сотрудников

Стоит также отметить возросшую вероятность утечек данных и распространения вредоносного ПО, поскольку многие сотрудники подключаются к сети организации с использованием личных ПК. В период карантина защита личных устройств сотрудников стала актуальной как никогда ранее.

Алексей Павлов, руководитель отдела экспертного пресейла продуктов и сервисов Solar JSOC компании «Ростелеком-Солар», рассказывает, что центр мониторинга и реагирования на киберугрозы Solar JSOC ежедневно фиксирует связанные с этим инциденты: это и распространение вредоносного ПО в момент подключения зараженного компьютера сотрудника к инфраструктуре компании, и компрометация учетных данных удаленных сотрудников, и попытки хищения конфиденциальной информации внутренними нарушителями.

Николай Домуховский, заместитель генерального директора по научно-технической работе УЦСБ, поясняет, что вместо защищенных офисных рабочих мест люди пересели за свои домашние компьютеры, на которых не применяется весь спектр корпоративных средств защиты, работник стал не единственным пользователем своего рабочего места – домашним компьютером пользуется вся семья, а это пользователи, которые не проходили соответствующих инструктажей и которые не несут никакой ответственности за свои действия перед компанией.

Лев Матвеев, председатель совета директоров «СёрчИнформ», добавляет, что домашний ПК сотрудника может быть не защищен даже антивирусом и нет гарантии, что подхваченный шифровальщик не перекинется на корпоративную сеть.

К тому же дома сотрудник сам забывает о безопасности. На работе его сдерживают рамки, он помнит, что работодатель его контролирует. Дома – полная вольница, — поясняет он.

В домашней обстановке люди могут становиться менее бдительными, подтверждает Владимир Лавров, руководитель управления информационной безопасности группы компаний Softline. По его словам, персональный компьютер используется для выполнения рабочих и личных задач одновременно, вкладки с конфиденциальной информацией часто остаются незакрытыми, что повышает риск случайных утечек информации.

Еще один небезопасный вариант — персональный компьютер с устаревшей операционной системой, либо пиратской версией ОС, которая не обновляется и что страшнее уже находится в ботнете. Как поясняют в компании «Кросс Технолоджис», многие пользователи дома не следят за обновлением прошивки роутеров, используя дефолтовые пароли и в большинстве случаев не используют лицензионные антивирусные средства. Они же как правило больше всего подвержены фишинговым компаниям злоумышленников с использованием социальной инженерии.

Как следствие этого мы видим факты утечки информации и увеличенное число хакерских атак на уделенных пользователей с дальнейшим развитием атаки на внутреннюю инфраструктуру многих компаний, — говорят в «Кросс Технолоджис».

Нынешнее положение непривычно как для обычных сотрудников, так и для многих ИТ/ИБ -специалистов. По словам Дмитрия Елфимова, руководителя Дирекции информационной безопасности «Калуга Астрал», поскольку риск атак на сети компаний через удаленные рабочие места сотрудников и особенно через их личные устройства сильно повышается, то многим компаниям приходится вносить большие изменения в архитектуру сетей, наращивать мощности и вводить дополнительные меры защиты.

При массовом переводе сотрудников на дистанционную работу следует обратить внимание на защищенность сетевого периметра от нелегитимного веб-трафика, а также от утечек конфиденциальной информации, отмечает Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта» (входит в группу «Ланит»). Стоит также понимать, что не всегда одно лишь VPN-шифрование трафика является решением всех проблем информационной безопасности при терминальном доступе.

По словам Ильи Кондратьева, заместителя директора Департамента информационной безопасности АМТ-ГРУП, снизить вероятность утечек данных и распространения вредоносного ПО поможет грамотно выстроенная система защитных мер, включающая сегментацию, надежную аутентификацию и управление доступом, терминальные сервисы, контроль состояния АРМ, «песочницы» и DLP-системы.

Использование публичных сервисов

Еще один фактор риска – массовое использование публичных облачных сервисов. Далеко не все компании приобрели коммерческие подписки, а использование бесплатной персональной подписки, зачастую не гарантирует ни сохранности данных, ни их конфиденциальности.

Соответствующих инцидентов зафиксировано множество: и несанкционированные подключения к видеоконференциям, и утечки конфиденциальных документов с публичных ресурсов, — замечает Николай Домуховский, заместитель генерального директора по научно-технической работе УЦСБ.

При этом важно помнить, что наиболее уязвимым фактором в любой системе информационной безопасности остается человеческий. Многие компании не уделили должного внимания обучению сотрудников правилам кибербезопасности при удаленной работе. Следствием этого стало использование теневых ИТ-сервисов и незащищенность перед новыми уловками злоумышленников, появившихся в период пандемии.

В частности, в последнее время регистрируются тысячи доменов, имитирующих популярную платформу видеосвязи Zoom, многие из которых вредоносные или подозрительные, — отмечает Вячеслав Логушев, директор направления ИТ-сервиса и аутсорсинга компании X-Com.

Построение «удаленки» в режиме «аврала»

Безусловно текущая ситуация является крайне сложной для сотрудников подразделений ИТ и ИБ. Даже те компании, которые имели возможность удаленного доступа к корпоративным системам, столкнулись с необходимостью быстрого перевода большого количества сотрудников на удалённую работу. В наше время существует достаточное количество подходов и средств защиты информации, способных обеспечить полноценную работу сотрудников на «удаленке» без существенного роста угроз для корпоративных систем. При наличии достаточного времени и средств можно построить защищенную систему удаленного доступа сотрудников.

Однако, в этот раз необходимого времени как раз и не было. Большинству компаний пришлось перестраивать свои системы и процессы крайне быстро и при этом вопросам безопасности внимание, конечно, уделялось, но они были не в первом приоритете. Некоторые компании до введения режима самоизоляции вообще не предполагали когда-либо использовать удаленный доступ для полноценной работы своих сотрудников. И в этом случае им, конечно, пришлось создавать такие системы буквально «на коленке». Все это привело к тому, что созданные и работающие и в данный момент времени системы удаленного доступа отвечают далеко не всем требованиям по информационной безопасности. И даже на данный момент многие компании не внедрили все необходимые средства защиты и не выстроили свои процессы для обеспечения безопасного удаленного доступа сотрудников. Таким образом, наиболее опасной является не какая-то конкретная угроза, а общий уровень безопасности систем удаленного доступа, построенных в короткие сроки в режиме «аврала». Это в свою очередь может привести и к крупным утечкам корпоративных данных, и к атакам на корпоративные системы со стороны злоумышленников, — считает Максим Пятаков, заместитель технического директора компании АСТ.

При жестком прессинге сроков многократно вырастает вероятность ошибки – это самая главная угроза, считает Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности «Яндекс.Облако».

Основные риски были сконцентрированы в тех компаниях, где необходимость удаленной работы не воспринималась серьезно. Руководители компаний не учитывали потребности бизнеса в удаленной работе несмотря на то, что она помогает сохранить позиции на рынке. Теперь таким компаниям надо срочно организовать удаленную работу сотрудников и получать доступ ко всем корпоративным ресурсам, не имея времени на анализ рисков, а также проектирование и внедрение таких средств защиты, как многофакторный доступ, системы управления мобильными устройствами, системы защиты от таргетированных атак, в особенности устройств, находящихся вне периметра и так далее. — объясняет Иванов.

При этом многие компании не смогли перейти на удаленную работу и сохранить тот же уровень безопасности и контроля действий пользователей, который обеспечивали в стандартном режиме работы, подтверждает Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.

Порядка 11% опрошенных нами респондентов отметили, что удаленная работа в их компаниях организовывалась экстренно. ИТ-инфраструктура перестраивалась очень быстро и главной задачей было обеспечить бесперебойность работы критических бизнес-процессов, а требования ИБ нередко игнорировались. Например, на сетевом периметре российских компаний резко увеличилось число ресурсов, атака на которые могла бы позволить злоумышленникам получить контроль над сервером и проникнуть в локальную сеть. И связано это было скорее всего именно с поспешным переводом части сотрудников на удаленную работу. Одно из наших исследований показало, что почти пятая часть организаций, перешедших на удаленный режим работы, так или иначе опубликовали на своем периметре корпоративные web-порталы. При этом надо понимать, что ранее они были доступны только внутренним пользователям, а это означает, что с высокой долей вероятности вопрос их защищенности (в частности, устранения уязвимостей) имел относительно низкий приоритет, т.е. не все они отвечают требованиям безопасности и не во всех случаях закрыты все уязвимости. Снизить данные риски можно, если публиковать такие веб-порталы с использованием решений класса web application firewall, — отмечает Максим Филиппов.

По данным Positive Technologies, всевозможные временные схемы удаленного доступа, которые вводились в режиме «сейчас нужно срочно, но позже поправим», нередко сохраняются надолго. Один из опросов компании показал, что в 57% случаев способы организации удаленного доступа в организациях менять не планируют.

Вячеслав Медведев, ведущий аналитик отдела развития компании «Доктор Веб», в основной своей массе компании и организации традиционно предпочитают закрывать глаза на использование личных устройств в корпоративной сети, доступ с них к незащищенным корпоративным сервисам, установку софта по желанию сотрудника, а не по требованию компании. Часто личные устройства используются без установленных средств защиты или же только с бесплатным антивирусом от известной крупной американской компании.

В период эпидемии проблемы безопасного доступа с незащищенных устройств не возникли, а обострились. Инфраструктура удаленной работы готовилась в условиях цейтнота. Причем мощностей, средств, а зачастую и знаний для этого катастрофически не хватало ни у ИТ-специалистов, ни у пользователей. В итоге получилось, что использование домашних ПК для работы с внутренней ИТ-системой предприятия можно сравнить с хирургической операцией, которую проводили в срочном порядке отнюдь не хирурги. Как следствие – случаи заражения внутренних ИТ-систем, остановка работы в и так непростой обстановке.

До сих пор не все осознают, что отказ от качественного антивируса, использование бесплатной урезанной поделки в чем-то схоже с отказом от вакцинации. «Отказники» как бы имеют преимущество: они получают на свои компьютеры данные с защищенных устройств, их устройства работают без антивируса быстрее, нет ограничений на посещение нерекомендуемых страниц (тех же соцсетей в рабочее время) — не жизнь, а сказка. Но все рушится, когда все начинают обмениваться письмами с незащищенных устройств, в то время как на используемых почтовых серверах тоже нет антивируса с антиспамом, — поясняет эксперт компании «Доктор Веб».

Изменение периметра защиты

У многих компаний вся архитектура безопасности была выстроена на основе того, что защищаемые устройства находятся в периметре организации.

Переход на удаленку очень сильно размыл этот периметр, в результате стали актуальны соответствующие угрозы, говорит генеральный директор R-Vision Александр Бондаренко.

К традиционным угрозам информационной безопасности добавились новые, которые усложнили задачу обеспечения защиты ИТ-инфраструктуры.

Привычное понятие периметра окончательно потеряло актуальность, увеличилось разнообразие компьютерной техники, используемой сотрудниками для работы на «удалёнке», администратору стало значительно сложнее, а иногда и просто невозможно, контролировать рабочие устройства пользователей и доступ к ним. Поэтому возросла необходимость оперативного мониторинга и контроля всей системы защиты информационной структуры организации, а также применение проверенных и надежных средств защиты удаленного доступа (VPN, межсетевые экраны, средства защиты от НСД и пр.), — отмечает Андрей Шпаков, руководитель отдела технического консалтинга «С-Терра СиЭсПи».

Андрей Заикин, руководитель направления «Информационная безопасность» компании «Крок», называет массовый уход работников за периметр организации – наиболее опасной угрозой «удаленки».

Сотрудники, работающие из дома, находятся в зоне повышенных рисков кибербезопасности сразу по нескольким причинам: отсутствие контроля за устанавливаемым ПО, вредоносные веб-ресурсы, выход в сеть через незащищенные соединения, использование собственных устройств, — отмечает он.

Одновременно с переходом на «удаленку» вырос периметр атаки на компании и повысились риски утечки информации с неконтролируемых пользовательских устройств, говорит Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет».

Все это послужило импульсом к росту активности злоумышленников, которые уже прощупывают компании в поисках незащищенных систем. При этом атакующие чаще всего используют старые проверенные методы: фишинговые рассылки, перебор паролей, поиск известных уязвимостей и т.д., — поясняет он.

Угрозы после возвращения с «удаленки»

Степень автоматизации проникновения и заражения инфраструктуры такова, что любая компания, подключенная к интернету моментально становиться целью сотен скриптов и программ, пытающихся заслать шифровальщика, установить майнер, расширить бот-нет, отправить по почте вредоноса.

Мы в нашем Центре мониторинга кибербезопасности наблюдаем более 4 миллионов попыток проникновений ежегодно на подконтрольную инфраструктуру. Особенно хочется обратить внимание на тот факт, что скорее всего, большинство компаний не готовились к массовому переводу сотрудников на удаленный режим работы. И сейчас, когда масса сотрудников пойдет со своих домашних компьютеров или ноутбуков в инфраструктуру своих работодателей, количество точек потенциального проникновения и заражения возрастет на порядки, — полагает Иван Мелехин, директор по развитию SOC НИП «Информзащита».

Поэтому долгожданный выход с удаленки для служб ИБ, адаптировавшихся к новым условиям, далеко не повод для того, чтобы расслабиться: недостаточно просто восстановить те процессы, которые существовали ранее.

По словам Максима Филиппова, директора по развитию бизнеса Positive Technologies в России, выход сотрудников в офисы с удаленной работы требует учесть ряд новых рисков.

Необходима проверка всего, возвращаемого в офисную сеть, оборудования на наличие вредоносного ПО, которое, к слову, далеко не всегда обнаруживается стандартными антивирусными средствами. Или, скажем, по возвращении с удаленки все без исключения пароли сотрудников стоит обновить. Да и сам периметр компании теперь не тот и требует оперативной инвентаризации на предмет доступных из интернета сервисов. Ну, и конечно, надо учитывать, что в период тотальной удаленки злоумышленник при желании уже имел шанс проникнуть в инфраструктуру (на это необходимо не так уж много времени, а в условиях массового изменения стандартных моделей поведения сотрудников, ему было относительно легко замаскироваться), поэтому одна из первых задач, которые мы рекомендуем решить службам ИБ ―провести ретроспективный анализ и убедиться, что системы не были взломаны в период удаленки или ранее, — говорит эксперт Positive Technologies.

Какие ИБ-продукты и сервисы стали наиболее актуальны в период «удаленки»

В ходе опроса экспертов по информационной безопасности TAdviser выяснил, какие ИБ-решения стали наиболее актуальными для компаний, организующих удаленную работу. Чаще всего в ответах респондентов упоминались решения для организации безопасного VPN-соединения и многофакторной аутентификации, системы защиты от утечек (DLP) и контроля привилегированных пользователей (PIM/PAM).

Решения для безопасного VPN-подключения

Наиболее актуальны для всех компаний в режиме удаленной работы стали решения для защиты каналов связи, по которым происходит обмен информацией. В основе этих решений – программные и программно-аппаратные VPN-продукты. Если раньше в удаленном режиме работали в основном только сотрудники ИТ-подразделений, то в период карантинных мероприятий к ним присоединились и другие специалисты.

Причем, по заявлениям руководителей многих предприятий, работа в удаленном режиме оказалась удобна для их коллективов, и они планируют полностью или частично использовать этот формат в дальнейшем. При таком подходе предъявляются более серьезные требования к пользовательским характеристикам VPN-продуктов, а также к качеству управления ими. Необходимо, чтобы пользователь мог легко получить доступ в корпоративную сеть с любого устройства и при использовании любой операционной системы, а администратор всегда понимал состояние этого устройства, отмечает Андрей Шпаков, руководитель отдела технического консалтинга «С-Терра СиЭсПи».

По мнению Виталия Орлова, исполнительного директора «Смарт-Софт», оптимальный способ решения задачи по защите обмена данными между офисом и удалёнными сотрудниками – использование собственного VPN-сервера в сети компании.

Многие ИБ-специалисты это хорошо понимают. Мы зафиксировали ощутимый рост интереса к функционалу VPN, входящему в состав наших решений, — пояснил он.

Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта» (входит в группу «Ланит»), добавил, что VPN-туннелирование в сочетании с настроенной матрицей доступа позволило многим компаниям быстро перейти на удаленный режим работы, сохранив разграничение прав доступа к корпоративным информационным системам.

Средства контроля утечек информации и продуктивности сотрудников

В период массового перевода компаний на режимы удаленной работы увеличился спрос на системы для защиты от утечек информации (DLP, Data Leak Prevention) и специализированные решения для удаленного мониторинга активности сотрудников.

DLP-системы позволяют контролировать рабочие места вне офиса и предотвращать утечки конфиденциальной информации из внутреннего периметра сети, даже если рабочая сеть и ее сегменты распределены географически.

В компании «СёрчИнформ» заметили, что самым «горячим» продуктом в пандемию стал ProgramController – модуль DLP, который мониторит действия сотрудников за ПК и оценивает их продуктивность.

Причина простая: работодатели хотят знать, чем сотрудники заняты вне их поля зрения. Вопрос остро встал даже у тех клиентов, кто раньше не пользовался таким функционалом, кто пользовался точечно – захотели расширить лицензии на все ПК. Только на старте изоляции, в марте – начале апреля 2020 года количество запросов на модуль выросло на 56%. Мы предоставили его бесплатно на весь период удаленки, теперь видим запросы на продление тестового периода, уже идут согласования закупок. По наблюдениям коллег, такая ситуация на всем рынке решений для тайм-, таск-трекинга и контроля продуктивности, — рассказывает Лев Матвеев, председатель совета директоров «СёрчИнформ».

Николай Домуховский, заместитель генерального директора по научно-технической работе УЦСБ, замечает, что средства контроля действий персонала в данном случае используются скорее не для решения задач ИБ, а для контроля удаленных сотрудников, чтобы удостовериться действительно ли они работают, а не бесцельно «сёрфят» в интернете.

Системы контроля привилегированных пользователей

Еще одно решение «в тренде» — контроль действий привилегированных пользователей.

Переход на удаленный режим работы дал импульс системам контроля за привилегированными пользователями и системам управления и контроля доступа, т.к. необходимо смотреть, что администраторы делают с серверами, а сотрудники с привилегированным доступом – с критичными бизнес системами, — говорит Алексей Горелкин, CEO Phishman.

Николай Домуховский, заместитель генерального директора по научно-технической работе УЦСБ, дополняет:

Многие администраторы информационных систем тоже перешли на удаленную работу и стали выполнять свои функции с домашних компьютеров. А если текущие действия над критичным для бизнеса сервисом производит не системный администратор, а его сын? Бизнесу слишком дорого может обойтись такое удаленное ошибочное действие – поэтому дополнительный рубеж в виде системы контроля действий привилегированных пользователей стал крайне актуальным.

Продукты для защиты веб-приложений

Усилившаяся во время карантина миграция в онлайн и необходимость публикации корпоративных сервисов также способствовали росту востребованности продуктов для защиты веб-приложений (WAF).

Становятся куда более опасны те угрозы, которые могут нарушить работоспособность ресурсов компании, и привести к остановке рабочих процессов — будь то внутренний документооборот, корпоративные коммуникации или онлайн-продажу. Растет и зависимость компаний от тех информационных ресурсов, которые она использует в работе, поэтому особенно важно становится заботиться об их доступности и информационной безопасности. Таким образом, наиболее актуальными ИБ-сервисами, помимо организации безопасной удаленной работы, стали защита от DDoS-атак и защита веб-приложений от хакеров (WAF), — замечает Рамиль Хантимиров, CEO и со-основатель StormWall.

Средства аутентификации

Удаленный доступ повышает спрос на технологии многофакторной аутентификации. Такая аутентификация с использованием сертификатов, токенов (физических/программных) и с верно настроенными групповыми политиками Active Directory решает проблему несанкционированного доступа к информации, считает Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта» (входит в группу «Ланит»).

По мнению Андрея Иванова, руководителя направления по развитию облачных сервисов безопасности «Яндекс.Облако», стандартная пара логин-пароль уже давно считается небезопасной, в особенности при аутентификации на корпоративном ресурсе, доступным из Интернета. В то же время VPN не всегда удобен для обычных пользователей, поэтому ИТ-службы обеспечивают возможность сотрудникам обращаться к корпоративным сервисам без VPN, что требует более надежной аутентификации, позволяющей работать как с десктопных ОС, так и с мобильных устройств.

Возросший интерес к средствам аутентификации, в частности двухфакторной аутентификации JaCarta PKI, заметили в компании «Аладдин Р.Д.»

С помощью USB-токенов или смарт-карт JaCarta PKI (сертификат ФСТЭК России) реализуется двухфакторная аутентификация к защищаемым данным на ноутбуках и стационарных ПК, двухфакторная аутентификация с использованием цифровых сертификатов при удаленном подключении VPN, RDP, Web, а также защита электронной почты (шифрование и подпись) и хранение контейнеров программных СКЗИ, — поясняет Денис Суховей, директор департамента развития технологий компании «Аладдин Р.Д.»

О повышении спроса на средства аутентификации и электронной подписи говорит и Дмитрий Горелов, коммерческий директор компании «Актив».

Удаленные подключения размывают контур безопасности и резко повысился спрос на решения, которые позволяют гарантировать, что в информационной системе работает сотрудник компании, а не кто-то другой, — отмечает он.

Облачные защитные решения

При срочном переходе на дистанционный формат работы бизнес столкнулся с новыми нагрузками на ИТ-инфраструктуру. Даже технологически развитые компании были вынуждены перераспределять мощности, чтобы обеспечить работоспособность корпоративных ресурсов при удаленных подключениях. Когда перестало хватать «железа» под ИБ-продукты, они стали обращаться к вендорам за облачными защитными решениями.

Мы по запросу клиентов вывели нашу DLP в формат облачного сервиса. Когда перестало хватать рук – больше компаний обратились за аутсорсингом ИБ, чтобы с DLP работал наш аналитик. Такие решения заодно позволяют бизнесу сэкономить на единовременной закупке «тяжелого» софта и оплачивать подписку помесячно, — говорит Лев Матвеев, председатель совета директоров «СёрчИнформ».

Модель защиты нулевого доверия

Компаниям необходимо не только обеспечить шифрование канала удаленного подключения. Как никогда ранее становится актуальной модель защиты нулевого доверия (zero trust). Она предполагает выстраивание подходов к защите, основываясь на полном отсутствии доверия к любым пользователям, подключающимся к корпоративным ресурсам. Пользователи и устройства должны каждый раз подтверждать свою подлинность при подключении к ресурсам.

Эта модель здорово коррелирует с тем, что теперь сотрудники подключаются в сети компаний из любого места, в том числе с персональных устройств. Контроль за этими устройствами по умолчанию практически отсутствует, а значит доверять им невозможно. Хорошей практикой при построении системы защиты будет принять для себя постулат, что все пользовательские устройства априори могут быть взломаны. При построении системы защиты мы рекомендуем компаниям применять решения и технологии, которые обеспечивают реализацию принципов zero trust: многофакторная аутентификация, которая позволяет защититься от скомпрометированных паролей сотрудников; проверки устройств сотрудников на наличие установленных обновлений, актуальность антивирусных баз, защита данных на устройствах сотрудников (шифрование) и др., — отмечает Андрей Заикин, руководитель направления «Информационная безопасность» компании «Крок».

Другие

Как отмечает заместитель генерального директора по технологиям и развитию группы компаний Angara Дмитрий Пудов, в начале периода самоизоляции все решали наиболее насущные задачи, поэтому были сконцентрированы на решениях для безопасного удаленного доступа – VPN-шлюзы, PAM (для ИТ и подрядчиков), решения для многофакторной аутентификации и т. п.

Но достаточно быстро пришло понимание, что этого недостаточно для поддержания бизнес-процессов. В результате спрос сместился в сторону решений, обеспечивающих безопасную работу с чувствительной информацией, защиту удаленных рабочих мест, трансформацию системы мониторинга ИБ и т. п. Здесь уже нет универсального рецепта, многое зависит от инфраструктуры конкретной организации и ее бизнес-процессов, — говорит эксперт группы компаний Angara.

По мнению Андрея Иванова, руководителя направления по развитию облачных сервисов безопасности «Яндекс.Облако», актуальными решениями стали средства для управления мобильными устройствами и системы класса EDR, ведь обращаться к корпоративным ресурсам с устройств, к которым нет доверия — большой риск. MDM и EDR системы позволяют снизить эти риски и повысить уровень доверия к устройствам, с которых сотрудники обращаются к корпоративным ресурсам, отмечает он.

Денис Суховей, директор департамента развития технологий компании «Аладдин Р.Д.», говорит о востребованности продуктов, которые обеспечивают возможность безопасной работы сотрудника в недоверенной среде, каковой является дистанционная работа.

Пример такого продукта – Secret Disk – средство шифрования информации на ноутбуках и рабочих станциях организации. Аргументами использования Secret Disk являются – экономичность продукта, простота развертывания, настройки и сопровождения, не требующего существенных затрат и времени специалистов, а также надежность самого метода защиты, которая подтверждается стойкостью применяемых алгоритмов шифрования, — поясняет он.

По мнению Дмитрия Донского, директора по развитию «Эшелон Технологии», наиболее актуальны решения для обеспечения сетевой безопасности (VPN, МЭ, СОВ) и средства контроля: решения по анализу защищенности, а также мониторингу событий информационной безопасности.

Мы наблюдаем устойчивый спрос на наши продукты: ПАК «Рубикон» (МЭ, СОВ), комплекс средств анализа защищенности «Сканер-ВС» и система управления событиями информационной безопасности «КОМРАД», — отмечает он.

Дмитрий Агафонов, директор по развитию «Иновентика технолоджес», считает, что в связи с удаленной работой большого количества сотрудников и их доступом из вне к разного рода данным и сервисам предприятия наиболее востребованными стали решения по соблюдению политики и прав доступа. Также, актуальной, по его словам, становится защита от атак, направленных на сбой в работе конкретных приложений, т.е. на прикладном уровне.

Все таки потребность в решениях ИБ определяется целями и задачами, которые ставит перед собой сам бизнес. А ему для этого в первую очередь желательно сделать анализ и оценку новых технологий на предмет их применимости для предприятия и определить свою Security Policy, — считает эксперт.

Никита Семенов, руководитель отдела ИБ компании «Талмер», замечает возросший интерес к системам, объединяющим в себе технологии VDI, защиту от НСД, Remote Access VPN, систему двухфакторной аутентификации, Identity Manager и при необходимости шифрование ГОСТ. Такие системы, по его словам, позволяют раз и навсегда отказаться от рабочего места в пользу терминальной станции, организовать защищенный удаленный доступ любому количеству работников в любое время без дополнительных действий со стороны обслуживающего персонала, а также исключить утечки конфиденциальной информации путем запрета передачи вовне любой информации, кроме графической (средствами VDI). Кроме того, это повысит надежность механизмов аутентификации и позволить получить гибкую возможность горизонтального и вертикального масштабирования в любой момент времени.

Алексей Павлов, руководитель отдела экспертного пресейла продуктов и сервисов Solar JSOC компании «Ростелеком-Солар», отмечает, что инциденты с сервисами видеоконференцсвязи заставили многие компании обратить внимание на защищенные месенджеры и системы ВКС. При этом, по его словам, интерес возрос в первую очередь к отечественным решениям. Причин тому несколько: стоимость, доверие и требования законодательства по импортозамещению.

Алексей Сухов, коммерческий директор «Гарда Технологии», выделил несколько наиболее востребованных классов решений для удаленной работы:

  • Решения для предоставления доступа — VPN, терминальные среды и др.
  • Средства контроля протоколов доступа (Balabit SCB, Wallix и другие).
  • Средства мониторинга и защиты от утечек (DLP).
  • Системы защиты баз данных и веб-приложений (DAM).

По его мнению, когда сотрудники работают из дома, появляется важная задача разграничения доступа, сегментации сетей, мониторинга работы пользователей и серверов в сети в условиях большого процента удалённых подключений. Нужно ограничить пул IP-адресов, количество и типы используемых устройств.

Существующие правила доступа к бизнес-системам приходится менять из-за производственной необходимости, и службе ИБ приходится только согласовать «экстренные меры». Менее защищёнными в этом случае оказались компании, которые заранее не предусмотрели внедрение мониторинга пользователей и устройств в сети, особенно при доступе к критически важным бизнес-системам. Когда действовать по чётким апробированным регламентам невозможно, на помощь приходят интеллектуальные поведенческие системы. Они выявляют попытки мошеннических действий и своевременно уведомляют об этом службу безопасности, — рассказывает эксперт.

В компании «Кросс Технолоджис» (Cross Technologies) замечают рост спроса на следующие направления:

  • Автоматизация процессов ИБ, SOAR
  • Поведенческая аналитика при удаленной работе
  • Биометрия и распознавание, идентификация на удаленном рабочем месте
  • Поиск и сбор доказательств средствами Access Data

Специалисты этой компании считают, что при удаленном доступе наиболее острой задачей является использование технологий цифрового паспорта пользователя. Он позволяет с помощью цифровых меток проводить контроль, управление и аудит прав доступа к электронным документам офисных пакетов. Данная технология ориентирована на выполнение нормативных требований федерального закона от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне». Является хорошим дополнением к существующим решениям обеспечения информационной безопасности организации и контроля потоков чувствительной информации, что позволяет персонализировать работника компании, который производил последние правки с документом, в свою очередь это позволяет идентифицировать нарушителя при утечке информации.

Также по мнению экспертов «Кросс Технолоджис», сбор артефактов и доказательной базы в автоматизированном режиме, при сработке решающего правила средства защиты информации, позволяет повысить время реакции команды реагирования до 40 минут. Такие процессы начали выстраивать многие компании, которые несколько лет успешно выстраивают свои центры мониторинга кибербезопасности.

В компании отмечают, что при организации удаленного доступа сотрудника компании задача сбора следов компрометации стоит наиболее остро, так как требуется осуществлять удаленное управление, скрытые расследования, проведение пост-анализа инцидента в конечной точке, внутреннее управление и сквозное обнаружение информации. При выборе средств автоматизированного сбора данных скомпрометированной системы следует придерживаться решений, которые используют единую базу данных расследований и создают четкую картину событий. Таким образом, с помощью автоматизации и использования централизованных инструментов анализа данных скомпрометированной системы, можно исследовать неизвестную активность во временном хранилище, что позволит собрать доказательную базу в едином месте, оперативно оперировать данными при расследовании компьютерного инцидента и подготовки доказательной базы в рамках уголовного дела.

В «Кросс Технолоджис» считают, что при использовании технологий определения цифрового паспорта пользователя и компонентов автоматизированного сбора информации при расследовании инцидентов в случае утечки информации при организации удаленного доступа сотрудника, можно оперативно идентифицировать злоумышленника, а компоненты автоматизированного сбора информации при расследовании инцидентов позволят своевременно собрать доказательную базу. Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта» (входит в группу «Ланит»), дал несколько советов по обеспечению безопасности удаленного доступа.

По его словам, стоит усилить контроль инцидентов во время удаленной работы. При этом очень важно настроить мониторинг удаленных рабочих мест, а в идеале использовать SIEM-систему (Security Information and Event Management), с помощью которой собираются логи со всех информационных систем компании для контроля состояния безопасности в автоматическом режиме.

В то же время, VDI (Virtual Desktop Infrastructure) или виртуальные рабочие места позволяют настроить полностью контролируемый доступ к корпоративным ресурсам. По мнению Мурада Мустафаева, эта технология в сочетании с двухфакторной аутентификацией – одно из самых безопасных решений для работы в дистанционном формате, так как защита корпоративных ресурсов обеспечивается вдвойне: и централизованно, и на стороне пользователя.

При удаленной работе стоит напомнить сотрудникам, что мессенджеры можно использовать только при обсуждении неконфиденциальной информации. Обмениваться корпоративными данными стоит через почтовый клиент с антиспам-защитой, предварительно отправляемую информацию поместив в архив, защищенный паролем. Пароль сообщить получателю по телефону, либо передать его в мессенджере. Альтернативный безопасный способ передачи информации — защищенные корпоративные файлообменники, — уточнил эксперт компании «Онланта».

Иван Мелехин, директор по развитию SOC НИП «Информзащита», замечает повышение спроса на услуги, связанные с обеспечением безопасности удаленной работы и инфраструктуры – конечных компьютеров пользователей, каналов связи, периметра организаций.

Мы с нашими партнерами разработали несколько новых услуг, направленных именно на повышение безопасности удаленной работы. Возросла нагрузка на наш Центр мониторинга кибербезопасности IZ:SOC в связи с тем, что наши заказчики перешли на удаленную работу из дома, и приходится более внимательно следить за киберугрозами. Временное затишье наблюдается в направлениях консалтинга и аудита, которые предполагают тесное личное взаимодействие. По понятным причинам снизилась нагрузка на Сервисный центр, поддерживающий внутренние инфраструктуры заказчиков, — рассказывает Мелехин.

Андрей Шпаков, руководитель отдела технического консалтинга «С-Терра СиЭсПи», говорит о востребованности сервисной модели в области информационной безопасности.

Пандемия многих застала в разгаре процесса реализации проектов создания или модернизации инфраструктуры информационной безопасности, возникла необходимость в выполнении работ в кратчайшие сроки. Зачастую, собственных сил для этого недостаточно, поэтому многие предпочли воспользоваться опытом и инфраструктурой компаний, которые уже реализовывали подобные проекты в больших объемах, — говорит он.

Большинство экспертов сходятся во мнении, что после окончания периода самоизоляции немало российских компаний откажется от возвращения в офис, либо оставят в режиме дистанционной работы часть коллектива.

Владимир Лавров, руководитель управления информационной безопасности группы компаний Softline, считает, что у таких компаний возникнет потребность в фундаментальном изменении подходов к обеспечению информационной безопасности. После того как бизнес примет первоочередные меры для защиты от внешних проникновений и утечек данных, вырастет спрос на проекты в области обучения (повышение уровня грамотности персонала в вопросах цифровой гигиены), аудит ИБ и проведение тестов на проникновение и анализа защищенности инфраструктуры.

Как удаленная работа сказывается на безопасности

2021: 91% ИТ-сотрудников вынуждены идти на компромиссы в вопросах кибербезопасности

9 сентября 2021 года [HP] Inc. опубликовала отчет HP Wolf Security под названием `Rebellions & Rejections` («Бунтарство и неприятие») – глобальное исследование, указывающее на наличие внутренних трений и напряженности между ИТ-специалистами и сотрудниками, работающими в удаленном режиме. Чтобы защитить рабочие места в будущем, руководителям служб безопасности следует обратить внимание на эту проблему. Подробнее здесь.

2020

Пятикратный рост запросов на профессиональные решения для безопасной работы удаленных сотрудников

В июле 2020 года компания «Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), зафиксировала пятикратный рост запросов на профессиональные ИБ-решения, касающиеся безопасной работы удаленных сотрудников. Из них 40% – крупные территориально-распределенные предприятия; остальные – представители среднего бизнеса из различных секторов экономики, а также ИТ-интеграторы, ищущие способы решения новых задач безопасности для своих клиентов.

Среди проблем, вызывающих наибольшее беспокойство бизнеса: низкий уровень защищенности каналов связи, возможные утечки данных через приложения для видеоконференций, а также неспособность сотрудников самостоятельно установить и правильно настроить необходимое ПО (например, VPN).

Одновременно аналитики «Аванпост» отметили рост спроса на простые, легкие в установке неподготовленными работниками комплексные ИТ-решения, включающие пакеты необходимого ПО (от офисных приложений до инструментов удаленного мониторинга специалистами по безопасности правильности развертывания комплекта ПО). При этом анализ обращений показал, что особое внимание российские компании теперь уделяют контролю доступа к информации, защите от внутренних угроз и от недобросовестных действий персонала. Так, если раньше этот тип уязвимости рассматривали в качестве критического порядка 20% предприятий, то теперь этот показатель приближается к 35%.

Первым важным шагом на пути решения данной проблемы будет быстрое развертывание в корпоративной сети сквозных технологий управления учетными записями и правами доступа пользователей к информационным ресурсам организации, который, наряду с правильно эшелонированной защитой от «взлома», даст компаниям достаточный временной лаг для создания полноценной и эффективной системы информационной безопасности.

Незащищённые удалённые рабочие места и хоум-офисы открывают множество возможностей для злоумышленников

Весной 2020 года после ускоренного перевода сотрудников на удаленную работу с использованием всех доступных средств, бизнес стал задумываться об информационной безопасности. Ведь незащищённые удалённые рабочие места и хоум-офисы открывают множество возможностей для злоумышленников, начиная от риска потери конфиденциальных данных и заканчивая выводом из строя ИТ-инфраструктуры компании и нарушением бизнес-процессов.

В конце марта 2020 года эксперты центра мониторинга и реагирования на киберугрозы Solar JSOC сообщали, что из-за спешного массового перехода компаний на удаленную работу стремительно возрастало число корпоративных серверов, доступных для злоумышленников из интернета. Выяснилось, что одной из главных причин стало применение компаниями незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По данным Solar JSOC, тогда всего за одну неделю количество устройств, доступных из интернета по протоколу RDP, выросло на 15% в России (общее число составило более 76 тыс. единиц) и на 20% в мире (более 3 млн единиц).

Полученная статистика пугает, ведь не так давно отгремели несколько крупных уязвимостей, касающихся службы удаленных рабочих столов – BlueKeep и DejaBlue. Обе они позволяют получить доступ к удаленному серверу без проверки подлинности – для этого злоумышленнику достаточно отправить через RDP специальный запрос. Таким образом, при отсутствии последних обновлений безопасности Windows любая система, доступная из сети интернет, является уязвимой, – комментировал Игорь Залевский, руководитель центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар».

Результаты аналогичного мониторинга в конце марта 2020 года представили и эксперты Positive Technologies. Они зафиксировали, что по динамике роста числа открытых по RDP узлов в России лидировали Уральский и Сибирский федеральные округа.

Алексей Новиков, директор экспертного центра безопасности Positive Technologies, напомнил, что независимо от выбранного типа удаленного подключения разумно обеспечить удаленный доступ через специальный шлюз. Для RDP-подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать не рекомендуется, отметил эксперт.

По мнению Валентина Губарева, директора департамента вычислительных систем компании «Крок», на первом этапе оптимальным вариантом является внедрение VPN (Virtual Private Networks) для обеспечения безопасного доступа к ресурсам, переход на виртуальные рабочие столы VDI (Virtual Desktop Infrastructure) и контроль подключаемых устройств (класс решений EMM, Enterprise Mobility Management). Финальный же этап — разработка для пользователей всех необходимых инструкций и сопровождение их перехода.

Прежде всего необходимо понять, кто из сотрудников и с какими системами сможет «безболезненно» работать из дома. Это должен быть своего рода чек-ап готовности к дистанционному формату, который компании проводят самостоятельно или с привлечением внешних консультантов. По опыту «Крок» можем сказать, что на «удаленку» реально перевести не менее 90% персонала, в том числе финансистов, логистов и т.д. Предварительно их нужно обеспечить ноутбуками, мониторами, средствами защиты информации (например, VPN), инструментами для повышения мобильности (например, VDI — виртуализация рабочих мест), — отмечает Губарев.

Представитель «Инфосистем Джет» Дмитрий Галкин считает, что сейчас есть все условия, чтобы внедрять VDI.

Наша компания и многие вендоры готовы предоставлять максимально гибкие условия. Например, компания Citrix предлагает дополнительные скидки на годовую подписку на свое ПО для виртуализации рабочих мест. Подписочная модель лицензирования обходится дороже в среднесрочной перспективе, но с точки зрения «входного билета», то есть разовых затрат, интересна бизнесу, — говорит он.

При этом, наиболее продвинутыми с точки зрения функционала и безопасности удаленной работы, по его словам, являются связки решений VDI и EMM (Enterprise Mobile Management). VDI организует управление столами и пользовательскими сессиями, а EMM позволяет организовать корпоративные песочницы на пользовательских устройствах. Из них сотрудники запускают как отдельные опубликованные приложения, так и виртуальные рабочие столы целиком.

Используя инструменты виртуализации, можно защищать трафик внутри ЦОД. Например, работая на уровне гипервизора VMware vSphere, NSX позволяет организовать политику нулевого доверия на сетевом уровне даже между виртуальными машинами, находящимися на одном хосте виртуализации. Можно тонко настроить только те сетевые взаимодействия между виртуальными машинами, которые необходимы для функционирования ИТ-инфраструктуры и приложений. А затем дополнительно инспектировать весь трафик внутри сети практически на линейной скорости. Ну и конечно же, наличие второго фактора в аутентификации пользователей – необходимый момент для полноценной защиты. Реализован он может быть самыми разными способами, в зависимости от предпочтений специалистов по безопасности компании, — поясняет эксперт «Инфосистем Джет».

Андрей Заикин, руководитель направления «Информационная безопасность» компании «Крок», рекомендует в первую очередь определить наиболее критичные информационные активы, далее развернуть защищенные шлюзы удаленного доступа и в обязательном порядке установить двухфакторную аутентификацию.

В приоритете сейчас бесконтактные решения, когда в качестве второго фактора используется персональный смартфон (на нем подтверждается доступ, например, через отпечаток пальца). Это позволит обезопасить информацию даже в случае кражи устройства, — поясняет эксперт «Крок».

Контролировать доступ к собственной инфраструктуре администраторов и других привилегированных пользователей критичных бизнес-систем позволяют решения класса Privileged Account Management (PAM). При этом шлюзы доступа в корпоративную сеть рекомендуется обезопасить от DDoS-атак.

Для минимизации рисков инфицирования корпоративной инфраструктуры через устройства сотрудников Андрей Заикин советует использовать EMM-решения. Они обеспечивают зашифрованное подключение к корпоративным ресурсам компаний, позволяют создать на личном устройстве пользователя защищенный «контейнер», в котором возможно безопасно работать и защищать от несанкционированного доступа конфиденциальную информацию, не ограничивая обычное использование гаджета.

Отдельный вопрос касается инструментов удаленной работы, в частности для организации ВКС и телефонии: это могут быть on-premise установки, облачные решения, общедоступные сервисы. По мнению Валентина Губарева, с одной стороны, надо дать свободу выбора, а с другой — контролировать каналы и смотреть, как люди ими пользуются.

Не стоит забывать и о том, что сотрудники находятся в домашней сети — и это еще одна угроза. Мы видим, что хакеры и кибермошенники уже активизировались. Поэтому компаниям необходимо воспитывать культуру в людях, так как технические средства защиты от всего не спасут, — убежден эксперт «Крок».

Переход на удалённую работу сотрудников добавляет в ландшафт угроз множество новых: от наличия на ПК удалённого пользователя постороннего и вредоносного ПО и несанкционированного доступа в корпоративную сеть случайных людей до перехвата данных в каналах связи.

Артем Гончаренко, коммерческий директор Cloud4Y, считает, что для снижения возможности инцидентов необходимо заранее составить план управления рисками, сформулировать требования к удалённому рабочему месту (наличие антивируса, брандмауэра), ограничить перечень ресурсов, доступных для удалённой работы и провести инструктаж работников по организации и управлению средствами защиты информации.

Александр Шикинов, директор по продажам «Манго Телеком», советует не игнорировать имеющиеся возможности защиты. Например, на виртуальной АТС должна быть включена система ролей для пользователей, чтобы каждый сотрудник имел все инструменты, необходимые по работе, но не получал доступ к «лишнему» — данным бизнес-аналитики, коммерческой информации, записям разговоров, если по обязанностям ему того не требуется.

Илья Зайчиков, Product owner СЭД ТЕЗИС, полагает, что основные риски связаны с использованием при работе с конфиденциальной информацией личной электронной почты, облачных сервисов для работы с текстовыми файлами и т.д.

Избежать утечек позволяют расположенные на собственных серверах компании-заказчика специализированные приложения с веб-доступом, паролем и другими средствами защиты, такие, как СЭД ТЕЗИС, — считает он.

Старший консультант по бизнес-стратегии VMware Андрей Косенко считает, что риски нарушения конфиденциальности данных с переходом на удаленный режим работы увеличиваются в несколько раз, так как сотрудники используют домашние устройства и для личных целей – онлайн-шоппинга, коммуникации с семьей и друзьями, просмотра фильмов, скачивания музыки. При этом очень многое зависит от зрелости системы информационной безопасности предприятия и готовности компенсировать эти риски техническими средствами и организационных мероприятий – проведения тренингов, регламентирования правил поведения в корпоративной сети, разграничений доступов в зависимости от должности и департамента.

Оптимальное решение для снижения рисков, по его мнению, это организация удаленного доступа через цифровое рабочее пространства сотрудника (Digital Workspace), со встроенной моделью безопасности нулевого доверия.

Digital Workspace умеет полностью контролировать и анализировать взаимодействие пользователя с информационными системами предприятия и контекст этого взаимодействия. За счет интеграции с антивирусными системами следующего поколения (NGAV), решениями EDR (Endpoint Detection and Response) и программно-определяемой инфраструктурой ЦОД, а также благодаря использованию технологий искусственного интеллекта и машинного обучения, Digital Workspace позволяет надежно защитить приложения и данные в условиях тотального размытия периметра сетевой безопасности. Такая компенсация рисков требует дополнительных затрат и, в конечном итоге, каждая компания находит свой баланс между затратами и приемлемой величиной остаточного риска. Иными словами, безопасный удаленный доступ можно обеспечить для любой категории сотрудников, но затраты на такое обеспечение пропорциональны жесткости ИБ-стандартов, — поясняет эксперт VMware.

По мнению Владимира Бургова, коммерческого директора CommuniGate Systems Russia, службы безопасности, отработанные процедуры и правила ИТ – это прерогатива крупного бизнеса, а управлять «зоопарком» устройств и коммуникационных систем в режиме работы предприятия на «удаленке» – ресурсоёмкий процесс.

Работающей альтернативой может стать обращение к возможностям унифицированных коммуникаций (UC), таких как решение CommuniGatePro, объединяющего в рамках единой платформы комплекс коммуникационных решений – телефонию, мгновенные сообщения, видеосвязь, электронную почту и т.д. Продукт полноценно обеспечивает работу офиса, в том числе, и в удалённом режиме – на десктопах и мобильных устройствах сотрудников. Настройка и управление одной системы «всё в одном» ощутимо снижает ресурсные затраты и делает управляемым процесс обеспечения безопасности удалённых внутрикорпоративных взаимодействий, — говорит Владимир Бургов.

По мнению экспертов «СерчИнформ», экстренный переход на удаленку – это потенциально негативный процесс применительно к безопасности данных и ИТ-инфраструктуры. Хорошо с этим процессом справились лишь те компании, у которых элементы дистанционного формата уже были реализованы, и вопрос встал лишь в их масштабировании. У остальных вызвало трудности – не оказалось ресурсов, чтобы быстро перестроиться.

С ИБ-, кадровой и экономической безопасностью ситуация гораздо хуже – вопросы ушли на второй план. Этим объясняется, что у большого числа компаний вообще нет понимания, были после перехода на удаленку инциденты или нет. Некоторые фиксируют, что число нарушений осталось без изменений, потому что нечем посчитать – нет механизмов контроля. Пока вопросы безопасности по понятным причинам для бизнесов мало приоритетны, но ситуация найдет отражение в числе реальных инцидентов: росте числа инсайдерских нарушений, восприимчивости к атакам социальных инженеров, bec-атакам. Поэтому компаниям придется пересматривать свои бизнес-процессы с точки зрения безопасности, — отметил Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

Гендиректор «Облакотеки» Максим Захаренко полагает, что риск утраты конфиденциальности на сегодняшний день становится второстепенным, главный же риск – это риск доступности и целостности данных, чтобы просто продолжать работу компании.

Эти риски ликвидируются размещением в облаке в крупном ЦОДе, где встроена система резервного копирования, кластерные решения для хранения и обработки данных, быстрый и надежный магистральный интернет. И, кстати, контроль конфиденциальности в облаке обеспечить проще за счет более четкого периметра размещения данных, — отметил Захаренко.

Алексей Цембер, директор по продажам BIA Technologies, считает, что для служб информационной безопасности вся эта история с массовым переходом на удаленную работу – настоящее испытание. Главное, что здесь можно сделать для снижения рисков – не торопиться и избегать поспешных решений.

По его мнению, в компании обязательно должны быть построены модели организационной структуры с разграничением по системам и сервисам, в которых работает конкретный сотрудник с указанием уровня доступа к данным. Если таких моделей нет, то именно с них нужно начинать перевод на удаленную работу. По этим моделям как раз и составляется этапность процедуры, оцениваются риски и прорабатываются превентивные меры.

Но даже если служба безопасности сработает идеально, останутся риски утечек конфиденциальных данных с силу случайностей и человеческого фактора. Разъяснительная работа с сотрудниками дает прекрасные результаты. Люди должны понимать, какую ответственность они несут, обмениваясь файлами через whatsapp, незащищенный скайп или в виде ссылок в публичном облаке, — поясняет эксперт.

В конце марта 2020 года оператор сервисов киберзащиты CyberART подготовил чек-лист по проверке уровня защищенности своей компании. По мнению экспертов CyberART, чтобы защитить «удаленку», нужен комплексный подход, поскольку формат «хоум-офиса» сам по себе увеличивает количество потенциальных угроз для безопасности компании. Компаниям рекомендовалось ответить на следующие вопросы, чтобы оценить текущий уровень безопасности:

1. Для удалённой работы используются защищенные каналы связи, например, при помощи VPN (Virtual Private Network)?

2. При подключении к инфраструктуре пользователь проходит двухфакторную аутентификацию (токены, одноразовые пароли)?

3. При удалённом подключении не используются личные устройства сотрудников?

4. На удалённых рабочих местах контролируются съемные носители, запрещен «прямой» доступ в сеть интернет?

5. При подключении к сети компании происходит проверка удалённых устройств на наличие антивируса и его актуальности и на наличие необходимых обновлений безопасности?

6. Использование корпоративных сервисов разрешено только со специально сконфигурированных «джамп-узлов»: терминальных серверов, виртуальных рабочих столов (VDI)?

7. В ИТ-инфраструктуре компании выполнено сегментирование и настроены разграничения доступа, пользователи имеют минимальный для работы набор прав?

8. В ИТ-инфраструктуре компании определены и применяются политики информационной безопасности и аудита событий?

9. Обеспечивается ли постоянный мониторинг и реагирование на события безопасности для обнаружения и предотвращения компьютерных атак и инцидентов, до того момента, как они могут вызвать реальные негативные последствия для компании?

10. Выполняется ли контроль изменений состава ресурсов, для которых предоставлен удалённый доступ, анализ защищенности сетевого периметра и инфраструктуры, обнаружение и устранение уязвимостей и ошибок настройки?

По мнению CyberART, зачастую такие кризисы и необходимость экстренных мер обостряют существующие проблемы ИБ в организации. Если у компании будут незащищённые удалённые рабочие места и «домашние офисы», то у злоумышленников появятся широкие возможности для неправомерных действий: кражи конфиденциальной информации, средств с расчетного счета, заражения ИТ-инфраструктуры.

Рекомендации по вопросам информационной безопасности

2021: «Аладдин Р.Д.» представила комплексное решение для безопасной дистанционной работы

15 февраля 2021 года компания «Аладдин Р.Д.», российский разработчик и поставщик решений для обеспечения информационной безопасности, представила сертифицированное средство обеспечения безопасной дистанционной работы Aladdin LiveOffice. Подробнее Aladdin LiveOffice|здесь.

2020

«С-Терра» и «Рутокен» предложили совместное решение для безопасности удалённой работы

30 ноября 2020 года стало известно, что компании «С-Терра СиЭсПи» и «Актив» совместно защитили доступ к корпоративным ресурсам с удаленного рабочего места. Компактное и функциональное решение выполнено с использованием российских разработок: электронного идентификатора Рутокен ЭЦП 2.0 Flash, совмещающего функции криптографического токена и защищенного флеш-диска, сертифицированной операционной системы Astra Linux 1.6 SE и программного VPN-клиента С-Терра Клиент А, предназначенного для работы в ОС Astra Linux. Подробнее здесь.

ИВК разработала готовое защищенное рабочее место офисного сотрудника

8 июня 2020 года компания ИВК сообщила, что разработала готовое защищенное рабочее место офисного сотрудника. Это решение на USB-носителе, включающее программные продукты производства ИВК: сертифицированную операционную систему «Альт 8 СП», средство криптографической защиты информации (СКЗИ) «ИВК Крипто» и набор прикладного ПО для повседневной работы из дистрибутива ОС. По согласованию с заказчиком на флеш-накопитель может быть дополнительно установлено прикладное ПО из Единого реестра российских программ, совместимое с ОС «Альт 8 СП». Подробнее здесь.

SETERE выпустила решение на базе ОС Astra Linux для создания защищенных удаленных рабочих
HP делится советами как защитить себя от киберугроз в условиях удаленной работы

15 июня 2020 года стало известно, что компания HP Inc. поделилась рекомендациями, которые помогут пользователям избежать утечки конфиденциальных данных и несанкционированного воздействия со стороны киберпреступников в условиях удаленной работы.

После снятия ограничительных мер в большинстве регионов России сотрудники начинают постепенно возвращаться в свои офисы, но для некоторых удаленная работа станет новым понятием нормы. В ходе исследования, проведенного компанией HP, 34% опрошенных признались, что собираются чаще, чем раньше, работать дистанционно. При этом важно понимать, что в домашних условиях необходимо иметь оборудование, отвечающие требованиям бизнес-пользователей, и строго соблюдать корпоративные регламенты в сфере кибербезопасности.

HP делится советами как защитить себя от киберугроз в условиях удаленной работы

По данным исследования Microsoft DCI, число жертв кибератак за 2019 год выросло на 5%, рискам в сети подверглись 79% опрошенных россиян. В результате распространения вируса COVID-19 возникли предпосылки роста этого показателя, в связи с тем, что большинство компаний были вынуждены перейти на удаленный режим работы, и устройства сотрудников оказались за пределами офисной среды с высокой степенью защиты данных. Чтобы минимизировать возросшие риски важно поддерживать корпоративную культуру кибербезопасности и соблюдать базовые правила информационной защиты.

Компания HP рекомендует подключать устройства только к проверенным сетям Wi-Fi, сайтам и VPN. Не стоит доверять ссылкам, которые ведут на шокирующие данные о коронавирусе – чаще всего подобные источники являются вредоносными. Также важно устанавливать на свои устройства только лицензионные приложения, не передавать рабочие ноутбуки и данные доступа на корпоративные сервисы третьим лицам. Если вы заметили что-то подозрительное, стоит незамедлительно обратиться к IT-специалисту компании за консультацией и помощью. Чтобы поддержать удаленных сотрудников и обеспечить им повышенный уровень защиты, компания HP предлагает бесплатный доступ к решению HP Sure Click Pro.

Cross Technologies разработала комплексную систему защиты удаленного доступа

16 апреля 2020 года компания Cross Technologies объявила о разработке решения для комплексной системы защиты удаленного доступа. Ключевыми особенностями решения стали быстрота внедрения, масштабируемость, а также гибкость настройки системы. Подробнее здесь.

«Тионикс» запустил программный комплекс по защите виртуального удаленного рабочего стола

13 апреля 2020 года производитель программных продуктов для оказания облачных услуг «ТИОНИКС» (дочернее подразделение ПАО «Ростелеком») сообщил о разработке программного комплекса «TIONIX VDI Connect». Решение обеспечивает безопасность интерфейса виртуальных машин (виртуальных рабочих столов), персональных данных пользователей и защищает конфиденциальную информацию от несанкционированного доступа при ее размещении в облаке, реализованном на любой платформе виртуализации на базе KVM. Подробнее здесь.

«С-Терра» представила решение для обеспечения безопасного удаленного доступа

7 апреля 2020 года компания «С-Терра СиЭсПи» сообщила о том, что специально разработала решение для обеспечения безопасного удаленного доступа с использованием программных продуктов: С-Терра Виртуальный Шлюз, С‑Терра Клиент, С-Терра КП. Подробнее здесь.

CyberART подготовил чек-лист для проверки уровня защищенности «хоум-офиса»

Оператор сервисов киберзащиты CyberART подготовил чек-лист по проверке уровня защищенности своей компании, а также обозначил основные этапы, необходимые для обеспечения комплексной безопасности «хоум-офиса». Об этом 31 апреля 2020 года сообщили в компании InnoSTage. Подробнее здесь.

«Элвис-Плюс» и ISBC предлагают решение для обеспечения безопасной удаленной работы сотрудников

27 марта 2020 года компании «Элвис-Плюс» и ISBC представили решение для обеспечения безопасной удаленной работы сотрудников. Возможность оперативного перевода сотрудников на удаленную работу является единственным способом обеспечения непрерывности функционирования бизнеса и государственных структур. Подробнее здесь.

Переходя на удаленку, компании открывают хакерам доступ к своим серверам

Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета – сообщили 27 марта 2020 года эксперты центра мониторинга и реагирования на киберугрозы Solar JSOC. Одна из главных причин – применение компаниями незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По данным Solar JSOC, всего за одну неделю количество устройств, доступных из интернета по протоколу RDP, выросло на 15% в России (общее число на сегодня более 76 тыс. единиц) и на 20% в мире (более 3 млн единиц). Подробнее здесь.

Злоумышленники могут получить доступ к каждому десятому открытому удаленному рабочему столу

27 марта 2020 года компания Positive Technologies сообщила о том, что в ходе мониторинга актуальных угроз (threat intelligence) эксперты компании выяснили, что число сетевых узлов в России, доступных по протоколу удаленного рабочего стола (RDP) всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 000. Уже сейчас свыше 10% таких ресурсов уязвимы для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows. Подробнее здесь.

Angara Professional Assistance: доля неразрешенного в компаниях ПО за месяц выросла с 1% до 25%

27 марта 2020 года компания Angara Professional Assistance сообщила, что аналитики Центра киберустойчивости ACRC (SOC) зафиксировали рост инцидентов информационной безопасности, вызванных последствиями массового перехода на удаленную работу. По состоянию на 27 марта 2020 года доля установки неразрешенного ПО в срезе всех событий ИБ составила 25%, против 1% на конец февраля 2020 года.

Повальная установка неразрешенного софта, зачастую скачанного из сомнительных источников, приводит к активному росту заражений вредоносным ПО. Зловредные файлы попадают на рабочие станции пользователей под видом офисного ПО, мессенджеров, а также с использованием последних видов фишинговых писем, эксплуатирующих интерес и страх перед коронавирусной инфекцией. Статистика ACRC подтверждает: число заражений ВПО за последнюю неделю выросло на 15% к предыдущей неделе.

Также аналитики ACRC фиксируют увеличение количества инцидентов, связанных с установкой запрещенных средств удаленного администрирования. Чаще всего, подобная активность связана с действиями персонала, отвечающего за эксплуатацию корпоративных ИС, доступ к которым ограничен средствами межсетевых экранов. Благодаря анализу событий с рабочих станций и серверов, а также анализу сетевого трафика, направленного за периметр защищаемой компании, экспертам Angara Professional Assistance удается выявлять факты установки и функционирования большинства нелегитимных средств удаленного администрирования и оперативно реагировать на подобные угрозы.

Почему Cisco AnyConnect — это не просто VPN-клиент

На прошлой неделе вышла у меня дискуссия на тему удаленного доступа и различных VPN-клиентов, которые можно поставить на рабочее место сотрудника, отправляемого работать домой. Один коллега отстаивал «патриотическую» позицию, что надо использовать «абонентские пункты» к отечественным шифраторам. Другой настаивал на применении клиентов от зарубежных VPN-решений. Я же придерживался третьей позиции, которая заключается в том, что такое решение не должно быть придатком периметрового шифратора и даже не клиентской частью VPN-шлюза. Даже на производительном компьютере не совсем правильно ставить несколько защитных клиентов, которые будут решать разные задачи — VPN, идентификация/аутентификация, защищенный доступ, оценка соответствия и т.п. Идеально, когда все эти функции, а также иные, объединены в рамках единого клиента, что снижает нагрузку на систему, а также вероятность несовместимости между различным защитным ПО. Одним из таких клиентов является Cisco AnyConnect, о возможностях которого я бы и хотел вкратце рассказать.

image

Cisco AnyConnect является логичным развитием Cisco VPN Client, который за много лет не только был русифицирован, но и обогатился множеством различных функций и возможностей для защищенного удаленного доступа к корпоративной или облачной инфраструктуре с помощью одного из трех протоколов — TLS, DTLS и IPSec (поддерживается также FlexVPN). Первый из них является достаточно традиционным для VPN-клиентов и использует TCP как транспортный для своей работы. Однако туннелирование через TLS означает, что приложения, основанные на TCP, будут его дублировать (один раз для организации TLS, второй — для своей работы уже внутри TLS). А протоколы на базе UDP будут… все равно использовать TCP. Это может привести к определенным задержкам, например, для мультимедиа-приложений, которые являются очень популярными при удаленной работе. Решением этой проблемы стала разработка протокола DTLS, который вместо TCP задействует UDP для работы TLS. AnyConnect поддерживает обе реализации TLS — на базе TCP и UDP, что позволяет гибко их использовать в зависимости от условий удаленной работы. Обычно TCP/443 или UDP/443 разрешены на межсетевых экранах или прокси и поэтому использование TLS и DTLS не составляет большой проблемы. Но в ряде случаев может потребоваться применение протокола IPSec, который также поддерживается AnyConnect’ом (IPSec/IKEv2).

image

А на каких устройствах может терминироваться VPN-туннель, создаваемый AnyConnect? Я просто их перечислю:

  • Межсетевые экраны Cisco ASA 5500 и Cisco ASA 5500-X
  • Многофункциональные защитные устройства Cisco Firepower
  • Виртуальные МСЭ Cisco ASAv и Cisco ASAv в AWS и Azure
  • Маршрутизаторы Cisco ISR 800/1000/4000 и ASR 1000 c сетевой ОС Cisco IOS или Cisco IOS XE
  • Виртуальные маршрутизаторы Cisco CSR 1000v, а они развернуты в том числе и ряда российских облачных провайдеров.

image

Интересно, что в отличие от многих других VPN-клиентов, у вас существует множество вариантов инсталляции Cisco AnyConnect на персональный компьютер или мобильное устройство ваших работников. Если вы выдаете им такие устройства из собственных запасов или специально покупаете для сотрудников ноутбуки, то вы можете просто предустановить защитного клиента вместо с остальным ПО, требуемым для удаленной работы. Но что делать для пользователей, которые находятся далеко от корпоративных ИТ-специалистов и не могут предоставить им свой ноутбук для установки нужного ПО? Можно, конечно, задействовать и специализированное ПО типа SMS, SCCM или Microsoft Installer, но у Cisco AnyConnect есть и другой способ установки — при обращении к упомянутому VPN-шлюзу клиент сам скачивается на компьютер пользователя, работающий под управлением Windows, Linux или macOS. Это позволяет быстро развернуть VPN-сеть даже на личных устройствах работников, отправленных на удаленную работу. Мобильные же пользователи могут просто скачать Cisco AnyConnect из Apple AppStore или Google Play.

image

Но как я уже выше написал, Cisco AnyConnect, это не просто VPN-клиент, это гораздо больше. Но я бы не хотел переписывать здесь документацию на него, а попробовать описать ключевые функции в режиме вопросов и ответов на них (FAQ).

А как я могу гарантировать, что домашний пользователь не подцепит ничего в Интернет?

В AnyConnect есть такая функция — Always-On VPN, которая предотвращает прямой доступ в Интернет, если пользователь не находится в так называемой доверенной сети, которой может быть ваша корпоративная инфраструктура. Но обратите внимание, что данная функция работает очень гибко. Если пользователь находится в корпоративной сети, VPN автоматически отключается, а при ее покидании (например, если пользователь работает с ноутбука, планшета или смартфона), VPN опять включается; причем прозрачно и незаметно для пользователя. Тем самым пользователь всегда будет находиться под защитой корпоративных средств защиты, установленных на периметре, — межсетевого экрана, системы предотвращения вторжений, системы анализа аномалий, прокси и т.п. Многие компании, выдавая удаленным работникам корпоративные устройства, ставят условие использования их только для служебных целей. А чтобы контролировать исполнение этого требования включают в AnyConnect настройки, запрещающие пользователю ходить в Интернет напрямую.

image

А могу ли я шифровать не весь трафик, а только корпоративный?

Функция Always-On VPN очень полезна для защиты удаленного доступа с выданных вами устройств, но далеко не всегда мы можем заставить пользователя делать то, что хотим мы, особенно если речь идет о его личном компьютере, на котором мы не можем устанавливать свои правила. И пользователь не захочет, чтобы его личный трафик проходил через корпоративный периметр и ваши администраторы следили за тем, какие сайты пользователь посещает во время надомной работы. Как говорится, «сложно говорить о морали с администратором, который видел логи вашего прокси» 🙂

В этом случае на Cisco AnyConnect можно включить функцию split tunneling, то есть разделения туннелей. Одни виды трафика, например, до корпоративной инфраструктуры и рабочих облаков трафик будет шифроваться, а трафик до соцсетей или онлайн-кинотеатров будет идти в обычном режиме, без защиты со стороны AnyConnect. Это позволяет учесть интересы и компании и ее работников, вынужденных делить персональный компьютер сотрудника между двумя областями жизни — личной и служебной. Но стоит помнить, что функция split tunneling может снизить защищенность вашей сети, так как пользователь может подцепить какую-нибудь заразу в Интернет, а потом уже по защищенному каналу она попадет в внутрь компании.

image

А могу ли я шифровать трафик определенных, например, корпоративных, приложений?

Помимо разделения трафика по принципу «доверенный/недоверенный», Cisco AnyConnect поддерживает функцию Per App VPN, которая позволяет шифровать трафик отдельных приложений (даже на мобильных устройствах). Это позволяет шифровать (читай, пускать в корпоративную сеть) только определенные приложения, например, 1C, SAP, Sharepoint, Oracle, а тот же Facebook, LinkedIn или персональный Office365 пускать в обход корпоративного периметра. При этом для разных групп удаленных устройств или пользователей могут быть свои правила безопасности.

А ведь пользователь может подцепить вредонос на домашний компьютер, который затем попадет в корпоративную сеть. Как с этим бороться?

С одной стороны Cisco AnyConnect может проверять наличие у вас системы защиты Cisco AMP for Endpoints и устанавливать ее при отсутствии. Но возможно у пользователя уже установлен собственный антивирус или этот антивирус уже был установлен вами при переводе работников на удаленную работу. Однако все мы знаем, что антивирус сегодня ловит очень мало серьезных угроз и неплохо бы дополнить его более продвинутыми решениями по обнаружению вредоносных программ, аномалий и иных атак. Если в вашей корпоративной инфраструктуре развернуто решение Cisco Stealthwatch, то вы можете легко интегрировать с ним и агенты Cisco AnyConnect, установленные на домашних компьютерах ваших работников. В AnyConnect встроен специальный модуль Network Visibility Module (NVM), который транслирует активность узла в специально разработанный для этой задачи протокол nvzFlow, который дополняет ее дополнительной информацией и передает на Netflow-коллектор, которым может являться как Cisco Stealthwatch Enterprise, так и какой-либо SIEM, например, Splunk. Среди прочего NVM-модуль может передавать следующую информацию, на базе которой можно выявлять аномальную и вредоносную активность на домашнем компьютере, которая осталась незаметной для установленного антивируса:

  • данные сетевой активности в схожем с IPFIX формате
  • идентификатор, адрес и имя устройства
  • имя пользователя
  • тип учетной записи пользователя
  • имена и идентификаторы запускаемых процессов и приложений, включая и данные по их «родителям».

А как мне аутентифицировать пользователей?

Когда пользователи работают на корпоративных компьютерах, то они проходят аутентификацию обычно в Active Directory или ином LDAP-справочнике. Хочется получить такую же возможность и при удаленном доступе и Cisco AnyConnect позволяет ее реализовать за счет поддержки аутентификации по логину/паролю, включая и одноразовые пароли (например, LinOTP), пользовательским или машинным сертификатам, аппаратным токенам (например, смарт-картам или Yubikey), и даже биометрии и иным способам многофакторной аутентификации. Все эти варианты могут быть легко интегрированы с вашими решениями по управлению идентификацией и аутентификацией с помощью протоколов RADIUS, RSA SecurID, SAML, Kerberos и т.п.

image

А если я использую облачные платформы, например, Amazon AWS или MS Azure, то как мне защитить доступ домашних пользователей к ним?

У Cisco существует виртуальный маршрутизатор Cisco CSR 1000, который может быть развернут в облачных средах, например, в Amazon AWS или MS Azure, и который может терминировать на себе VPN-туннели, создаваемые Cisco AnyConnect.

Если пользователь работает с личного устройства, то как мне повысить защищенность своей сети при таком доступе?

Давайте попробуем прикинуть, что может плохого или неправильного сделать пользователь на компьютере при удаленной работе? Установить ПО, содержащее уязвимости, или просто не устранять их своевременно с помощью патчей. Не обновлять свой антивирус или вообще его не иметь. Использовать слабые пароли. Установить ПО с вредоносным функционалом. Это то, что может поставить вашу корпоративную сеть под угрозу и никакой VPN вас не защитит от этого. А вот Cisco AnyConnect может за счет функции оценки соответствия, которая позволяет перед предоставлением доступа удаленного компьютера к корпоративным ресурсам проверить все необходимые и требуемые ИТ/ИБ-политиками настройки — наличие патчей, актуальные версии ПО, обновленный антивирус, наличие средств защиты, правильную длину пароля, наличие шифрования жесткого диска, определенные настройки реестра и т.п. Реализуется данная возможность либо с помощью функции Host Scan (для этого нужна Cisco ASA в качестве шлюза удаленного доступа), либо с помощью функции System Scan, которая обеспечивается с помощью системы контроля сетевого доступа Cisco ISE.

image

А если я работаю с планшета или смартфона и постоянно перемещаюсь. У меня будет рваться VPN-соединение и мне надо будет каждый раз устанавливать его заново?

Нет, не надо. В Cisco AnyConnect встроен специальный роуминговый модуль, который позволяет не только автоматически и прозрачно переподключать VPN при переходе между различными типами подключений (3G/4G, Wi-Fi и т.п.), но и автоматически защищать ваше мобильное (ведь вряд ли вы будете носить с собой стационарный домашний компьютер) устройство с помощью решения Cisco Umbrella, которое будет инспектировать весь DNS-трафик на предмет доступа к фишинговым сайтам, командным серверам, ботнетам и т.п. Подключение к Umbrella потребуется в том случае, если вы разрешили пользователю функцию split tunneling и он может подключаться к различным ресурсам Интернет напрямую, минуя шлюз удаленного доступа. Модуль подключения к Cisco Umbrella будет полезен даже в том случае если вы не используете VPN — тогда весь трафик будет проверяться через этот защитный сервис.

image

А ваш AnyConnect не снизит качество видео- и голосовых телеконференций?

Нет. Как я уже описывал выше, Cisco AnyConnect поддерживает протокол DTLS, который специально ориентирован на защиту мультимедиа-трафика.

На самом деле Cisco AnyConnect обладает куда большим количеством возможностей. Он может работать в скрытом режиме, динамически выбирать наиболее оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, мониторится удаленно, обеспечивает контроль доступа, поддерживает RDP и т.п. А еще он русифицирован, чтобы у пользователей не возникало вопросов относительно тех редких сообщений, которые Cisco AnyConnect может выдавать. Так что Cisco AnyConnect — это не просто VPN-клиент, но гораздо более интересное решение для обеспечения защищенного удаленного доступа, который в последние недели начинает набирать популярность из-за пандемии коронавируса, заставляющего работодателей переводить отдельные категории своих работников на удаленку.

  • Блог компании Cisco
  • Информационная безопасность

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *