Кибербезопасность удалённой работы в 2021 году

Всего за год ситуация по удалённой работе в России изменилась кардинальным образом. Если в 2019 году трудились удалённо, будучи штатными сотрудниками, 17% опрошенных по всей стране. То в начале 2021 года 52% сотрудников не хотят возвращаться в офис с удалёнки. 

Практика показала, что для организации удалённой работы сотрудников одного решения руководства мало, нужна подготовленная инфраструктура. Поэтому настает время ИТ- и ИБ-служб, которые призваны обеспечить непрерывность и безопасность бизнес-процессов компании. Так как именно при массовом внедрении удалённого режима работы выросло  число кибератак.

 Сложности организации и контроля удалённой работы

Руководителям служб информационной безопасности необходимо разрабатывать защитные меры для технологий удалённого доступа со стороны ИТ. Те же популярные  сервисы организации конференций оказываются небезопасны, утечки случаются с завидной регулярностью из бизнес-систем крупнейших корпораций и даже VPN может оказаться ненадежным инструментом и быть взломанным.

Защита периметра уже не эффективна, так как теперь никакого периметра не стало. Особенно остро встает вопрос контроля личных устройств сотрудников. Не все компании могут себе позволить обеспечить сотрудников рабочими ноутбуками. 

Устройства из домашней WiFi-сети массово подключаются к внутренним корпоративным ресурсам. Обязать всех сотрудников ставить принятые в компании средства защиты на личные компьютеры, распространить политики безопасности, — теоретически возможно, но в режиме удалённой работы не всегда эффективно, это влечет за собой юридические и организационные сложности. Поэтому риски безопасности наиболее вероятно возрастут у компаний, активно защищающих лишь конечные рабочие станции, оставляя без внимания корпоративную инфраструктуру в целом.

Готова ли инфраструктура и ЦОД вашей компании к таким повышенным нагрузкам? И даже в случае положительного ответа на этот вопрос, все равно безопасность не гарантирована.

Если раньше злоумышленнику для нарушения функционирования корпоративных систем приходилось заказывать мощную DDoS-атаку (Distributed Denial of Service attack – распределенная атака типа «отказ от обслуживания»), то теперь «лишний» десяток VPN-подключений или пользователей корпоративной CRM способны парализовать работу всей организации. Нормализовать ситуацию может быть непросто, когда сотрудники работают из дома, так как просто выключить интернет в корпоративной сети уже не получится.

Появляется важная задача разграничения доступа, сегментации сетей, мониторинга работы пользователей и серверов в сети в условиях большого процента удалённых подключений, ограничить пул IP-адресов, количество и типы используемых устройств. Существующие правила доступа к бизнес-системам придется менять из-за производственной необходимости. И службе ИБ остается только согласовать «экстренные меры». Менее защищенными в этом случае окажутся компании, которые заранее не предусмотрели внедрение мониторинга пользователей и устройств в сети компании, особенно при доступе к критичным бизнес-системам. 

Когда действовать по четким опробованным регламентам невозможно, на помощь приходят интеллектуальные поведенческие решения, такие как система защиты баз данных «Гарда БД» и система анализа сетевого трафика «Гарда Монитор». Они выявляют попытки мошеннических действий и своевременно уведомляют об этом службу безопасности.

Как снизить риски удалённого доступа 

Службам безопасности компании стоит обратить внимание на следующие рекомендации:

1. Политика безопасности при удалённой работе. В нашей стране бизнес-процессам сотрудники следуют в случае их документального оформления и должного контроля Политика должна быть краткой, понятной, описывать основные возникшие риски, меры защиты и ограничения. Кроме того, таким подходом вы дополнительно обезопасите и себя.

2. Проведите внеплановое экспресс-обучение и подготовьте краткую памятку, содержащую основы киберграмотности. Это поможет сотрудникам не расслабляться, не допускать ошибок и убережет от специфичных для удалёнки оплошностей в виде фишинговых атак и раскрытия паролей.

3. При внедрении защитных решений отдавать предпочтение лучше известным на рынке отечественным производителям, таким как «Гарда Технологии», чьи решения применяют компании-лидеры телеком и банковской отрасли. Если вы до сих пор не можете с уверенностью ответить на вопрос: «Что происходит в инфраструктуре компании», то для наведения порядка и установления контроля, в том числе для ИТ – это сейчас ключевая задача. Подключение к ресурсам через неучтенный VPN, массовое использование одной учетной записи, перебор паролей, странные всплески определенных типов трафика внутри в отсутствии пользователей в сети – далеко не полный список угроз безопасности, особенно вероятно возникающие при уходе на удалёнку. Использование системы внутреннего мониторинга в дополнении к периметровой защите сейчас наиболее актуальны.

4. Важно сфокусироваться на защите от тех видов атак, которые становятся актуальными в новых условиях, даже если раньше их не было в модели угроз компании. Например, некоторые предприятия следовали концепции «отключения от внешнего мира», говоря о неактуальности внешних воздействий в принципе, за исключением фишинга. Сейчас службе безопасности необходимо оперативно пересмотреть модель угроз, не забывая о средствах противодействия DDoS-атакам и внешним вторжениям, так как количество точек проникновения и способов нарушения конфиденциальности, целостности и доступности стало больше. Это открывает новые возможности для киберпреступников в отношении даже самых консервативных в плане ИТ инфраструктуры компаний.

5. Защита и контроль конечных (личных) устройств – непростая задача, поэтому необходимо сфокусироваться на обеспечении безопасности на стороне критичных бизнес-систем и сервисов. Это позволит не только контролировать легитимность работы собственных пользователей в них, но и более эффективно обнаруживать вторжения внешних хакеров.

6. Внедрение концепции zero trust (нулевого доверия к пользователям, устройствам) или хотя бы ее отдельных элементов при работе с личных устройств станет хорошим решением именно сейчас. Даже несмотря на то, что на старте процесса возможны некоторые неудобства для пользователей, этим придется пожертвовать. Допуск в корпоративную инфраструктуру пользователей извне, не удостоверившись в применении всех необходимых процедур с точки зрения безопасности, может обойтись дороже.

Практика применения системы информационной безопасности для контроля удалённого доступа

Рассмотрим  практику обеспечения безопасности удалённой работы с помощью решений «Гарда Технологии».

Кейс

На одном из предприятий промышленного сектора удалённый доступ был запрещен. Даже в случае проведения неотложных работ на месте всегда присутствовали дежурные сотрудники. Поэтому любая входящая сетевая активность, особенно связанная со средствами управления и администрирования, квалифицировалась как инцидент. При всеобщем переходе на работу из дома, чтобы поддерживать штатную работу предприятия, дежурных смен стало не хватать, и удалённый доступ для отдельных сотрудников был согласован руководством. ИТ-департамент поэтапно справился с задачей, выбрав одно из известных VPN-решений (благо сейчас большинство вендоров предоставляют бесплатные лицензии на срок до полугода). Однако, внедрение новых технологий не происходит мгновенно, и на время двухнедельного переходного периода было разрешено использовать non-enterprise (не для предприятий) и trial (пробные) продукты. По завершении проекта по переходу на корпоративный VPN служба ИБ выяснила, что некоторые сотрудники до сих пор используют сторонние продукты для удалённого доступа к своим компьютерам и внутрикорпоративным ресурсам. 

Нарушения удалось выявить и устранить с помощью внедренного ранее решения класса NTA — network traffic analysis — системы анализа трафика «Гарда Монитор» для контроля внутреннего трафика. Причем инциденты обнаруживались автоматически, не пришлось даже перенастраивать политики, не говоря уже о дополнительной покупке каких-либо еще ИБ-решений.

...

Удалённый доступ сотрудников к инфраструктуре компании – это вопрос качественной настройки системы информационной безопасности и применения инструментов, способных контролировать работу сотрудников из любой точки, чтобы максимально нивелировать риски утечки конфиденциальной информации и нарушения работы корпоративных ресурсов.