Методы организации безопасной удалённой работы сотрудников – чек-листы и рекомендации от Group-IB

В связи с разразившейся во всём мире пандемией коронавируса многие компании переходят на  удаленную работу. Как следствие, в периметр компании, с установленными для его защиты средствами безопасности, добавляются «чужеродные» домашние устройства, при этом требования к защите данных и стабильности работы бизнес-процессов никто не отменял. Компания Group-IB подготовила чек-лист для ИТ-служб и ИБ-подразделений компаний, позволяющий проверить: все ли они учли и всё ли корректно сделали для отправки сотрудников на удаленную работу без риска для безопасности компании.

Для снижения рисков утечки конфиденциальной информации при переводе части сотрудников на удалённую работу  необходимо принять меры для минимизации количества удаленно обрабатываемой критичной информации.

В документе Group-IB выделено три уровня риска:

• Низкий риск — если сотруднику для выполнения своих обязанностей без серьёзного снижения производительности хватит средств электронной почты и облачных сервисов. То есть необходимости предоставлять сетевой доступ к инфраструктуре нет.
• Средний риск — если проекты сотрудника долгосрочны и материалы для работы в ближайший месяц можно собрать однократно, то есть также имеется возможность избежать предоставления доступа к сетевым хранилищам.
• Высокий риск —  если сотрудник, работает с действительно критически важной информацией. Именно на таких сотрудниках следует сконцентрировать внимание ИТ и ИБ служб. Данную категорию сотрудников желательно переводить на удалённый режим работы в последнюю очередь или постараться соблюсти компромисс, предоставив безопасное перемещение в офис на время карантина (корпоративное авто, такси и пр.).

Далее в документе идут чек-листы по типам доступа к рабочему месту/серверу терминалов и сети организации. Однако, есть и общие для всех рекомендации:

Обязательные настройки:

• удалённый доступ к сети организации защищен двухфакторной аутентификацией;
• журналы удалённого доступа достаточно подробны и имеется запас свободного места для хранения информации об удаленном доступе за последние 6 месяцев;
• на период массовой удалённой работы персонал SOC осведомлён о важности более внимательного мониторинга любой аномальной активности;
• любой подключаемый хост попадает в отдельную изолированную зону, из которой осуществляется доступ до необходимых ему сервисов;
• внешние каналы доступа компании в интернет имеют достаточную пропускную способность, имеется резервирование у нескольких интернет провайдеров;
• пользователи знают и понимают правила информационной безопасности (созданы памятки, у всех есть контакты для экстренной связи с ИТ-службами);
• реализовано разграничение доступа к необходимым сервисам для разных групп пользователей с учётом принципа минимальных привилегий;
• предусмотрено автоотключение пользователей при неактивности;
• сотрудник ограничен одной активной сессией.

Дополнительные настройки:

• проверить возможность сбора и анализа аномальной активности для работников, у которых нет необходимости работать ночью, в выходные и пр.;
• рассмотреть возможность введения белых списков удалённого доступа в сеть организации по IP адресам с получением статических IP работниками;
• по возможности ограничиться сервисами, доступ к которым организован через WEB. Доступ к ресурсам должен осуществляться только через HTTPS и быть организован через соответствующий WAF;
• по окончанию периода удалённой работы сменить пароли всех пользователей домена.

Первый чек-лист: Удалённый доступ в сеть организации или интерактивный удалённый доступ к стационарному рабочему месту/серверу терминалов с рабочего ноутбука

Необходимо удостовериться, что:

• Ноутбук имеет все установленные средства защиты, используемые в организации. На устройстве установлены последние версии обновлений безопасности.
• Обеспечен безопасный зашифрованный сетевой канал к удалённому рабочему месту/серверу терминалов.
• Носители информации на ноутбуке зашифрованы. Есть возможность удалённой блокировки в случае потери.
• В случае использования DLP агентов, агентов антивирусных средств, необходимо проверить, что ведётся контроль их сбоя, отключения, остановки работы.
• При сетевом доступе не происходит игнорирование периметровых средств защиты информации, установленных в организации.
• Пользователь получает доступ только к необходимым ему сервисам, не в полностью доверенные сегменты сети, а в условно доверенные с подробным аудитом.
• В организации при осуществлении удалённого доступа используются NAC или NAP решения, настроенные должным образом на проверку соответствия подключающегося устройства политикам безопасности (обновления ПО, обновления AV и пр.).

Второй чек-лист: Интерактивный удалённый доступ к стационарному рабочему месту/серверу терминалов с домашнего компьютера

Необходимо удостовериться, что:

• На устройстве пользователя и на стационарном рабочем месте установлена актуальная обновляемая операционная система.
• Обеспечен безопасный зашифрованный сетевой канал к удалённому рабочему месту/серверу терминалов.
• Если используемая операционная система не имеет встроенных антивирусных средств, рассмотреть вопрос их закупки и установки на домашние устройства.
• При осуществлении доступа с домашнего компьютера, пользователь имеет возможность обратиться по RDP только к своему стационарному рабочему месту/серверу, других доступов у пользователя нет (это реализуется динамическими ACL посредством RADIUS или статическими IP-адресами в VPN с их установкой на программных хостовых межсетевых экранах).
• По возможности запрещен Split-tunneling, иными словами, VPN-шлюз является шлюзом по умолчанию. Таким образом, пользователь сможет подключиться к своему стационарному рабочему месту и вести работу через RDP.
• В RDP сессиях запрещены передача данных через буфер обмена и подключение локальных дисков и съемных носителей домашнего компьютера к рабочему и наоборот.

Рекомендуем: при доступе с домашних устройств использовать именно метод терминального доступа, в котором ведётся запись действий пользователя, отключён буфер обмена, сетевой доступ обеспечен зашифрованным каналом.

Третий чек-лист: Удалённый доступ в сеть организации с домашнего компьютера

Самый небезопасный метод организации работы на дому, поскольку домашний ПК получает доступ ко всем хостам в пределах доступного ему сегмента. Данный вариант применим только при серьезной сегментации сети организации. Кроме того, такой хост должен рассматриваться как внешний хост из сети интернет и анализироваться всеми периметровыми средствами защиты.

Безопасность мобильных устройств

При работе с мобильных устройств (планшеты, смартфоны и пр.) рекомендуем проверить следующее:

• Удалённый доступ к сети организации защищен двухфакторной аутентификацией.
• На время удалённой работы, если рабочих устройств не имеется, рассмотреть временный вариант установки MDM агентов на личные устройства сотрудников.

Безопасность электронной почты

• Доступ к электронной почте защищен двухфакторной аутентификацией и шифрованным каналом связи.
• Вне зависимости от местоположения клиента, его почта анализируется средствами детонации вредоносного кода на получение и отправку.