Рекомендации от Positive Technologies по переходу компаний на «удалёнку»

Сейчас большинство компаний перешло на удалённый режим работы из-за коронавируса, однако это не остановило рабочие процессы. Одной из сложных для перевода на «удалёнку» является область информационной безопасности. Руководитель отдела ИБ-аналитики Positive Technologies Евгений Гнедин в эфире ТВ-канала компании «ИБшник на удалёнке» поделился рекомендациями, как перевести компанию на удаленный режим работы и минимизировать риски.
  
«По нашей статистике, основная часть кибератак приходится на инфраструктуру компании — это компьютеры, серверы, сетевое оборудование. На втором месте  идут приложения, веб-ресурсы. И только на третьем — люди, сами сотрудники. Но здесь нужно понимать, что ситуация меняется и с выходом на «удалёнку» периметр компании перерождается. Компания должна теперь защищать активы не только внутри, но и снаружи. Естественно, злоумышленники этим воспользуются», — рассказал Евгений Гнедин.
  
Периметр компании даже в обычной ситуации в обычное время недостаточно защищён от внешних атак. По статистике Positive Technologies, в 92% случаев можно пробить любой периметр, при этом в половине их них это можно сделать буквально в один шаг. Сейчас же, когда в сжатые сроки необходимо перевести людей на удалённый режим работы, будет появляться ещё больше проблем — ошибки в конфигурации, незащищённые сервисы, уязвимые ресурсы на периметре. И за этим нужно очень внимательно следить.
  
Евгений Гнедин отметил, что вместе с обычными сотрудниками на «удалёнку» переходят и администраторы. Даже в обычные дни они часто обеспечивают себе удалённый доступ к тем системам, которые им нужно администрировать, чтобы упростить работу. На период карантина удалённый доступ для администраторов уже необходимость. «Поэтому крайне важно следить, чтобы они соблюдали регламенты, следить как они подключаются, с помощью каких утилит, следить за тем, какие системы они подключают. Нужно регламентировать этот процесс и обеспечить мониторинг», — сказал Евгений Гнедин.
  
Также он выделил основные угрозы, которые необходимо учесть при переводе компании на удалённый режим работы. Одним из первых шагов является контроль паролей. Это крайне важно, потому что как только сотрудник переводится на периметр, его учётная запись становится ключом для доступа во внутреннюю сеть. Поэтому в первую очередь нужно обеспечить контроль и ужесточить парольную политику, например, поставить пароль для пользователей минимум в 12 символов, а для администраторов — 15. При этом даже при строгой парольной политике пользователи для облегчения своей жизни могут придумать такой пароль, который будет соответствовать требованиям, но всё равно останется простым. Поэтому Positive Technologies советуют в первую очередь обратить внимание на тех сотрудников, которые до этого никогда не работали на «удалёнке», и провести с ними беседы, какие пароли использовать, почему это важно, а также выдать им памятки о работе в интернете и паролях.
  
Второй момент — необходимо обратить внимание на то, что у злоумышленников стало больше возможностей для проникновения, поэтому нужно более тщательно следить, чтобы информация в инфраструктуре компании более качественно защищалась. То есть нужно рассмотреть разграничение доступа, рассмотреть привилегии пользователей, может быть какие-то из них ограничить на время удалённого доступа. «Конечно же, в первую очередь, нужно смотреть на бизнес-системы, нужно смотреть как они сегментированы, есть ли вообще сегментация в сетях и кто обладает этим доступом. И для тех сотрудников, которым доступ не нужен, его можно ограничить. Для тех сотрудником, которым необходим доступ, обеспечить должный уровень мониторинга, контролировать любые подключения и вести журнал событий, чтобы потом любой инцидент можно было расследовать», — сказал Евгений Гнедин.

Следующим этапом будет обязательно защитить рабочее место пользователя. Потому что пользователь, работая у себя дома, менее подконтролен любым службам организации. Необходимо обеспечить сотруднику антивирусную защиту и помощь в борьбе с фишингом, то есть проверять файлы, которые он получает по почте. Нужно обеспечить пользователей информацией о том, какими методами могут его атаковать, то есть повысить его осведомленность, возможно, раздать памятки.
  
Также Евгений Гнедин упомянул о защите периметра, потому что он сейчас становится уязвимым местом, появляется огромное количество новых точек, возможностей для нарушителя для того, чтобы проникнуть в инфраструктуру. «Если не контролировать защищённость, не контролировать безопасность тех сервисов, которые открываются на периметре, не проверять их на уязвимости, не закрывать эти уязвимости, то можно стать жертвой атаки», — отметил он. 
  
 Одним из наиболее распространенных вариантов уделенного подключения является подключение через VPN. Positive Technologies рекомендуют использовать безопасные варианты реализации VPN. «Например, мы рекомендуем использовать технологию L2TPS с шифрованием IPsec — это позволит максимально обезопасить себя», — отметил Евгений Гнедин. Также он уточнил, что если рабочая станция сотрудника будет заражена, то это ВПО может проникнуть в корпоративную сеть через этот канал. Помимо этого встает вопрос и разграничения доступа: обычный VPN канал строится до какого-то сегмента сети компании, и крайне важно ограничить доступ каждому отдельному пользователю в другие сегменты сети.
  
По словам Евгения Гнедина, также нужно уметь вовремя среагировать на любую киберугрозу. И для этого необходимо журналировать события и мониторить эти события для того, чтобы знать, что происходит в инфраструктуре и отслеживать любые аномалии. А для этого нужны средства защиты, нужно, например, анализировать трафик и события на конечных точках, на компьютерах сотрудников, на серверах и так далее. И, конечно, нужна команда, которая будет реагировать на всё это: необходимо использовать SOC внутри компании, внешних специалистов, службы ИБ, которые отвечают за информационную безопасность, и необходима помощь со стороны ИТ. «ИТ должны обеспечить должный уровень непрерывности бизнеса за счёт резервирования серверов, за счёт резервирования каналов доступа, за счёт, может быть, балансировки между этими серверами нагрузки. Но и при этом они должны 24/7 быть готовы разрулить любую ситуацию», — добавил Евгений Гнедин. 
  
«Те, кто уже перешёл на «удалёнку», но понимает, что он сделал еще не все в сторону обеспечения безопасности, им нужно взглянуть назад и посмотреть, а что можно ещё сделать, чтобы обезопасить и своих сотрудников, и компанию. Для тех, кто только собирается перейти на «удалёнку», конечно, рекомендация  — взвесить свою готовность перейти на «удалёнку» безопасно. Если такой готовности нет сделать это быстро и сейчас, то лучше делать это поэтапно, делать это с учётом всех рекомендаций компании. И если сами не готовы, в чём-то не уверены, лучше привлечь специалистов, внешнюю компанию для консультирования и обеспечения защищённости», — заключил Евгений Гнедин.

31 марта, 2020