На что делать упор в мониторинге событий ИБ при переходе на «удалёнку»

Руководитель отдела мониторинга ИБ экспертного центра безопасности Positive Technologies Павел Кузнецов рассказал, как влияет на мониторинг способ организации удалённого доступа и на что обращать внимание в каждом из случаев.  

Вообще существует три варианта того, как компания организует удалённый доступ своим сотрудникам. Часть компаний предоставляет корпоративные устройства для использования сотрудниками на дому. Это совершенно обычные случаи с экосистемой Windows: совершенно обычная машина, заведённая в  домен актив директори, которой сотрудник пользуется из дома. Также есть вариант, когда с помощью толстого клиента устанавливают на личные устройства сотрудника доступ к отдельным сервисам в инфраструктуре компании. С одной стороны, толстый клиент, если мы говорим о личном устройстве, более предпочтителен, так как позволяет в большей степени контролировать девайс, возможно, даже накатывать какие-то политики соответствия с комплайенсом компании. С другой стороны, его установка на личные устройства не всегда поддерживается персоналом, потому что сотрудники начинают переживать из-за того, что служба внутренней информационной безопасности получает контроль над их личным устройством. И, конечно же, ещё можно с помощью тонкого клиента подключиться к серверам компании, опубликованным на периметре. 

В зависимости от конкретного способа доступа сотрудников к рабочим сервисам компании меняются соответствующим образом и акценты мониторинга. «Если мы подключаем доменную рабочую машину, полностью её заводим в сеть, но из дома сотрудника, то нам приходится обращать внимание на появляющиеся новые внешние факторы. Потому что в данном случае канал в интернет не контролируется самой компанией, это личный канал доступа в интернет сотрудника со всеми вытекающими. То есть угрозы оттуда могут прилетать в обход межсетевых экранов и иных защитных средств, которые используются в самой компании», — пояснил Павел Кузнецов. 

Другой кейс — доступ к опубликованным сервисам. Тут фокус смещается в сторону мониторинга угроз на этих веб-сервисах с помощью, например, Web Application Firewall. Так как масса сотрудников начинает ходить и выполнять свои рабочие задачи именно через эти веб-сервисы, нагрузка на них возрастает, поэтому более высок шанс пропустить злоумышленника среди легальных юзеров, которые подключаются к сервисам таким образом. И Web Application Firewall в этом случае как средство мониторинга выходит на первый план. 

«При этом для защиты и мониторинга активности устройств, которые мы пускаем через VPN внутрь сети — там уже нужно применять более широкий спектр решений, в том числе все те, которые уже по-хорошему должны стоять на вооружении в любой компании», — добавил Павел Кузнецов. 

Также он отдельно отметил, что наиболее безопасным, с точки зрения организации удалённого доступа, является сочетание, когда мы прибегаем к работе на удалённом рабоче столе (RDP) через VPN-канал и приземляемся при этом дополнительно на виртуальный рабочий стол внутри компании, с которого уже сотрудник начинает использовать какие-то внутренние сервисы.

10 апреля, 2020