Работа удалённая, риски – под боком

Разговоры обходятся дешево, а веб-советов о том, как защитить свои ИТ-ресурсы и цифровые активы, когда сотрудники работают из дома из-за пандемии COVID-19, предостаточно. Но чего стоит эта «мудрость» на практике?

Давайте рассмотрим более тонкие моменты.

Плохой совет: просто расширьте существующую ИТ-инфраструктуру, и все будет в порядке.

Когда унаследованная инфраструктура рассматривается руководством, уровни обычно оцениваются в совокупности. Общая структура сети может иметь пропускную способность и время отклика, которые кажутся достаточными для ведения бизнеса.

Но рассмотрение только агрегатов игнорирует любую сегментацию, которая может происходить внутри унаследованного ресурса. Например, предварительное распределение ресурсов для центрально расположенных и удаленных пользователей происходит в пределах общего агрегата.

Хороший совет: не думайте, что устаревшая инфраструктура в достаточной степени обеспечит и поддерживает удаленную работу.

Грегг Зигфрид, директор Gartner по исследованиям в области облачных технологий и ИТ-операций, недавно был процитирован Diginomica. Он напомнил нам, что «многие организации используют традиционные корпоративные приложения «толстого клиента», которые никогда не были предназначены для работы со скоростью, превышающей 100 Мбит/с, между клиентами и серверами». Они не смогут работать через удаленные соединения с высокой задержкой и «могут быть просто непригодны для использования удаленно».

Плохой совет: пока вы убедитесь, что у удаленных сотрудников установлена последняя версия антивирусного программного обеспечения, ваш бизнес будет защищен.

Антивирусное программное обеспечение ищет статические данные, связанные с файлом или процессом, чтобы определить, является ли он вредоносным. Эти статические данные обновляются в последних версиях AV, чтобы отразить характеристики кода вредоносного ПО, которое было изменено или обнаружено с момента предыдущих обновлений.

Он может поймать вредоносы, а может и нет, и в этом случае будет слишком поздно предотвратить дальнейший ущерб. Вредоносный код, возможно, уже проник в периметр защиты организации и распространяется по сети.

Отсутствие надежности и эффективности – не единственные проблемы, с которыми приходится полагаться на AV-инструменты для обеспечения безопасности удаленных сотрудников. Знаете ли вы, что ведущие антивирусные пакеты, из-за их тесной интеграции с операционной системой, действительно были обнаружены исследователями как представляющие дополнительные риски?

Хороший совет: не полагайтесь только на антивирусное программное обеспечение. Это всего лишь одно точечное решение среди многих, направленных на защиту уязвимых конечных точек.

Вместо этого запланируйте, чтобы веб-эксплойты не доходили даже до устройств, выпущенных работодателем, или устройств BYOD. Программное обеспечение AV, например, рассматривает лишь небольшую часть возможных угроз, с которыми можно столкнуться. Модель угроз для конкретной ситуации всегда будет более сложной, чем просто (задокументированные) угрозы, исходящие от вредоносных файлов.

Опора только на один вид инструмента или механизма – другие примеры: VPN, веб-фильтрация, CASB, менеджеры паролей – часто создает ложное ощущение безопасности и оставляет более сложные угрозы, способные причинить системный ущерб.

Вместо этого рассмотрите платформу веб-изоляции, когда удаленные сотрудники подключаются к корпоративному порталу, бизнес-приложениям, облачным ресурсам или веб-почте.

Исследования показывают, что около 80% инцидентов, связанных с кибербезопасностью, связаны с браузером. Для безопасного доступа ИТ-отделам не нужно полагаться на традиционный коктейль точечных решений, которые в основном направлены на защиту браузера.

Плохой совет: ключом к защите ваших цифровых активов является политика удаленной работы (RWP) для сотрудников.

Эээ, нет. Большинство политик удаленной работы уже были функционально нарушены влево и вправо еще до того, как разразилась пандемия COVID-19.

По разным причинам компании сохраняют их ограниченные и высокоуровневые, без особого учета конкретных ситуаций.

Компании, которые создают RWP впервые, склонны переоценивать влияние этого положительного контроля. Действительно ли он эффективен в качестве инструмента для обеспечения комплексной безопасности и защиты данных, когда удаленные сотрудники выходят в Интернет? Нет.

И да, вам понадобится RWP в любом случае – если в основном в качестве документа, который корпоративный советник может предоставить страховщикам, судебным органам или регулирующим органам после утечки данных.

Хороший совет: не полагайтесь на RWP для предотвращения утечки данных.

Предотвратите попадание эксплойтов в конечную точку в первую очередь, приняв активные меры предотвращения. Подход и метод могут быть разными в зависимости от модели угроз ситуации, но требуется прямой метод, а не просто общая политика.

Кроме того, могут потребоваться возможности централизованного аудита онлайн-деятельности удаленных сотрудников, например, для обеспечения соответствия в регулируемых секторах.

Плохой совет: «Разверните VPN, и ваши данные и удаленные сотрудники будут в безопасности».

Многие руководства по удаленной работе рекомендуют «использовать VPN» для защиты вашей организации и ее удаленных сотрудников. В одном недавнем отчете указывается, что использование VPN в США и Канаде увеличилось на 36% во время пандемии коронавируса.

Хотя VPN может быть полезен для защиты сотрудников, работающих на дому, от случайного подслушивания, сам по себе он не обеспечивает действительно безопасный доступ.

В 2019 году различные поставщики VPN, такие как SSL VPN Пало-Альто, FortiGate VPN и Pulse Secure VPN, выпустили рекомендации и обновления из-за критических уязвимостей в своих устройствах.

Эти предупреждения и исправления были вызваны обнаружением нескольких уязвимостей в этих продуктах VPN исследователями безопасности Orange Tsai и Meh Chang из команды DEVCORE. АНБ даже напрямую отреагировало на эти проблемы, приняв ряд мер .

Исследователи безопасности сообщили, что более 14000 конечных точек Pulse Secure VPN все еще оставались уязвимыми более чем через три месяца после выпуска исправления поставщика для обнаруженной уязвимости (CVE-2019-11510). Такие задержки часто возникают из-за того, как обновляются VPN, как объясняется в статье, опубликованной Институтом разработки программного обеспечения Карнеги-Меллона.

Кажется, что VPN редко обновляются, поскольку ожидается (и необходимо), что они будут работать в любое время, чтобы гарантировать доступность связи.

И это только с точки зрения ИТ. Теперь рассмотрим последствия того, что подавляющее большинство новоиспеченных удаленных сотрудников настраивают своих VPN-клиентов дома, буквально оставив их на своих (BYOD) устройствах.

Короче говоря, VPN – это не панацея, которую делают многие руководства по удаленной работе. Как пишет в своем блоге специалист по общественным интересам и специалист по безопасности Брюс Шнайер, «предоставление людям программного обеспечения VPN для установки и использования без необходимости обучения – это рецепт ошибок безопасности, но отказ от использования VPN – еще хуже».

Итог: VPN без комплексной стратегии развертывания и ресурсов для ее выполнения вполне может увеличить риск для вашей организации.

Хороший совет: сделайте MFA активным в своем VPN.

CISA выпустила специальное предупреждение об использовании VPN в новой среде удаленной работы, в котором содержится ряд важных замечаний. В то время как агентство оставляет производителям устранение конкретных уязвимостей, в предупреждении рассматривается, как лучше всего использовать VPN на предприятии.

CISA отмечает, что по мере того, как организации используют виртуальные частные сети для удаленной работы, злоумышленники обнаруживают все больше уязвимостей и на них нацелены. Также отмечается, что организации могут иметь ограниченное количество VPN-подключений, после чего ни один другой сотрудник не сможет работать удаленно.

Из-за снижения доступности могут пострадать критически важные бизнес-операции, в том числе способность персонала ИТ-безопасности выполнять задачи кибербезопасности.

CISA также рекомендует компаниям внедрять многофакторную авторизацию (MFA) для всех VPN-подключений для повышения безопасности. Если MFA не реализован, то требование к удаленным работникам использовать надежные пароли может обеспечить некоторый – базовый – уровень защиты.

Смешанный совет: в целях безопасности используйте самую последнюю версию «безопасного» основного браузера.

Если вы все еще используете его, это имеет смысл. Теперь вопрос: что на самом деле означает ярлык «безопасный» для традиционных браузеров?
Немного, если присмотреться.

Все основные браузеры по-прежнему позволяют – потенциально вредоносному – коду из Интернета сохранять и выполнять на компьютере удаленного работника, откуда он может заразить корпоративную сеть и приложения.

Пока это все еще практическая реальность, мантра «обновите браузер» будет звучать пусто. «Бесплатные» браузеры по своей сути небезопасны, они предназначены для обмена пользовательскими данными и для продажи пользовательских данных сетям интернет-рекламы, которые часто также распространяют вредоносную рекламу.

Обновления не могут вылечить основное недомогание. Даже если они и сделали – они часто приходят слишком поздно или, если они доступны, откладываются ИТ-отделом, согласно исследованиям: 81% ИТ-директоров и руководителей по информационной безопасности откладывают критические обновления или исправления.

Готова ли ваша команда рискнуть, учитывая возросшую нагрузку на ваш ИТ-отдел в связи с режимом COVID-19?

Плохой совет: расширьте доступ к удаленной работе, разрешив сотрудникам подключаться к собственным ресурсам компании через доступ к удаленному рабочему столу.

Shodan, поисковая система для устройств, подключенных к Интернету, определила, что количество конечных точек RDP подскочило почти до 4,4 миллиона к концу марта по сравнению с 3 миллионами в начале года.

Это примерно 40%-ный скачок в период первоначального роста числа рабочих на дому в связи с COVID-19. Похоже, что многие организации в значительной степени полагаются на RDP для расширения удаленного доступа.

Одна из проблем заключается в том, что использование мощного протокола RDP в Windows может легко привести к расширению поверхности атаки организации, потому что его сложно развернуть, управлять и масштабировать даже при лучших обстоятельствах.

Хотя клиенты RDP доступны почти для всех операционных систем, устройств и браузеров, новоиспеченные удаленные сотрудники не могут настраивать их самостоятельно.

Сможет ли ваша ИТ-служба удовлетворить потребности в конфигурации большинства решений RDP?

Плохой совет: обратите внимание на замок в браузере, он защитит вас.
Замок в окне URL-адреса пользователя показывает либо «заблокировано», либо «разблокировано». Что это на самом деле означает?

Все, что указывает на то, что какой-то сертификат использовался или нет во время обмена данными между веб-сайтом и браузером.

Проблема здесь в том, что браузер не знает, были ли базовые сертификаты правильно проверены или выпущены.

Плохой совет: «Не волнуйтесь, на нас не стоит нацеливаться».

Организация может подумать, что она слишком мала или незначительна, чтобы привлечь внимание злоумышленника. Заблуждение здесь состоит в том, что считается, что целью может быть только ваша организация.

А как насчет ваших клиентов / клиентов, поставщиков и подрядчиков? А как насчет их деловых партнеров?

Сосредоточившись только на наиболее очевидном сценарии, вы рискуете упустить из виду влияние цифровой цепочки поставок, к которой подключена ваша организация.

Полезный совет: помните, что вы – часть сети. Истинной целью злоумышленника могут быть ваши клиенты или поставщики.

Атаки на цепочки поставок не новы. Злоумышленники используют возможности, которыми они могут воспользоваться, где бы и когда бы они ни находились.

Не позволяйте атакующим, которые могут выполнять более широкую миссию, дать точку опоры.

Внедрите дополнительные барьеры, такие как 2FA для входа, и потребуйте проверку учетных данных при переключении между ресурсами.

Плохой совет: «ИТ сейчас завалены COVID-19, поэтому звоните на горячую линию Microsoft».

Что может пойти не так? Слишком часто встречается то, что Джо или Джейн Юзер ищут в Интернете «Службу поддержки Microsoft» и в конечном итоге набирают номер прямо на жульничестве по горячей линии.

Или всплывающее окно может захватить их браузер, предлагая им позвонить по поддельному номеру «службы экстренной помощи». Это редко заканчивается хорошо, особенно когда мошенникам удается получить удаленный доступ к компьютеру пользователя.

Полезный совет: расскажите сотрудникам о мошенниках на горячей линии и о том, как они охотятся на своих жертв.

Плохой совет: часто меняйте пароль.

Национальный институт стандартов и технологий (NIST) выпустил официальные рекомендации NIST Special Publication 800-63-3 на 2019 год.

Хотя в исходных рекомендациях по паролям NIST 800-63, опубликованных в 2017 году, не произошло серьезных изменений, одно отличие бросается в глаза, поскольку оно отражает явный сдвиг в мышлении.

Основное изменение состоит в том, что NIST теперь рекомендует, чтобы правильно сформированные пароли не «уходили в прошлое», что означает, что их изменение больше не является требованием (для пользователей из федерального правительства). Было обнаружено, что частая смена паролей приводит к обратным результатам из-за ненужного увеличения общей сложности.

Хороший совет: используйте 2FA/MultiFactorAuthorization.

2FA может быть очень эффективным методом повышения безопасности. Но способ его использования может быть столь же важным, как и включение его в первую очередь. Например, ответы на вызовы 2FA могут быть полными предложениями, которые можно легко запомнить, без необходимости хранить их в другом месте. Короче говоря, их следует использовать регулярно.

Использование пароля было постоянной головной болью. Роль паролей в аутентификации изменилась с годами. Хотя пароли когда-то были основным средством аутентификации, чтобы быть эффективным.

Удаленная работа существует уже давно. Но недавние события значительно увеличили число тех, кому нужно быстро освоить его использование. В спешке с продвижением WFH не упускайте из виду принципы, которые хорошо работали в организациях в прошлом и могут быть изменены в соответствии с «новой нормой».