Нулевое доверие к каждому сотруднику на удаленке
Такого принципа придерживаются в компании Palo Alto Networks, которая является лидером на рынке сетевой безопасности и производителем межсетевых экранов нового поколения. Об этом рассказал Денис Батранков, консультант по информационной безопасности, Palo Alto Networks в рамках онлайн-конференции «Вирусы, от которых не защитит карантин. Киберриски удалённой работы», организованной 28 мая ИД «Коммерсантъ».
«Если в компании больше трёх сотен сотрудников, то с большой вероятностью один из компьютеров находится в какой-то бот сети, – отметил в начале своей презентации Денис Батранков. – Сегодня свершилась цифровая трансформация, о которой мы так долго говорили. У многих компаний возник вопрос – как теперь защищать сотрудников, которые работают удалённо и как их контролировать? Здесь есть несколько методик, и я хотел бы рассказать, как мы подошли к этому вопросу».
Необходимо начать с рисков. Очень часто люди понимают, что для доступа к компьютеру внутри сети и для доступа ко всем соответствующим ресурсам, нужно сделать VPN-канал. При этом его пытаются установить на домашний компьютер. В чём здесь проблема? «Я лично домашний компьютер сразу рассматриваю как взломанный, т.е. вместе с сотрудником на этом же компьютере одновременно сидит и хакер, он тоже по VPN войдёт во внутреннюю сеть, получит логин и пароль, сможет поставить себе VPN-клиент и получить доступ к другим системам, поскольку он может читать экран, слушать звук, смотреть нажатие клавиш и получить доступ даже к личным ресурсам – интернет-банкам, почте и т.д. Соответственно он может производить атаки и на других сотрудников с этого компьютера. Здесь достаточно много угроз, которые нужно блокировать. Кроме того, нельзя сбрасывать со счетов, что удалённый компьютер или ноутбук могут банально украсть», – отмечает Денис Батранков.
«Поэтому наш метод простой – нулевое доверие к каждому сотруднику, который работает удалённо, в том числе к себе, – говорит эксперт. – Почему? Я, будучи безопасником с двадцатипятилетним стажем, понимаю, что клик на любую ссылку может заразить компьютер. Поэтому нужно брать под контроль весь софт на рабочих станциях и на смартфоне, все подключения сотрудника с рабочей станции и все облачные ресурсы».
Один из заказчиков компании подсказал, какими приложениями обычно пользуются сотрудники – Твиттер, ВКонтакте, Инстаграм. Наверное, самое страшное здесь – это файлообменники, куда можно скопировать конфиденциальные данные в том числе. Поэтому основы безопасности удалённых рабочих мест описаны достаточно широко. Список их выглядит следующим образом.
Первое – обновить операционную систему, приложения и плагины к ним.
Второе – запустить активную защиту рабочей станции, например, EDR/XDR.
Третье – зашифровать диски для защиты от хищений, например, встроенными средствами операционной системы.
Четвёртое – подключаться к компании по IPSEC или SSL, VPN-каналу, например, Global Protect.
Пятое – авторизоваться, используя два фактора, например, пароль и ОКТА.
Шестое – использовать персональный firewall, например, встроенный в Windows.
Седьмое – делать бекапы и прочее.
Это типовые вещи, которые обычно делают все айтишники. Но на этом нельзя останавливаться.Должна быть реализована многофакторная аутентификация. Это Palo Alto Networks и делает для своих клиентов.
Таким образом, цифровая трансформация сейчас идёт к тому, что защита усложнилась – появились технологии нового поколения и последние пять лет заметно, что многие заказчики стали их применять, кто-то ещё только изучает.
В любой корпоративной сети используется термин многоэшелонированная защита, которая состоит из двух основных компонентов – защиты сети и защиты хоста. Это значит, что в компании есть и межсетевая защита, обычно представленная межсетевым экраном нового поколения. Присутствует также хостовая защита – на рабочей станции стоит софт, который контролирует, что делает сотрудник. У Palo Alto Networks есть два такие продукта – NGFW (Next-Generation Firewall) и Cortex XDR.
Первый – сам представляет из себя многоэшелонированную защиту, это достаточно сложный продукт и, к сожалению, дома его использовать нельзя. И нужно решать вопрос следующим образом: как сделать так, чтобы сотрудники могли попадать на такие средства защиты удалённо и чистить свой трафик при помощи этих удалённых механизмов.
По словам Дениса Батранкова, проще всего поставить хостовую защиту – она управляется из единой точки и содержит все необходимые компоненты. Именно таким является решение Cortex XDR.
