Риски ИБ после возвращения в офис
Начиная с прошлой недели в Москве официально был отменен режим самоизоляции и постепенно многие организации начали открываться и опять работать. Поэтому теперь всё чаще обсуждается вопрос — а чего ждать от возвращения в офисы? В эфире программы «ИБшник на удалёнке» компании Positive Technologies руководитель отдела аналитики безопасности Евгений Гнедин попытался ответить на него.
По его словам, компании ещё до карантина старались как-то контролировать свою инфраструктуру, те системы, которые они используют и во внешней, и во внутренней сети, но в целом у них не очень хорошо получалось. Согласно статистике пентесов Positive Technologies, в прядка 90% компаний можно проникнуть извне во внутреннюю сеть в результате кибератаки. А если говорить про развитие внутри, то там 100% результативность, то есть обычно можно получить привелегии домен-админа или интерпрайз-админа. Выходит, что даже в обычное время крайне трудно контролировать безопасность своей инфраструктуры. «А здесь получается такая стрессовая ситуация, когда нужно вынести многие сервисы за периметр, вывести рабочие станции сотрудников за периметр...и в целом никто не был к этому готов. Кто-то успел буквально за несколько недель придумать какие-то новые процессы и попытался их реализовать, для кого-то это в принципе была неожиданность. Поэтому здесь самые главные риски в том, что за такое короткое время очень сложно обеспечить и непрерывность бизнес-процессов, и ещё и ИБ. Естественно, компании всегда ориентируются на бизнес-процессы — всё таки для них главное, чтобы бизнес не встал», — уточнил Евгений Гнедин, отвечая на вопрос про риски ИБ с точки зрения быстрого и неожиданного перехода на удалённый режим работы.
Также согласно проведённому компанией опросу, порядка 80% специалистов ИТ и ИБ пришлось работать со своих личных устройств либо частично, либо полностью. Поэтому именно использование личных устройств вносит основные риски, так как у служб безопасности практически нет возможности контролировать сотрудников и их компьютеры. В то же время если сотрудникам выдавались корпоративные ноутбуки или рабочие станции из офиса, то велик риск возврата устройства, заражённого вредоносным ПО (человек мог сделать это нечаянно, мог по незнанию установить что-то, скачать с какого-то сайта или ему фишинг пришёл). Поэтому когда сотрудники возвращают корпоративную технику не стоит сразу подключать её к корпоративной сети. «Один такой ноутбук, который заражён, включённый в сеть компании, может заразить все устройства. Мы уже слышали про распространение червей и так далее, поэтому не хотелось бы этого повторять. Поэтому, естественно, перед тем как использовать эти ноутбуки дальше внутри инфраструктуры компании, подключать их в сеть, нужно их проверить, нужно посмотреть не было ли оно заражено, если есть какие-то подозрительные файлы, проверить их в песочнице. Если, например, сотрудники ИТ захотят их сразу чистить и у них нет планов подсоединять их в сеть, то конечно же стоит скопировать оттуда журнал событий, чтобы можно было инциденты расследовать. Если всё удалить, то потом в последствии не возможно будет понять, какой инцидент был, откуда он пришёл и так далее», — пояснил Евгений Гнедин.
Другой риск — пароли. Одна история, когда речь идёт о личном ноутбуке, и тут, как правило, большинство сотрудников могут вообще не ставить пароль на него. Другой вопрос — корпоративные устройства. Евгений Гнедин рекомендовал сбросить все пароли, когда сотрудники вернут технику в офис. Это необходимо в том случае, если пароль уже вдруг утёк, попал в базы, но злоумышленники им ещё не успели воспользоваться. При этом для пользователей это не несёт никакой нагрузки, просто придумают новый пароль, может быть даже более сложный. «И ещё совет. Если во время карантина, удалённой работы ИТ-департамент как-то упрощал парольную политику, например, в части количества попыток ввода пароля, то при каком-то локальном подключении из офиса стоит парольную политику возвращать в прежнее состояние, ужесточать её, сокращать количество попыток ввода, чтобы будущие попытки атак на систему не увенчались успехом», — порекомендовал эксперт.
Кроме того есть риск, что конфиденциальная информация во время удалённой работы могла быть скопирована либо на рабочий компьютер, либо на флешку. Как правило, на личных устройствах нет никаких агентов, систем защиты, никаких DLP, сотрудники наверняка могут копировать всё, что им нужно, куда им нужно, сбрасывать на флешки. При этом если речь идёт о нелояльном сотруднике, инсайдере, его действия невозможно отследить, и компании приходится принимать этот риск. Но если речь идёт о рядовом сотруднике, который не относится к ИТ или к ИБ, который не понимает ценность информации, угроз ИБ, то он может копировать эту информацию не из злого умысла: может быть ему удобно, чтобы это лежало у него на флешке где-то, может быть ему удобно, чтобы это лежало на его личном ноутбуке. «Ему нужно объяснять, с ним нужно проводить работу разъяснительную, помогать. Когда он возвращается в офис, нужно объяснить, что нужно удалить эту информацию, нужно спросить, какую информацию он копировал, где она лежит, то есть нужно помочь просто человеку», — поделился Евгений Гнедин.
Отвечая на вопрос о личном впечатлении о переходе на удалённый режим работы и открытиях после возвращения в офис, он ответил, что был удивлён слаженной работой разных команд внутри одной компании, как люди отнеслись к удалёнке, как было организовано взаимодействие. А также он отметил, что бизнес компании пошёл дальше, что он нигде не притормозил, а может быть где-то ускорился и повысил своё качество,
«Я был очень удивлён, что это действительно работает, что это в принципе возможно и что это на самом деле не страшно, удобно. И наши команды защитников, SOC тоже готовы обеспечивать защищённость компании даже в таких условиях. В принципе, если построить переход на удалёнку правильно, то в этом страшного ничего не будет. Главное, подойти к этому с ответственностью и пониманием угроз ИБ, всё учесть», — заключил Евгений Гнедин.