BIS Journal №3(42)/2021

19 августа, 2021

Три кита попали на мель. Как соединить работу дома и безопасность

Безопасность компании зиждется на трёх китах: люди, технические решения и процессы. Когда весь мир почти мгновенно перешёл «на удалёнку», то оказалось, что не подготовлены все три составляющих. И, конечно, была спешка, и неумолимо появились ошибки реализации.

Сейчас есть время пересмотреть использованные подходы и улучшить их. Что стоит выделить:

  • правильно организованное рабочее место сотрудника должно быть защищено;
  • сам сотрудник должен пройти минимальное обучение по правилам работы из дома;
  • корпоративные ресурсы должны быть защищены от атак с компьютеров сотрудников, как бы странно это ни звучало.

 

АРХИТЕКТУРА УДАЛЁННОГО ДОСТУПА

Первый важный вопрос нужно задать к вашей архитектуре удалённого доступа в сеть компании. Чаще всего мы видим простую ошибку: внутренние порталы выставлены в Интернет, где постоянно идут сканирования, и, соответственно, они сразу под атакой. Необходимо всегда использовать специальные защищённые VPN-подключения для доступа к внутренним ресурсам. Это резко снижает число доступных для атаки сервисов и соответственно число атак из Интернета. Но VPN – это, по сути, туннель из вашего дома внутрь компании. Никогда не нужно делать туннель сразу к конфиденциальным ресурсам без какой-либо фильтрации. Поставьте на все такие подключения шлюз безопасности, который будет проверять, кто, что, куда и почему отправляет. Такой фильтр создают устройства под названием межсетевые экраны нового поколения (сокращённо NGFW). Они «принимают на себя» все подключения по VPNи также все атаки. Вы сможете контролировать, какие пользователи, какие приложения и какие файлы используют из дома, и сможете блокировать атаки и утечки данных, поскольку в NGFW встроены современные технологии анализа трафика и защиты. Этот подход к построению удалённого доступа в мире называют Zero Trust Networks Access (ZTNA).

 

СВОЙ? ЧУЖОЙ?

Самой частой угрозой вашей сети является то, что логин и пароль сотрудника воруют. И тогда, если открыт какой-то ресурс компании для доступа из Интернета, то к нему уже не будут подбирать логин и пароль, а просто воспользуются украденным и будут работать от имени вашего сотрудника.

В случае с удалённой работой на первое место должны выйти системы, которые контролируют, кто сейчас зашёл в сеть: сотрудник или тот, кто украл его коды доступа. Такие системы тоже есть, они контролируют поведение сотрудников. Они называются у специалистов User Behavior Analysis (UBA).

Существует важное дополнение к технологии удалённого доступа под названием двухфакторная аутентификация. Причём мы рекомендуем ей пользоваться для доступа и к личным ресурсам: Gmail, Instagram, Facebook, интернет-магазинам, банкам и госуслугам. Что такое фактор? Это стандартный пароль, который сотрудник знает и хранит в секрете (желательно помнит наизусть). Что такое второй фактор? Это что-то дополнительное, что есть только у этого сотрудника: аппаратный генератор паролей, программа в смартфоне, набор одноразовых паролей на листочке или просто СМС, которая приходит только на телефон сотрудника. При доступе сотрудника в сеть важно проверять и пароль, и какой-то второй фактор из перечисленных. Это позволяет минимизировать угрозу того, что пароль украден, потому что второй фактор украсть не так просто.

 

ПОД ОДНУ ГРЕБЁНКУ. И ЭТО НЕПЛОХО

Не все компании могут позволить выдать сотруднику ноутбук домой. И если человек пользуется личным компьютером, то, скорее всего, он не защищён и его можно рассматривать как заражённый. Давать доступ с заражённого компьютера во внутреннюю сеть нельзя. Поэтому нужно обеспечить все компьютеры системами защиты. Современные системы защиты контролируют саму операционную систему и все приложения, а также могут вылечить компьютер от заражения. Но самое идеальное, если система защиты будет защищать чистую операционную систему, которая только что установлена. На рынке информационной безопасности сейчас звучит всё чаще слово eXtended Detection and Response (XDR), что означает, что система не только проверяет и блокирует уже известные исследователям угрозы, но и отслеживает поведение сотрудника и всех приложений на его компьютере. Такие решения поддерживаются крупными исследовательскими лабораториями, где круглосуточно следят за новыми видами атак и сразу же распространяют защиту всем своим заказчикам. Их интересной особенностью является то, что они смотрят не только то, что происходит на самом компьютере, но и то, что происходит в сети, – корреляция двух типов событий позволяет быстрее выявлять атаки, поскольку злоумышленнику не получается скрыться.

 

СВЕДЕНИЕ К НУЛЮ

И завершает всё перечисленное ещё одна технология, которая соединяет все проверки в одну: тот самый человек, с того самого компьютера, с той самой настроенной и включённой защитой на компьютере должен получить доступ к тому самому приложению, которое ему нужно по работе. Такая функция называется «проверка соответствия требованиям». Она должна быть реализована совместно в клиенте VPN и в NGFW, которые совместно дают доступ к нужным ресурсам, если ваш компьютер и вы сами прошли все проверки, заложенные службой безопасности. Это практически сводит до нуля возможности хакеров зайти к вам удалённо.

 

ОХ УЖ ЭТИ ДЕВУШКИ!

Важно коснуться обучения. Ваши специалисты по безопасности должны обучить всех не только правильному взаимодействию с собственными ресурсами компании, но и со всеми ресурсами Интернета: какие программы нельзя скачивать, почему нельзя публиковать данные о компании на форумах, как получить помощь, если что-то пошло не так. Например, я встречался с тем, что компьютеры девушек заражены вредоносным кодом, который, показывает порнокартинки, и они просто боятся обратиться в службу поддержки по морально-этическим соображениям. При этом наносится урон компании – вредоносный код продолжает распространяться на другие компьютеры по сети и через электронную почту. Так что анонимная служба спасения тоже должна быть, а её контакты должны быть всем известны.

Смотрите также