Константин Родин, Михаил Савельев, 23/11/22
Тема безопасного удаленного доступа стала особенно актуальной во время пандемии COVID-19 и продолжает оставаться в центре внимания. Многие организации оставили как минимум часть сотрудников на удаленке, а количество кибератак на российские компании по итогам I полугодия 2022 г. выросло в 15 раз по сравнению с аналогичным периодом прошлого года. Эксперты из компаний "АйТи Бастион" и "Гарда Технологии" оценили ключевые изменения в сфере безопасного удаленного доступа за последний год, назвали самые критичные угрозы при удаленном доступе к корпоративным ресурсам и очертили круг первостепенных задач в этом направлении.
.png?width=969&height=580&name=%D1%8D%D0%BA%D1%81%D0%BF%D0%B5%D1%80%D1%82%D1%8B%20(2).png)
Какие дополнительные угрозы появляются при удаленном доступе к корпоративным ресурсам?
Константин Родин, АйТи Бастион
Базовая угроза – это невозможность проверить, кто в данный момент на другом конце "провода". Даже наличие двухфакторной аутентификации зачастую не дает 100%-ной гарантии, что все хорошо. Пример тому – взлом Uber. То есть первая угроза – это утечка учетных данных.
Следующим этапом я бы выделил сложность контроля удаленного рабочего места и всей сети на той стороне. Тут можно привести пример из статистики коллег из РТ-Солар и Positive Technologies, где четко указан вектор увеличения числа атак через цепочки поставок. А это зачастую те самые удаленные пользователи в инфраструктуре. Подведу небольшой итог: основная новая угроза выражена в размытии периметра компании, который мы привыкли и научились защищать. Теперь в него входят и все "удаленщики", и облачные сервисы.
Вопрос в оценке критических и недопустимых событий, которые могут быть реализованы тем или иным образом. Но я бы начал именно с вопросов аутентификации и авторизации пользователей при удаленном доступе и реализации модели доступа, включая многофакторную аутентификацию. Это первый эшелон защиты – определить, может ли пользователь к тебе попадать и куда. Далее идет вопрос, по какому каналу он может попадать в инфраструктуру
и работать с ней. Здесь уже встает вопрос шифрования канала и организация соответствующего туннеля в инфраструктуру. Далее уже идут вполне стандартные рекомендации по сегментированию и минимизации рисков.
Михаил Савельев, Гарда Технологии
В целом список угроз при удаленном доступе мало отличается от обычной работы в офисе.
Среди них выделяются:
- некорректное распределение прав доступа к разного рода корпоративной информации, что влечет несанкционированный доступ к ресурсам компании;
- отсутствие обновлений;
- фишинговые атаки на пользователей.
Те компании, которые не могут выдать своим сотрудникам корпоративные устройства удаленного доступа, рискуют больше, поскольку взломанные незащищенные устройства могут быть использованы как трамплин для проникновения в корпоративную сеть, а также существенно выше вероятность утечки данных, сохраняемых на домашних компьютерах.
При этом наибольшую опасность несет не какая-то конкретная угроза, а в целом степень контролируемости и защищенности каналов удаленного доступа к периметровым ресурсам и внутренним сетям компании.
Какие задачи нужно решить для обеспечения защищенного удаленного доступа к корпоративной сети?
Константин Родин, АйТи Бастион
Выделю основные:
- Сперва решить, нужен ли он на самом деле. Шутка, но в ней много правды.
- Построить надежный защищенный туннель в инфраструктуру.
- Обеспечить многофакторную аутентификацию.
- Реализовать DMZ без прямого доступа к ресурсам.
- Построить систему доступа к ресурсам через PAM-систему с возможностью аналитики и фиксации инцидентов, в том числе поведенческой аналитики.
- Организовать механизмы аналитики и реагирования на инциденты удаленного доступа. здесь могут помочь как классическая SIEM, так и средства аналитики каждого из решений, обеспечивающих удаленный доступ.
Михаил Савельев, Гарда Технологии
- Четко определить перечень средств и способов, которыми разрешен удаленный доступ к информационным ресурсам компании как внутри периметра, так и внешним.
- Провести аудит соответствия реальной картины доступа.
- Организационно и технически обеспечить мониторинг доступа удаленных сотрудников к разрешенным им ресурсам, предусмотрев процедуры реагирования на аномалии.
- Контролировать каналы распространения доступной работникам конфиденциальной информации.
Доступ к особо важным ресурсам, компрометация которых может повлечь реализацию дорогостоящих для компании рисков, должен быть особенно строго контролируемым. В отдельные сегменты сети и/или к отдельным корпоративным приложениям удаленный доступ должен быть и вовсе принципиально запрещен.
Как убедиться, что выполнены все требования безопасности и информационные ресурсы надежно защищены?
Константин Родин, АйТи Бастион
Чек-лист может быть избыточным, но как минимум по некоторым из этих пунктов придется пройтись, чтобы оценить уровень и корректность изначальной постановки задачи:
- Сперва сформулировать задачи и уже на основе этого определить уровень защиты.
- Оценить риски и недопустимые события для компании, чтобы найти золотую середину.
- Провести корректную настройку базовых средств защиты инфраструктуры.
- Обеспечить отказоустойчивость и резервное копирование средств защиты.
- Определить корректный набор дополнительных средств защиты под решаемую задачу, к примеру в разрезе удаленного доступа это будет NGFW, PAM, MFA, средства сбора и аналитики событий (SIEM или собственные средства PAM и NGFW).
- Произвести тестирование системы и тесты на проникновения.
- Убедиться в наличии процессов информационной безопасности, а не только самих средств защиты. Есть регламенты реагирования, управления уязвимостями, резервного копирования и т.д. Одним словом, вам понятен механизм, по которому все "живет и работает", и вы его не придумываете на ходу.
- Актуализировать средства защиты под изменение инфраструктуры. Это важно, чтобы новые системы не выпадали из контура безопасности.
- Настроить системы мониторинга и реагирования. Если мы не знаем, что происходит, мы не можем управлять процессом.
И обязательно работайте с людьми, повышая их грамотность в вопросах информационной безопасности, так вы не только станете понятнее коллегам, но и предотвратите множество атак до их начала. Чем сложнее системы защиты, тем чаще для атаки используется самое уязвимое звено – человек.
Михаил Савельев, Гарда Технологии
- Проведен честный аудит, после которого все активы проинвентаризованы и известны службе ИБ. Кроме того, работники ИБ-подразделений понимают взаимосвязи процессов и информационных активов.
- Проведен анализ рисков.
- Проведен анализ защищенности активов.
- Информационная система не содержит недостатков и уязвимостей, или они закрыты компенсационными мерами.
- Все рисковые пути доступа в инфраструктуру, которые невозможно полностью закрыть, находятся под мониторингом.
- Службам ИТ и ИБ известны алгоритмы действий в случае выявления инцидентов. Данные алгоритмы протестированы, а сотрудники – натренированы на их проведение.
- Все указанные действия выполняются регулярно.
Это очень высокоуровневый перечень, на самом же деле такой чек-лист – тема даже не одной статьи.
Какие вопросы приходится решать поставщикам и заказчикам в связи с ужесточением санкционных условий?
Константин Родин, АйТи Бастион
Первый и основной вопрос – наличие качественных систем как ИТ, так и ИБ, которые могут покрыть функционал решений тех компаний, которые ушли с российского рынка. Благо этот вопрос решается уже не первый год, и определенная положительная динамика тут есть.
Другая задача, не менее важная, – это вопрос доказательства заказчикам того, что отечественные ИТ-решения надежны, функциональны и способны заменить иностранные аналоги. По данным минцифры, как минимум по номенклатуре уже сейчас в РФ имеется до 90% аналогов. И именно о них идет речь и работа между поставщиками и заказчиками. Это в первую очередь касается именно программного обеспечения. Вопросы относительно компонентной базы существенно сложнее, и пока они решаются в основном поставками извне.
Несмотря на всю сложность ситуации, ИТ-индустрия пока справляется. Для компаний в сфере ИБ это определенный вызов и способ показать себя в действии, то есть решить второй вопрос "своей зрелости". Да, сейчас намного сложнее, чем раньше: количество таргетированных атак выросло, как и само их суммарное количество. Усложнился процесс реализации проектов, завязанных на аппаратных платформах, но в целом я уверен, что отрасль продолжит расти во всех направлениях. А целенаправленное импортозамещение и стимулирование за счет этого производителей может положительно сказаться на всем рынке в целом. После ухода ряда иностранных игроков коммутационного оборудования и межсетевого экранирования эти ниши начали заполняться отечественными производителями. К примеру, выручка крупнейших отечественных ИТ-компаний за I полугодие 2022 г. выросла почти на 60%, выручка производителей и дистрибьюторов оборудования – до 40%. И такие тенденции наблюдаются по всей отрасли, особенно в части замещения иностранного ПО.
Михаил Савельев, Гарда Технологии
Основной вопрос – импортозамещение. Причем самое отрадное, что замещать нам надо только технику.
В том, что касается экспертизы специалистов, наши ребята вполне профессиональны и могут решать все необходимые задачи в ИБ. Да и многие из наших средств защиты вполне способны составить конкуренцию западным аналогам. Так что с противостоянием киберугрозам мы справимся.
А вот самый сложный вызов нового времени – переход к производству собственных аппаратных средств. В первую очередь я говорю об электронике (микро-, нано- и т.д.). В этом направлении придется приложить много усилий, однако специалисты у нас есть и в этой области. Важно, чтобы они получили должную поддержку.
Опубликовано в журнале "Системы безопасности" № 5/2022
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Фото: itcrackteam.com
