Подписка
МЕНЮ
Подписка

Ближайшие онлайн-мероприятия компании "Гротек"  30 мая. Защита периметра для объектов транспортной инфраструктуры 4 июня. HRTech: автоматизация рекрутинга, онбординга, оффбординга 6 июня. СКУД и видеоаналитика для автоматизации бизнес-процессов 7 июня. Защита верхней полусферы для крупных и распределенных объектов  Регистрируйтесь и участвуйте!

Безопасный удаленный доступ. Отечественные ИТ-решения надежны и функциональны

Константин Родин, Михаил Савельев, 23/11/22

Тема безопасного удаленного доступа стала особенно актуальной во время пандемии COVID-19 и продолжает оставаться в центре внимания. Многие организации оставили как минимум часть сотрудников на удаленке, а количество кибератак на российские компании по итогам I полугодия 2022 г. выросло в 15 раз по сравнению с аналогичным периодом прошлого года. Эксперты из компаний "АйТи Бастион" и "Гарда Технологии" оценили ключевые изменения в сфере безопасного удаленного доступа за последний год, назвали самые критичные угрозы при удаленном доступе к корпоративным ресурсам и очертили круг первостепенных задач в этом направлении.

ОБЗОРЫ ПО БЕЗОПАСНОСТИ >>

эксперты (2)

Какие дополнительные угрозы появляются при удаленном доступе к корпоративным ресурсам?

Константин Родин, АйТи Бастион

Базовая угроза – это невозможность проверить, кто в данный момент на другом конце "провода". Даже наличие двухфакторной аутентификации зачастую не дает 100%-ной гарантии, что все хорошо. Пример тому – взлом Uber. То есть первая угроза – это утечка учетных данных.
Следующим этапом я бы выделил сложность контроля удаленного рабочего места и всей сети на той стороне. Тут можно привести пример из статистики коллег из РТ-Солар и Positive Technologies, где четко указан вектор увеличения числа атак через цепочки поставок. А это зачастую те самые удаленные пользователи в инфраструктуре. Подведу небольшой итог: основная новая угроза выражена в размытии периметра компании, который мы привыкли и научились защищать. Теперь в него входят и все "удаленщики", и облачные сервисы.
Вопрос в оценке критических и недопустимых событий, которые могут быть реализованы тем или иным образом. Но я бы начал именно с вопросов аутентификации и авторизации пользователей при удаленном доступе и реализации модели доступа, включая многофакторную аутентификацию. Это первый эшелон защиты – определить, может ли пользователь к тебе попадать и куда. Далее идет вопрос, по какому каналу он может попадать в инфраструктуру
и работать с ней. Здесь уже встает вопрос шифрования канала и организация соответствующего туннеля в инфраструктуру. Далее уже идут вполне стандартные рекомендации по сегментированию и минимизации рисков.

Михаил Савельев, Гарда Технологии

В целом список угроз при удаленном доступе мало отличается от обычной работы в офисе.
Среди них выделяются:

  • некорректное распределение прав доступа к разного рода корпоративной информации, что влечет несанкционированный доступ к ресурсам компании;
  • отсутствие обновлений;
  • фишинговые атаки на пользователей.

Те компании, которые не могут выдать своим сотрудникам корпоративные устройства удаленного доступа, рискуют больше, поскольку взломанные незащищенные устройства могут быть использованы как трамплин для проникновения в корпоративную сеть, а также существенно выше вероятность утечки данных, сохраняемых на домашних компьютерах.
При этом наибольшую опасность несет не какая-то конкретная угроза, а в целом степень контролируемости и защищенности каналов удаленного доступа к периметровым ресурсам и внутренним сетям компании.

Какие задачи нужно решить для обеспечения защищенного удаленного доступа к корпоративной сети?

Константин Родин, АйТи Бастион

Выделю основные:

  • Сперва решить, нужен ли он на самом деле. Шутка, но в ней много правды.
  • Построить надежный защищенный туннель в инфраструктуру.
  • Обеспечить многофакторную аутентификацию.
  • Реализовать DMZ без прямого доступа к ресурсам.
  • Построить систему доступа к ресурсам через PAM-систему с возможностью аналитики и фиксации инцидентов, в том числе поведенческой аналитики.
  • Организовать механизмы аналитики и реагирования на инциденты удаленного доступа. здесь могут помочь как классическая SIEM, так и средства аналитики каждого из решений, обеспечивающих удаленный доступ.

Михаил Савельев, Гарда Технологии

  1. Четко определить перечень средств и способов, которыми разрешен удаленный доступ к информационным ресурсам компании как внутри периметра, так и внешним.
  2. Провести аудит соответствия реальной картины доступа.
  3. Организационно и технически обеспечить мониторинг доступа удаленных сотрудников к разрешенным им ресурсам, предусмотрев процедуры реагирования на аномалии.
  4. Контролировать каналы распространения доступной работникам конфиденциальной информации.

Доступ к особо важным ресурсам, компрометация которых может повлечь реализацию дорогостоящих для компании рисков, должен быть особенно строго контролируемым. В отдельные сегменты сети и/или к отдельным корпоративным приложениям удаленный доступ должен быть и вовсе принципиально запрещен.

All-over-IP 2024 12 – 13 ноября | живой старт  и встречи 14 ноября  – 6 декабря | онлайн

Как убедиться, что выполнены все требования безопасности и информационные ресурсы надежно защищены?

Константин Родин, АйТи Бастион

Чек-лист может быть избыточным, но как минимум по некоторым из этих пунктов придется пройтись, чтобы оценить уровень и корректность изначальной постановки задачи:

  • Сперва сформулировать задачи и уже на основе этого определить уровень защиты.
  • Оценить риски и недопустимые события для компании, чтобы найти золотую середину.
  • Провести корректную настройку базовых средств защиты инфраструктуры.
  • Обеспечить отказоустойчивость и резервное копирование средств защиты.
  • Определить корректный набор дополнительных средств защиты под решаемую задачу, к примеру в разрезе удаленного доступа это будет NGFW, PAM, MFA, средства сбора и аналитики событий (SIEM или собственные средства PAM и NGFW).
  • Произвести тестирование системы и тесты на проникновения.
  • Убедиться в наличии процессов информационной безопасности, а не только самих средств защиты. Есть регламенты реагирования, управления уязвимостями, резервного копирования и т.д. Одним словом, вам понятен механизм, по которому все "живет и работает", и вы его не придумываете на ходу.
  • Актуализировать средства защиты под изменение инфраструктуры. Это важно, чтобы новые системы не выпадали из контура безопасности.
  • Настроить системы мониторинга и реагирования. Если мы не знаем, что происходит, мы не можем управлять процессом.

И обязательно работайте с людьми, повышая их грамотность в вопросах информационной безопасности, так вы не только станете понятнее коллегам, но и предотвратите множество атак до их начала. Чем сложнее системы защиты, тем чаще для атаки используется самое уязвимое звено – человек.

Михаил Савельев, Гарда Технологии

  • Проведен честный аудит, после которого все активы проинвентаризованы и известны службе ИБ. Кроме того, работники ИБ-подразделений понимают взаимосвязи процессов и информационных активов.
  • Проведен анализ рисков.
  • Проведен анализ защищенности активов.
  • Информационная система не содержит недостатков и уязвимостей, или они закрыты компенсационными мерами.
  • Все рисковые пути доступа в инфраструктуру, которые невозможно полностью закрыть, находятся под мониторингом.
  • Службам ИТ и ИБ известны алгоритмы действий в случае выявления инцидентов. Данные алгоритмы протестированы, а сотрудники – натренированы на их проведение.
  • Все указанные действия выполняются регулярно.

Это очень высокоуровневый перечень, на самом же деле такой чек-лист – тема даже не одной статьи.

Какие вопросы приходится решать поставщикам и заказчикам в связи с ужесточением санкционных условий?

Константин Родин, АйТи Бастион

Первый и основной вопрос – наличие качественных систем как ИТ, так и ИБ, которые могут покрыть функционал решений тех компаний, которые ушли с российского рынка. Благо этот вопрос решается уже не первый год, и определенная положительная динамика тут есть.
Другая задача, не менее важная, – это вопрос доказательства заказчикам того, что отечественные ИТ-решения надежны, функциональны и способны заменить иностранные аналоги. По данным минцифры, как минимум по номенклатуре уже сейчас в РФ имеется до 90% аналогов. И именно о них идет речь и работа между поставщиками и заказчиками. Это в первую очередь касается именно программного обеспечения. Вопросы относительно компонентной базы существенно сложнее, и пока они решаются в основном поставками извне.
Несмотря на всю сложность ситуации, ИТ-индустрия пока справляется. Для компаний в сфере ИБ это определенный вызов и способ показать себя в действии, то есть решить второй вопрос "своей зрелости". Да, сейчас намного сложнее, чем раньше: количество таргетированных атак выросло, как и само их суммарное количество. Усложнился процесс реализации проектов, завязанных на аппаратных платформах, но в целом я уверен, что отрасль продолжит расти во всех направлениях. А целенаправленное импортозамещение и стимулирование за счет этого производителей может положительно сказаться на всем рынке в целом. После ухода ряда иностранных игроков коммутационного оборудования и межсетевого экранирования эти ниши начали заполняться отечественными производителями. К примеру, выручка крупнейших отечественных ИТ-компаний за I полугодие 2022 г. выросла почти на 60%, выручка производителей и дистрибьюторов оборудования – до 40%. И такие тенденции наблюдаются по всей отрасли, особенно в части замещения иностранного ПО.

Михаил Савельев, Гарда Технологии

Основной вопрос – импортозамещение. Причем самое отрадное, что замещать нам надо только технику.
В том, что касается экспертизы специалистов, наши ребята вполне профессиональны и могут решать все необходимые задачи в ИБ. Да и многие из наших средств защиты вполне способны составить конкуренцию западным аналогам. Так что с противостоянием киберугрозам мы справимся.
А вот самый сложный вызов нового времени – переход к производству собственных аппаратных средств. В первую очередь я говорю об электронике (микро-, нано- и т.д.). В этом направлении придется приложить много усилий, однако специалисты у нас есть и в этой области. Важно, чтобы они получили должную поддержку.

Опубликовано в журнале "Системы безопасности" № 5/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Форум "Технологии и безопасность" завершен. МАТЕРИАЛЫ НА САЙТЕ >>

Фото: itcrackteam.com

Темы:Информационная безопасностьУдаленный доступЖурнал "Системы безопасности" №5/2022
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ РЕКЛАМОДАТЕЛЕМ
Комментарии

More...