Олег Ассур, Дарья Орешкина, Никита Семенов, Михаил Кадер, Игорь Собецкий, Леонид Чуриков, 15/11/21
Удаленка ворвалась в нашу жизнь неожиданно и, кажется, навсегда. Новый уклад принес как преимущества, так и недостатки и однозначно прибавил работы специалистам по информационной безопасности. Мы собрали их за виртуальным круглым столом, чтобы обсудить угрозы безопасности данных при удаленной работе, способы их минимизации, технологии защиты, методы аутентификации и др.
-3.png?width=1066&name=1%20(1)-3.png)
-4.png?width=1068&name=1%20(2)-4.png)
Каковы наиболее серьезные угрозы безопасности данных при удаленной работе?
Олег Ассур, НИИ СОКБ
Первая угроза – несанкционированный доступ посторонних лиц к корпоративным данным с использованием удаленного рабочего места сотрудника компании.
В связи с тем, что удаленный доступ осуществляется из-за пределов контролируемого компанией периметра, вероятность использования корпоративного автоматизированного рабочего места несотрудниками возрастает. Реализация угрозы упрощается за счет того, что физический доступ к удаленному рабочему месту практически не ограничен, корпоративные политики безопасности на удаленном рабочем месте ограничены, мобильные рабочие места зачастую находятся вне системы централизованного управления, чаще теряются или становятся предметом хищения.
Вторая угроза – несанкционированный доступ посторонних лиц к корпоративным данным в результате перехвата данных в каналах связи общего пользования. Использование общедоступных беспроводных сетей для удаленной работы обеспечивает не только удобство работы, но и удобство перехвата и анализа трафика для злоумышленника. Современные средства анализа трафика позволяют обнаруживать имена и пароли для доступа к корпоративным ресурсам, коды подтверждения для доступа в корпоративную сеть и другие служебные данные.
Третья угроза – несанкционированное разглашение (передача/публикация) корпоративных данных сотрудниками компании за счет использования неконтролируемых каналов утечки информации (передача корпоративных данных с помощью мессенджеров, социальных сетей и т.д.). защита от реализации угрозы возможна только при использовании корпоративной системы управления удаленными рабочими местами.
Дарья Орешкина, Web Control
Угрозы безопасности данных ярко можно увидеть из жизненных примеров:
- Удаление. Администратор случайно удалил несколько файлов и папок, которые содержали системные и пользовательские данные.
Проблема была замечена не сразу. Кто удалил, что именно надо восстановить? Зачастую это непростой вопрос, особенно в условиях необходимости скорейшего реагирования. - Подмена. Завладев логином и паролем от системы, хакер решил сделать себе возможность скрытного управления системой. Были изменены некоторые системные файлы.
- Несанкционированное копирование. Незадачливому подрядчику требовался набор "живых" данных для теста сторонней системы. Недолго думая, он подключился к обслуживаемой системе заказчика и скачал себе базу с чувствительными данными.
Никита Семенов, ТАЛМЕР
Угрозой безопасности данных при удаленной работе прежде всего является сам факт удаленной работы. В офисе сотрудники находятся в контролируемой зоне, работают в контролируемой информационной и физической среде, сети и на контролируемых АРМ. Находясь на удаленке, сотрудники начинают работать за пределами контролируемой зоны, вследствие чего невозможно управлять окружением, людьми, которые находятся рядом с вашим работником, ведя к "компрометации через плечо". Ситуация усугубляется кафе, коворкингами и прочими людными местами.
Многие компании также не запрещают работать с личного устройства, при этом не применяют концепцию BYOD и не контролируют безопасность конечной точки, применяя только технологию RA VPN.
Михаил Кадер, CISCO
Я бы отметил следующие основные угрозы:
- Несанкционированное подключение при использовании ненадежных методов аутентификации.
- Хищение или утечка данных при избыточных привилегиях удаленных пользователей.
- Проникновение вредоносного программного обеспечения, которое было на домашнем компьютере пользователя.
- Использование злоумышленниками компьютера пользователя, особенно при одновременной работе в Интернете и корпоративной сети, как шлюза в корпоративную сеть.
Игорь Собецкий, МОНТ
Специфические угрозы безопасности данных при удаленной работе:
Примеры реализации таких угроз:
- На сервере удаленного доступа компании использовалась бездумно скопированная политика безопасности. После пяти неверных попыток входа соответствующая учетная запись блокировалась на 30 мин., а после еще пяти попыток блокировалась постоянно, вплоть до обращения к системному администратору компании. Неизвестный злоумышленник начал Brute Force паролей к известным ему учетным записям сотрудников компании. Спустя короткое время примерно 60% сотрудников потеряли доступ в корпоративную сеть, а их звонки практически парализовали работу системного администратора. На восстановление работоспособности ушло более четырех часов.
- Сотрудник компании использовал для удаленного доступа в корпоративную сеть личный персональный компьютер. Этим же компьютером воспользовался его сын. Ребенок скачал из сети "Интернет" программу, якобы позволяющую корректировать школьные оценки в электронном журнале. При установке чудо-программы требовалось отключить антивирусную программу, что ребенок и сделал. В результате компьютер был заражен троянской программой, которая сработала, когда сотрудник снова подключился к корпоративной сети. Работа компании была парализована в общей сложности на два рабочих дня.
Леонид Чуриков, СёрчИнформ
Имеет смысл ранжировать угрозы не по "степени тяжести", а по актуальности. Чаще всего компании сталкиваются с потенциально опасными ситуациями, связанными с технической организацией бизнес-процессов на удаленке:
- Сбои корпоративных сервисов из-за недостаточной пропускной способности каналов. Не выдержав нагрузки от множества удаленных подключений, корпоративные системы начинают "виснуть", а операции – срываться.
- Компрометация трафика между рабочими сервисами и ПК сотрудников. Если не защищен канал удаленного подключения к CRM, сетевым папкам, корпоративной почте и т.д., все данные, которыми они обмениваются с ПК пользователей, смогут перехватить внешние злоумышленники.
- Распространение вирусов с личных ПК. Работодатель не может проконтролировать, есть ли на таких машинах хотя бы простейшие средства защиты, поэтому существует вероятность заражения через них корпоративной сети.
Не менее критичны риски, связанные с человеческим фактором:
- Ошибки в работе. В новых условиях сотрудники с недостаточным уровнем компьютерной грамотности способны допускать ошибки: пользоваться личной почтой и соцсетями для обсуждения рабочих вопросов, заливать служебные документы в публичные файловые хранилища и т.д. Если переход на удаленку срочный, в авральном режиме администраторы сети могут неправильно настроить права удаленных пользователей, например открыть доступ к базе с конфиденциальным данными рядовым сотрудникам. Все это грозит случайными утечками информации.
- Мошеннические действия со стороны сотрудников. Люди, способные пойти против компании ради личной выгоды, есть практически в каждом коллективе. Когда персонал оказывается вне поля зрения работодателя, увеличивается число тех, кто продает секреты компании конкурентам, а данные клиентов (контакты, платежные реквизиты и др.) – в даркнете. По оценкам экспертов, в режиме удаленной работы количество таких инцидентов вырастает вдвое.
- Нарушения дисциплины. Даже в офисе до 30% времени сотрудники тратят на разговоры, чаепития и перекуры. На удаленке гораздо больше отвлекающих факторов и эффективность работы еще больше снижается.
Как минимизировать перечисленные угрозы безопасности?
Олег Ассур, НИИ СОКБ
Угрозы, связанные с перехватом данных в каналах общего пользования, можно минимизировать с помощью использования VPN.
От угроз, реализуемых на клиентских устройствах, защищаются иначе.
Очевидной кажется потребность в антивирусном ПО, чтобы не допустить попадания в корпоративную сеть файлов, которые могут навредить ей или данным, которые в ней находятся. Но и здесь есть нюансы. Например, для iOS антивирусного ПО нет. Его просто нельзя разработать, потому что Apple не дает приложениям доступа к файлам на устройстве. В этом случае нужно ограничить перечень приложений, которым разрешен доступ в корпоративную сеть. Это делается с помощью настройки Per-App VPN, которая доступна при использовании систем управления мобильностью (Enterprise Mobility Management, EMM).
EMM-системы, или UEM-системы (Unified Endpoint Management), как их принято называть после того, как с их помощью стало возможным управлять ПК и ноутбуками, могут минимизировать следующие угрозы:
- Потеря или кража устройства. устройство можно дистанционно стереть или заблокировать и попытаться найти по данным GPS/ГЛОНАСС.
- Разглашение конфиденциальной информации. на устройстве можно заблокировать личные сервисы или изолировать их от корпоративных.
Можно ограничить передачу конфиденциальной информации с помощью различных интерфейсов передачи данных – USB, Bluetooth и др. - Программный взлом устройств (Root, Jailbreak). При выявлении первых признаков взлома с устройства должна быть удалена чувствительная информация и доступ устройства в корпоративную сеть должен быть заблокирован.
Дарья Орешкина, Web Control
Если администратор пароль от целевой системы не знает, сетевой доступ организован так, что подключиться можно только через точку контроля, а именно РАМ-систему, то владельцу системы это дает широкие возможности контроля действий как администраторов, так и бизнес-пользователей.
Никита Семенов, ТАЛМЕР
Наш опыт и опыт наших заказчиков говорит о том, что для минимизации угроз безопасности, связанных с удаленным доступом, необходим комплексный подход. Прежде всего, абсолютному большинству компаний требуется понять, что RA VPN с личного устройства не панацея. Необходимо использовать целый комплекс средств защиты – EDR и антивирусные системы для защиты конечных точек, PAM для защиты административного доступа, IdM для управления идентификационными данными, EMM-решения для обеспечения BYOD и, конечно, VDI для исключения вывода чувствительных данных за контур безопасности. Иными словами, требуется максимально разделить рабочую и личную зоны, а также обеспечить безопасность обеих.
Крайне немаловажно не забыть о повышении осведомленности пользователей, это поможет избежать простых, но крайне опасных атак.
Михаил Кадер, CISCO
Здесь можно говорить о ряде стандартных методов, позволяющих эффективно защититься от таких угроз. Вообще весь комплекс решений укладывается в современный подход обеспечения безопасности в рамках модели с нулевым доверием – Zero Trust. В его рамках есть три подраздела: защита пользователя, защита приложений и защита сети.
В рамках защиты пользователя можно говорить о многофакторной аутентификации, проверке и приведении рабочего места пользователя в соответствие с корпоративными требованиями по информационной безопасности, контроле доступа к внешним интернет-ресурсам, а также локальной защите от вредоносного программного обеспечения. защита приложений – это борьба с уязвимостями, мониторинг, контроль взаимодействия сервисов и их компонент, также программно-управляемая микросегментация и использование минимально необходимого набора привилегий пользователя.
Говоря о защите сети, в первую очередь мы имеем в виду программно-управляемую сегментацию для снижения поверхности возможной атаки, ограничения доступа пользователей только к необходимым им ресурсам, а также необходимость сбора и анализа сетевой телеметрии для оперативного обнаружения широкого класса атак, начиная от эпидемии вредоносного программного обеспечения и заканчивая хищением информации.
Игорь Собецкий, МОНТ
Для минимизации угроз безопасности следует использовать комплекс мер, как минимум организационных:
Технические меры:
- На устройствах, используемых для удаленного доступа в сеть компании, установить средства для шифрования всего жесткого диска на случай утери или кражи устройства.
- Установить на таких устройствах программные средства типа "антивор", обеспечивающие контроль местонахождения устройства, а при необходимости – его блокирование и уничтожение информации на жестком диске.
- Предусмотреть либо двухфакторную аутентификацию при удаленном доступе в корпоративную сеть (код доступа направляется на мобильный телефон сотрудника), либо аутентификацию на основе криптографических методов, исключающую возможность подмены или использования украденного абонентского устройства.
Леонид Чуриков, СёрчИнформ
Желательно обеспечить сотрудников компьютерами для работы из дома. На этих ПК должны стоять средства защиты (антивирус и настроенный файрвол) и актуальные версии ОС, с запретом на доступ сотрудников к BIOS, чтобы исключить возможность загрузки другой версии операционки с флешки.
Жесткие диски требуется зашифровать и настроить резервное копирование содержимого в корпоративное облако. Так компания не потеряет данные, даже если диски извлекут или повредят.
Если возможности выдать корпоративную технику нет, то следует обеспечить терминальный доступ к корпоративному оборудованию по двухфакторной авторизации. Тогда личные ПК сотрудников будут работать только для ввода и вывода информации, как удаленный монитор, клавиатура и мышь.
Это не отменяет традиционных методов контроля продуктивности, таких как регулярные (желательно ежедневные) отчеты, контрольные звонки и видеоконференции, таск-трекеры для отслеживания этапов выполнения задач.
- SIEM-системы для мониторинга оборудования, ПО и активности учетных записей пользователей.
- DAM-решения (Database Activity Monitoring) для контроля данных в СУБД и бизнес-приложениях.
- DCAP-решения (Data-Centric Audit and Protection) для мониторинга файловых хранилищ. 4. DLP-системы (Data Leak Prevention) для контроля каналов передачи информации и действий пользователей за ПК.
Вышеперечисленные процессы и до пандемии уже были выстроены и использовались в некоторых компаниях для контроля за работой сотрудников в командировках. Командировочный – это, по сути, и есть сотрудник на удаленке. Другое дело, что к командировке компании могут подготовиться, а к вынужденному переводу всего персонала на удаленку – не всегда.
С какими трудностями обычно сталкиваются специалисты служб безопасности при обеспечении безопасности удаленных рабочих мест?
Олег Ассур, НИИ СОКБ
Наибольшие трудности вызывает защита доступа с личных устройств. Ее реализация – это сложное и дорогое удовольствие.
Сложное, потому что устройства и операционные системы разные. Windows отличается от macOS. iOS отличается от Android и т.д. Кроме того, сборки Android разных производителей отличаются друг от друга.
Унификация доступа и технологий защиты в данном случае вряд ли возможна. Придется или мириться с ограничениями, которые могут быть разными на каждой новой модели устройств, или усложнять порядок и технологии доступа, снижая эффективность работы сотрудников.
Дорогое, потому что разработка корпоративного софта для ограниченного набора устройств стоит на порядок дешевле разработки софта для любых устройств, у которых могут быть разные экраны, разные версии прошивки и т.д.
Когда речь идет о приложениях Facebook с миллионами пользователей, то их работу обеспечивают тысячи разработчиков по всему миру.
Софт для B2B редко может похвастаться такими цифрами. Поэтому увеличение числа разновидностей устройств ведет к увеличению числа ошибок и уязвимостей.
Еще одна типовая сложность – это выполнение требований регуляторов в области ИБ. В случае с защитой ПК и ноутбуков набор требований и типовых средств защиты уже не вызывает вопросов, чего нельзя сказать про защиту смартфонов и планшетов.
Может сложиться впечатление, что защитить мобильные устройства таким образом, чтобы с них можно было получать доступ, например, к государственным информационным системам (ГИС), нельзя. Но это не так, и тому есть много примеров.
Аналогично при защите ПК и ноутбуков нужно руководствоваться следующим правилом: если операционная система не содержит сертифицированные механизмы защиты, то актуальные угрозы должны минимизироваться с помощью наложенных средств защиты информации, таких как VPN, EMM/UEM и антивирус. Комплект из набора этих средств защитил уже не один смартфон и планшет, получающие доступ к ГИС и другим критическим информационным системам как в B2G, так и в B2B.
Дарья Орешкина, Web Control
Из трудностей организации удаленных подключений всегда отмечается большое количество различных типов систем, для которых требуется кастомизировать сценарии подключения.
Никита Семенов, ТАЛМЕР
Самый большой вызов – человеческий фактор.
Даже при работе из офиса бывает сложно объяснить бизнесу необходимость средств защиты и правильно использовать ROSI. Вдвойне сложно объяснить это пользователям. И в 10 раз сложнее это сделать, если все работают удаленно.
Михаил Кадер, CISCO
Самая большая сложность, как обычно, – это пользователи. Помимо поэтапного внедрения тех технологий, которые мы обсуждали выше, необходимо внедрять технологии обучения и самообслуживания пользователей. Технические средства – это понятно и внедряемо, а вот изменение менталитета пользователей в сторону того, что они тоже отвечают за защиту своей организации, на мой взгляд, самая сложная задача.
Игорь Собецкий, МОНТ
Основные трудности:
Даже компании, имевшие свободные средства, не смогли купить и завезти эту технику: компьютерное производство встало вместе с логистикой.
На втором месте оказалась проблема с отсутствием регламентов построения безопасной ИТ-инфраструктуры и бизнес-процессов. От этого пострадали 39% компаний. Следующей по значимости стала нехватка ИТ- и ИБ-специалистов, затронувшая 28% организаций. 19% респондентов столкнулись с нехваткой программных средств (в том числе лицензий на системы контроля). Замыкает пятерку проблем серверное оборудование, которого не хватило в 14% опрошенных компаний.
В новых условиях специалистам стало сложно не только обеспечивать безопасность, но и оценивать обстановку. В 90% компаний ИТ-инфраструктуру, включающую в себя рабочие места сотрудников на удаленке, признали менее безопасной. При этом выявить точное количество инцидентов и оценить их динамику в 2020 г. смогли на 20% меньше специалистов, чем в год, предшествовавший пандемии и самоизоляции.
Как выбрать оптимальный набор технологий для оперативного налаживания удаленной работы? От чего зависят критерии этого выбора?
Олег Ассур, НИИ СОКБ
Два основных критерия выбора инструментов для работы – это удобство и безопасность. Если инструменты удобны, сотрудникам проще работать эффективно. При этом удобство не может быть единственным критерием. Например, сложно себе представить сотрудника нефтяной компании, который готовит проект бюджета в Google-таблицах.
Баланс можно найти следующим образом.
Зафиксировать требования ИБ. Определить, какие из них можно реализовать наложенными средствами защиты. Оставшиеся требования ИБ принять как ограничения при выборе прикладного ПО. Чем больше требований можно реализовать наложенными средствами защиты, тем
больше пространство выбора прикладных сервисов.
Дарья Орешкина, Web Control
В любой, даже небольшой, компании очень много разнотипных и специфических систем.
Крайне важно, чтобы ваша РАМ-система была не просто гибкой в настройках, но и производитель активно дорабатывал сценарии интеграции согласно вашим потребностям.
Никита Семенов, ТАЛМЕР
Оптимальный набор для оперативного налаживания удаленной работы, назовем его "джентльменский набор", состоит из VDI, IdM, EMM, PAM и EDR, причем зачастую первые три средства защиты можно объединить. Нет критериев выбора этих технологий: они вам нужны для того, чтобы назвать свой удаленный доступ не только оперативно налаженным, но и безопасным. Для этого вы должны иметь платформу и защищенные каналы, управлять идентификацией, конечными точками, административным доступом и защитой конечных точек. Критерии выбора того или иного вендора данных решений обусловлены обычно бюджетом и опытом работы, а также обеспечиваемыми сценариями удаленного доступа. Но нельзя, как мы говорили ранее, внедрить решение, добавить всех пользователей в группу VPN в AD и сказать "Все готово". Вот возможный сценарий компрометации: пользователь на личном незащищенном устройстве устанавливает клиент RA VPN, "ловит" из личной почты или с неблагонадежного сайта троян keylogger, злоумышленник крадет информацию о средстве удаленного доступа и необходимую аутентификационную информацию.
Михаил Кадер, CISCO
Понятно, что стоит задача максимально быстро обеспечить подключение, а потом поэтапно дорабатывать его эффективность и защищенность. Поэтому ниже список части решений с учетом приоритетности их внедрения:
- ограниченный удаленный доступ по технологии SSL VPN с контролем всего трафика пользователей с помощью решений класса межсетевых экранов нового поколения;
- управление сегментацией;
- многофакторная аутентификация;
- проверка и приведение пользователей в соответствие с корпоративными политиками безопасности, включая требования по защите рабочих мест и контроль прямой работы с Интернетом;
- сбор и анализ событий и телеметрии;
- внедрение микросегментации.
А вот до какого уровня дойдет или, скорее, поднимется внедрение удаленного доступа в конкретной организации, зависит и от степени ее ИТ/ИБ-зрелости, наличия необходимого персонала, бюджета на самостоятельное внедрение или привлечение внешних компаний и многого другого.
Игорь Собецкий, МОНТ
Если в компании уже есть опыт удаленной работы сотрудников, лучше постараться расширить его, а не создавать что-то новое. Критерии выбора зависят от объема финансирования, уровня ИТ-подготовки сотрудников бизнес-подразделений, требований к обеспечению конфиденциальности и непрерывности работы.
Леонид Чуриков, СёрчИнформ
При выборе технологий следует исходить из тех задач, которые нужно решать. Основных пять:
- Настройка соединения удаленных пользователей с внутренними сервисами по VPN-каналу, защищенному двухфакторной аутентификацией.
- Проверка изначальной работоспособности сервисов и оценка пропускной ширины каналов Интернета и резервных каналов связи.
- Установка системы мониторинга работоспособности сервисов для оповещения ИТ-службы о сбоях и нарушениях бизнес-процессов.
- Обеспечение безопасной дистанционной работы конечных пользовательских устройств, как корпоративных, так и личных, если нет возможности выделить корпоративную технику.
Во втором случае личные ПК используются, по сути, как клавиатура, мышь и экран, а настройки задаются на офисной технике, к которой идет подключение. - И наконец, последняя важная задача – установка и настройка агентов DLP-системы для контроля пользователей на удаленке. Без этого не будет возможности пресекать инциденты и расследовать те, что не удалось предотвратить. На корпоративных устройствах агенты DLP можно устанавливать непосредственно, на личных ПК – нет. Целесообразно контролировать офисную технику, через которую работает пользователь в режиме терминального подключения.
Таким образом, критерии выбора оптимальных решений зависят от условий, в которых находится компания. Есть это корпоративные ПК – идем по одному пути, нет – по-другому. Есть DLP – задействуем ее. Нет – прибегаем к услуге ИБ-аутсорсинга, поскольку откладывать безопасность на потом нельзя.
Какие методы аутентификации при удаленной работе вы считаете самыми надежными и почему?
Олег Ассур, НИИ СОКБ
При удаленной работе важны даже на методы, а количество факторов. Рекомендую использовать многофакторную аутентификацию при удаленной работе с чувствительной информацией. Типовые факторы – "я знаю" логин и пароль, "я имею" номер телефона или устройство для приема СМС-/рush-уведомлений. Кажется, что работа с банк-клиентами нас уже приучила, что по-другому быть не может:).
Дарья Орешкина, Web Control
Наиболее надежные те методы аутентификации, которые исполнить "правильно" – самый простой путь для пользователя, чтобы сделать "не так" (как задумано безопасниками) было затруднительно. Мультифакторная аутентификация с применением средств мобильных устройств для большинства задач выглядит как оптимальный вариант.
Никита Семенов, ТАЛМЕР
На наш взгляд, самые надежные методы аутентификации – это неэкспортируемые сертификаты устройств, программные или аппаратные генераторы одноразовых токенов, так как их наиболее сложно компрометировать.
Если вы применяете оба этих метода одновременно, злоумышленник должен украсть ваши авторизационные данные, устройство, с которого вы получаете удаленный доступ, логин и пароль от этого устройства, ваше устройство генерации токенов (телефон или аппаратный генератор), код-пароль телефона и быстро этим воспользоваться (то есть знать вашу инфраструктуру), так как все эти устройства в современном мире могут быть заблокированы в считанные минуты.
Выбор именно генераторов токенов вместо OTP через СМС обусловлен тем, что протокол SS7 (ОКС-7) имеет фундаментальную уязвимость, позволяющую злоумышленнику перехватить СМС.
Михаил Кадер, CISCO
Этот вопрос касается современных технологий многофакторной аутентификации. Интересно, что именно в связи с активным развитием технологий удаленного доступа пошел и рост атак на эту самую многофакторную аутентификацию. И как следствие, она тоже начала активно развиваться, причем не только в сторону надежности, но и в сторону удобства использования. Именно поэтому рассылка однократных паролей заменилась на рush-уведомления и идет активное внедрение технологий беспарольной аутентификации, потому что именно пароли – самый слабый и плохо управляемый метод защиты.
Игорь Собецкий, МОНТ
Наиболее надежными считаю два метода.
Первый – биометрическая аутентификация с проверкой биометрических данных на сервере доступа компании. Второй – двухфакторная аутентификация с направлением кода доступа на мобильный телефон сотрудника. В обоих случаях получить несанкционированный доступ в систему значительно сложнее: нельзя выманить пароль путем фишинга, нельзя работать на краденом устройстве, нельзя подменить устройство.
Леонид Чуриков, СёрчИнформ
Здесь надо разделить процесс на аутентификацию при подключении пользовательского устройства и на дополнительную верификацию сотрудника при работе с конфиденциальными данными.
В первом случае наиболее распространенной является двухфакторная аутентификация с помощью СМС. Но она не исключает того, что устройство для вторичной аутентификации, например смартфон, на который придет подтверждающая СМС, будет утеряно или попадет в третьи руки. В этом случае человек, узнавший логин и пароль, теоретически может войти в систему с несанкционированного компьютера. Подстраховаться можно за счет сертификата, который выдается компанией, привязан к конкретному ноутбуку и автоматически проверяется при подключении к корпоративной сети.
Альтернативным СМС-уведомлению вторым фактором аутентификации является ЭЦП-токен.
Это может быть и флешка, и смарт-карта, и пропуск на работу, если он выпущен в виде смарткарты и запрограммирован соответствующим образом. Без подобного устройства компьютер в принципе не активируется. Этот вариант работает очень эффективно, но только в том случае, когда пользователи соблюдают правила безопасности и не хранят токен в одном месте с охраняемым им ноутбуком.
Наконец, для дополнительного контроля пользователя уже в процессе его работы с чувствительной информацией необходимо использовать соответствующий функционал DLP-систем – видеофиксацию через веб-камеру. Если в DLP доступно распознавание лиц, ее можно использовать для дополнительной идентификации.
Насколько важна для безопасности удаленной работы надежность провайдеров? Как оценить этот параметр?
Олег Ассур, НИИ СОКБ
При использовании VPN надежность провайдера практически не влияет на безопасность. В то же время она напрямую влияет на бизнес. Если у сотрудника не будет доступа к данным, которые нужны ему для работы, или если он не сможет удаленно поучаствовать во встрече с заказчиком, это может принести компании убытки.
Поэтому при удаленной работе рекомендуется иметь резервный канал связи. Например, если основной канал – домашний Wi-Fi, резервный – раздать Интернет с телефона.
Никита Семенов, ТАЛМЕР
Если используется даже самое простое средство защиты – RA VPN – и современная система защиты конечных точек (не обязательно EDR), то безопасность провайдера неважна абсолютно, потому что единственный способ, как теоретически и практически можно компрометировать ваших пользователей, – осуществить MitM-атаку на туннель до корпоративной инфраструктуры. Система защиты конечных точек поможет уберечь пользователя от злонамеренной подмены сертификата и/или спуфинга VPN-сервера, а использование IKEv2 с любым набором криптоалгоритмов или SSL VPN сделает зеркалирование туннеля абсолютно бесполезным, так как у злоумышленника не будет ключа.
Говоря о продвинутых системах защищенного удаленного доступа, одна из базовых концепций их построения – Zero Trust. Проектируя такую систему, вы изначально не доверяете ни конечной точке, ни каналу связи, а значит, опять же, оценивать этот параметр нет особой необходимости.
Михаил Кадер, CISCO
Сейчас много разных возможностей подключения. Если перестала работать домашняя беспроводная сеть, можно использовать мобильный телефон как модем и подключиться через него.
То есть надежность провайдера важна в первую очередь для него самого, а иначе я найду другого провайдера.
А параметр оценки один: насколько хорош мой опыт работы как пользователя. Если мое соединение нестабильно, то детали, почему это так, меня не очень волнуют.
Игорь Собецкий, МОНТ
Надежность провайдеров имеет критическое значение для нормальной работы. Самостоятельная оценка, как правило, не требуется, для этого достаточно почитать отзывы о провайдерах на общедоступных сайтах. В любом случае использование только одного провайдера ненадежно. Удаленно работающие сотрудники должны быть обеспечены резервным каналом связи через альтернативного провайдера.
Леонид Чуриков, СёрчИнформ
Опыт показывает, что "лечь" могут все. Поэтому для офиса необходимо обеспечить минимум два альтернативных канала. А для работы пользователей вне офиса, с учетом того, что сотрудники могут перемещаться и определить, через какого провайдера они заходят, не всегда возможно, существуют другие рекомендации.
В частности, в гостинице, кафе и других общедоступных сетях из-за настроек местных администраторов может не работать VPN. Домашний провайдер может оказаться ненадежным. На эти случаи необходимо иметь альтернативный универсальный канал. Помочь может, например, мобильный 4G-интернет (достаточно стабильно работающий), который можно раздать с корпоративного или личного телефона или портативного модема. При этом, если мы рассматриваем домашний Интернет пользователя как рабочее средство и, соответственно, оплачиваем его, есть еще один способ контроля того, что пользователь, как и положено на самоизоляции, сидит дома: можно настроить сотруднику статический "домашний" IP-адрес и разрешить ему подключение через VPN (к офисной сети и к облачным ресурсам компании) только с одного IP-адреса.
Опубликовано в журнале "Системы безопасности" №5/2021
