Контакты
Подписка 2024
Статьи по информационной безопасности

Нейтрализация неочевидных угроз безопасности при удаленной работе

Ярослав Голеусов, 19/04/21

В конце I квартала 2020 г. государственные и коммерческие компании по всему миру были вынуждены оперативно переводить многих сотрудников на удаленную работу. Из-за этого вопросы проектирования новой системы информационной безопасности были отложены, а вместо них приняли наиболее очевидные на тот момент меры защиты, к примеру межсетевое экранирование и двухфакторную аутентификацию.

Автор: Ярослав Голеусов, руководитель технологического консалтинга, компания “Индид"

По причине большой спешки при организации удаленной работы, ограниченности бюджетов и времени игнорировались многие актуальные угрозы безопасности. Со временем система защиты информации и ее документальное обеспечение были доработаны с учетом большего числа актуальных угроз, но злоумышленники продолжают находить и использовать лазейки для нанесения ущерба.

Угрозы нарушения конфиденциальности учетных данных

Перехват вводимых учетных данных в изолированной среде

Одной из мер защиты информации при организации удаленной работы в случае, если сотрудник использует личное устройство, является виртуализация рабочих мест и публикация приложений на терминальном сервере с последующей изоляцией среды.

Действительно, если на личном устройстве сотрудника будет установлено вредоносное ПО, оно не сможет воздействовать на рабочую среду или рабочие приложения.

Однако даже если и для самого удаленного подключения используется альтернативная аутентификация, в случае подключения к виртуализированному рабочему месту (VDI) и терминальному приложению (например, по RemoteApp) высока вероятность того, что приложение потребует авторизации с помощью логина и пароля. В таком случае вредоносное ПО может перехватить нажатия клавиш, вычислить корректное сочетание "логин – пароль", и злоумышленник уже по другому каналу сможет получить доступ к конфиденциальным данным.

Для нейтрализации этой угрозы рекомендуется использовать решения класса Single Sign-On (SSO) совместно с решениями для альтернативной усиленной аутентификации. Решение SSO должно быть установлено на офисных рабочих местах, к которым сотрудник подключается по VDI, либо на терминальном сервере. Далее для подтверждения аутентификации в корпоративных приложениях система потребует предъявления альтернативного фактора аутентификации, после чего SSO самостоятельно предоставит ресурсу необходимые учетные данные. Таким образом, на личной рабочей станции даже при наличии кейлоггера не перехватываются вводимые логины-пароли.

Клонирование генератора одноразовых паролей

Безусловно, методы усиленной (двухфакторной) аутентификации значительно повышают стойкость к угрозам при удаленном доступе. Однако разные технологии усиленной аутентификации имеют существенные различия как с точки зрения применимости, так и с точки зрения безопасности.

Популярные сегодня методы двухфакторной аутентификации с помощью одноразовых кодов, генерируемых на устройстве или присылаемых в мессенджерах, имеют существенные уязвимости: если злоумышленник получит однократный продолжительный доступ к смартфону, то он может попытаться получить повышенные привилегии на смартфоне (jailbreak для iOS-устройств, root-права для Android-устройств). И если это удастся, он сможет клонировать ключи генератора одноразовых паролей либо настроить себе получение сообщений в мессенджерах на личном компьютере.

Если описанный риск имеет высокую вероятность, рекомендуется вместо одноразовых паролей использовать push-аутентификацию, которая явно привязана к устройству и не будет работать на девайсе злоумышленника.

Угрозы нарушения доступности корпоративных ресурсов

Удаленная блокировка учетных данных

Зачастую для доступа к корпоративным ресурсам используются публичные веб-сервисы, доступные через Интернет, например веб-клиент почты.

Часто имя почтового ящика совпадает с именем доменной учетной записи. Злоумышленник может попытаться разгадать пароль методом подбора. Для нейтрализации этой угрозы включается блокировка учетной записи после нескольких неудачных попыток ввода пароля.

Однако злоумышленник может перебирать пароли для последующей целенаправленной блокировки доменной учетной записи. Такая атака способна привести к частичному параличу некоторых бизнес-процессов.

С целью частичной нейтрализации данной угрозы можно воспользоваться специализированным решением для двухфакторной аутентификации (2FA), например одноразовыми паролями. При этом, даже если осуществляется попытка перебора, будет заблокирован второй аутентификатор, а не учетная запись. Таким образом, сотрудник сохранит возможность получения доступа к корпоративным ресурсам, правда только через альтернативное соединение или при локальной работе.

Утеря или поломка защищенного носителя ключевой информации

Исполняя рабочие обязанности, удаленные сотрудники могут пользоваться цифровыми сертификатами для подписи документов, подключения к сторонним веб-сервисам или для иных задач. При этом в случае утери или поломки устройства появляется задача его оперативной замены, которая не сможет быть реализована в разумные сроки, особенно если сотрудник территориально удален от офиса.

Для нейтрализации угрозы можно воспользоваться специализированными решениями, реализующими виртуальную смарт-карту (то есть без хранения ключевой информации на съемном защищенном устройстве).

В таком случае хранение ключевой информации будет осуществляться в следующих контейнерах:

  • на серверной стороне, все операции с ключами выполняются на сервере;
  • контейнер в специализированном модуле внутри устройства – Trusted Platform Module.

Использование подобных решений считается менее безопасным, чем съемные аппаратные защищенные носители, однако эти решения наиболее гибкие и подходят для описанной нештатной ситуации.

После замены ключевого носителя виртуальную смарт-карту можно отключить. Таким образом, даже в случае утери или поломки ключевого носителя простоя в бизнес-процессах компании не будет.

Угрозы отказа от авторства действий, приведших к инциденту

Спорные ситуации в случае сбоя критичного ресурса

При любой работе с ИТ-ресурсами со стороны привилегированных пользователей всегда существует риск ошибок из-за человеческого фактора. Сами действия при этом могут привести к сбою критичного ресурса.

Даже при работе непосредственно в помещении организации бывает сложно разобраться, что же произошло и кто является ответственным за сбой. В случае удаленного доступа ситуация усложняется многократно. Подобные разборы инцидентов не только негативно сказываются на рабочей атмосфере, когда происходят попытки обвинить невиновных, но и тратят много времени специалистов на непродуктивные действия.

Использование SIEM, вероятно, позволит узнать, кто подключался к ресурсу, но вряд ли позволит точно определить ответственного, не говоря уже об отсут ствии данных о последовательности действий, которые привели к сбою.

Однако при использовании решений класса Privileged Access Management (PAM) все подключения привилегированных пользователей к критичным ресурсам фиксируются в различных форматах (видео- и текстовая запись, снимки экрана, нажатия клавиш, переданные файлы). Далее, используя записи действий, всегда можно оперативно определить, какая последовательность действий привела к сбою, выявить ответственного за инцидент и определить фактор преднамеренности.

Попытка уйти от ответственности

Бывают ситуации, когда в компании работает инсайдер – внутренний злоумышленник, который целенаправленно осуществил действия, приведшие к сбою или нарушению работы критического ресурса. Сама по себе задача выявления ответственного уже является сложной, однако с помощью решения класса PAM можно оперативно найти виновного.

При попытке привлечь сотрудника к ответственности он может сказать, что у него были украдены соответствующие данные для доступа к его учетной записи. Ни для кого не секрет, что парольная аутентификация очень уязвима для угрозы разглашения, а сам факт разглашения может быть выявлен уже после инцидента.

Очевидно, что в такой ситуации любой руководитель может задуматься о том, что сотрудник действительно невиновен, а произошедшее – просто неудачное стечение обстоятельств.

Для нейтрализации данной угрозы рекомендуется совместно с решением PAM использовать решения для 2FA сотрудников. Тогда, если сотрудник действительно является инсайдером и имел место инцидент, ему будет тяжело уйти от ответственности. Если все-таки сотрудник заявит, что у него украли телефон, на котором стоит генератор одноразовых паролей, ему будет задан логичный вопрос: "Почему вы оперативно не уведомили об этом службу безопасности?"

Заключение

Рассмотрев дополнительные угрозы, возникающие или обостряющиеся при удаленной работе, необходимо еще раз обратить внимание на то, что угрозы информационной безопасности эволюционируют с развитием ИТ-технологий и способов их применения. Злоумышленники адаптируются и всегда ищут новые способы нелегального заработка. Пока системы защиты полностью не перестроены под новые реалии, киберпреступники могут воспользоваться вашими слабостями и "лазейками" в своих целях.

Сегодня удаленный формат работы прочно вошел в нашу жизнь и даже легализован (регламентирован) на государственном уровне. Руководство многих компаний закрепляет такой формат работы за некоторыми категориями сотрудников, принимая соответствующие управленческие решения.

Следовательно, у специалистов по информационной безопасности есть еще одна возможность вдумчиво и без спешки оценить, насколько имеющаяся система защиты готова противостоять современным вызовам.
Темы:СКУДАутентификацияЖурнал "Информационная безопасность" №1, 2021Indeed Id

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • MULTIFACTOR: сценарии эффективного использования и интересные случаи
    Виктор Чащин, операционный директор ООО “МУЛЬТИФАКТОР”
    Использование системы двухфакторной аутентификации в 2023 г. – это не опция, а обязательная составляющая ИТ-инфраструктуры для организации любого масштаба. Рассмотрим самые популярные сценарии применения системы MULTIFACTOR для решения разных задач с применением двухфакторной аутентификации.
  • MULTIFACTOR: трудное время порождает сильные решения
    Роман Башкатов, коммерческий директор ООО “МУЛЬТИФАКТОР”
    Мы задали вопросы об истории резкого старта компании “МУЛЬТИФАКТОР”, ее сегодняшнем состоянии и, конечно же, планах и прогнозах коммерческому директору Роману Башкатову, который стоял у истоков проекта и продолжает активно участвовать в его развитии.
  • Проблемы использования биометрии в качестве фактора аутентификации
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Старо, как мир бесконечно нарушаемое правило – не регистрировать в разных ресурсах один и тот же пароль. Однако, когда в разных ресурсах регистрируется одно и то же лицо (в прямом физическом смысле), ситуация даже хуже, ведь пароль в случае компрометации поменять существенно легче, чем лицо.
  • Российское решение MULTIFACTOR: повышаем иммунитет среды идентификации и доступа
    Виктор Чащин, операционный директор ООО “МУЛЬТИФАКТОР”
    Система мультифакторной аутентификации (MFA) является одним из ключевых элементов реализации концепции иммунитета среды идентификации и доступа (IAC).
  • Семь раз проверь: Zero Trust и аутентификация
    Дмитрий Грудинин, системный архитектор компании “Аванпост”
    Основной обязательный элемент Zero Trust – процесс аутентификации. Именно он помогает достоверно определять, кто пытается получить доступ к данным
  • sPACE: новая масштабируемая PAM-система с широким функционалом
    Игорь Базелюк, Операционный директор Web Control
    sPACE выполняет две ключевые задачи: обеспечение безопасного контролируемого доступа пользователей и реализацию принципа минимальных привилегий

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"