Контакты
Подписка 2024

Защита  удаленных  подключений:  всерьез  и  надолго

Дмитрий Мороз, 03/06/20

2020 год становится, пожалуй, самым знаковым за последние два десятилетия для нашей страны и мира в целом. В условиях пандемии перевод сотрудников предприятий и организаций на удаленный режим работы приобрел небывалые масштабы и затронул даже те отрасли, где работа вне офиса ранее не приветствовалась, например банки. С учетом того, что обеспечение безопасности является ключевым аспектом дистанционных коммуникаций, особую актуальность для организаций приобретает выбор тактики корпоративной ИБ в новых условиях.

Автор: Дмитрий Мороз, менеджер по развитию бизнеса департамента ИБ, компания INLINE Technologies

Временные меры – не выход

Массовый переход на работу в удаленном и зачастую незащищенном режиме открывает для злоумышленников гораздо более богатые возможности, чем это было до сих пор. И, как показывает практика, далеко не все организации оказываются готовыми к масштабам этих угроз. Взаимодействуя с нашими заказчиками, мы нередко убеждаемся, что те срочные меры, которые предпринимаются в режиме "здесь и сейчас", скорее всего не могут быть жизнеспособными в долгосрочной перспективе.

Так, многие организации даже вопреки внутренним стандартам стали широко использовать ИБ-продукты по схеме Try & Buy, по большей части рассчитывая сейчас защититься массовым ПО по бесплатной лицензии, а потом отказаться от этого и продолжить работать как раньше. Между тем есть основания полагать, что после первой волны социальных ограничений вполне может последовать и вторая, и третья – хотя бы вслед за волнами активности того же коронавируса. И соответственно, в ближайшем будущем все временные решения необходимо будет превращать в комплексные системы.

Основные уязвимости

При защите удаленных участков инфраструктуры, которые наиболее доступны для внешних атак, первостепенное внимание, на наш взгляд, должно быть уделено мониторингу подключений и аудиту пользователей.

Безусловно, наиболее благоприятной можно считать ситуацию, когда у организации есть возможность раздать сотрудникам рабочие ноутбуки для выполнения служебных обязанностей из дома. Эта схема работы называется COBO (Corporate-Owned, Business Only). Она, как и ее более открытая разновидность COPE (Corporate-Owned, Personal Enable), позволяет ИТ-службе обеспечить максимальную защищенность систем и каналов связи в условиях территориально распределенного расположения корпоративных оконечных устройств.

Однако такой вариант не везде и не всегда удается реализовать. Как минимум в организации для этого заранее должны быть детально смоделированы соответствующие ИБ-угрозы, настроены политики безопасности и реализованы механизмы автоматического применения этих политик. Кроме того, в нашей стране рабочие места в силу разных обстоятельств в большинстве своем оборудованы настольными ПК, а не ноутбуками, а их зачастую сложно унести домой.

Соответственно, сегодня в российских организациях в основном реализована другая известная концепция, BYOD (Bring Your Own Device), которая предполагает использование сотрудниками собственных устройств для удаленной работы с корпоративными информационными системами. И это порождает дополнительные риски, поскольку ИТ-службы в общем случае не имеют представления о том, что это за устройства, кто имеет к ним доступ и что вообще через них может попасть во внутреннюю сеть.

Очевидно, что минимально необходимой мерой обеспечения безопасного сеанса пользователя в рамках BYOD должна быть защита подключения устройства к корпоративной сети с помощью VPN. Однако VPN не решает исходную проблему включения в сеть непроверенного домашнего устройства. А таким устройством, например, может стать игровой ПК ребенка, антивирусные базы в котором не обновлялись с нужной регулярностью или же просто отсутствовали ввиду того, что ценной информации на данном устройстве до сих пор не было. В результате такой компьютер может быть уже неоднократно заражен зловредным ПО, что делает его потенциальной точкой входа для проникновений с целью компрометации конфиденциальной информации.

Умная защита для BYOD

Для того чтобы корректно минимизировать эти и другие риски BYOD, в ИБ-инфраструктуре организации должна быть в полной мере реализована функциональность интеллектуального управления доступом к сети (Network Access Control, NAC). Такое ПО предлагают сейчас все крупные производители средств сетевой защиты: Cisco, Juniper, Microsoft, Symantec, Trend Micro. В свое время эти системы создавались именно для облегчения перевода бизнес-процессов на схему BYOD. Но в какой-то момент заказчики все чаще стали внедрять и перепрофилировать их под более перспективные задачи, такие как Интернет вещей. В результате, хотя в большинстве компаний и реализованы так называемые AAA-процессы (аутентификация, авторизация и аудит), относящиеся к ИБ, не у всех до сих пор задействуется рабочий инструментарий, который позволял бы аутентифицировать профили безопасности конечных устройств.

В нынешних условиях ИТ-службам следует по максимуму использовать системы управления сетевым доступом в соответствии с их первоначальным назначением. В NAC предусмотрены механизмы контроля и проверки любого устройства, которое пытается получить доступ к корпоративной сети, на соответствие политикам безопасности. В случае несоответствия система автоматически запустит на нем определенные процедуры нормализации параметров доступа в соответствии с внутренними требованиями ИБ. Если же такое согласование осуществить не удастся, то NAC заблокирует для данного устройства доступ к корпоративной сети.

Возможен и другой вариант: устройство, не полностью соответствующее политикам ИБ, получит ограниченный доступ к сети, например к изолированным областям, не содержащим критически значимой информации. Правда, для этого корпоративная сеть должна быть сегментирована по подразделениям или уровням доступа, либо в рамках традиционных подходов с использованием виртуальных сетей (VLAN) и данных из каталога Active Directory, либо с помощью программно-определяемых методов, например на основе технологии Cisco TrustSec.

Стоит отметить, что, выбирая решение NAC, необходимо в том числе быть уверенным в возможности его полноценной интеграции с существующим ИТ-окружением. Между тем такая проверка – довольно трудоемкий процесс, и если ее провести некорректно, то можно не получить от NAC нужной эффективности из-за функциональных ограничений. Поэтому для внедрения систем интеллектуального управления доступом к сети лучше привлекать специализированные компании, которые обладают необходимой квалификацией и опытом в сфере информационной безопасности.

Дополнительные меры

Помимо NAC организациям также следует обратить внимание еще на два класса решений, нацеленных на контроль действий пользователей: это системы управления мобильными устройствами (Mobile Device Management, MDM) и защиты от информационных утечек (Data Leak Prevention, DLP). Так, MDM-функциональность позволяет обеспечить безопасность и защищенность самих переносных устройств удаленных пользователей, например предотвращая потерю данных при краже смартфона, планшета или ноутбука. В свою очередь, DLP-системы дают организации возможность анализировать поведение своих работников: куда отправляется конфиденциальная информация, не нарушает ли пользователь предписанные правила информационного обмена. С их помощью можно даже проанализировать, на что тратится рабочее время сотрудников. Конечно, данные меры вряд ли являются первостепенными, однако их можно рассматривать как вторую ступень ИБ после четко отстроенного каркаса безопасности при организации удаленной работы сотрудников.

И безусловно, технические процедуры будут максимально результативными, только если их подкреплять организационными действиями: вводить внутрикорпоративные регламенты и инструкции по работе в удаленном режиме, оформлять дополнительные соглашения с работниками об использовании конфиденциальной информации, проводить общие мероприятия по разъяснению ответственности при работе с корпоративными ресурсами, сервисами и данными вне офиса. Таким образом, именно комплексный подход и скрупулезный учет всех деталей позволяет организации оптимальным образом выстроить модель безопасной "удаленки" не только на краткосрочную перспективу, но и на более долгий период.

Темы:Защита сетейЖурнал "Информационная безопасность" #2, 2020

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать