Чек-лист: как компаниям организовать безопасную удаленную работу

Чек-лист: как компаниям организовать безопасную удаленную работу
850d4187eadf6eb4f433c0360238b49a.jpg


Сегодня многие компании просят своих сотрудников продолжить работать в удаленном формате. В результате нагрузка на ИТ- и ИБ-отделы резко возрастет. И от того, насколько успешно они примут вызов, будет зависеть финансовое и репутационное благополучие предприятий.

Аналитики AngaraCyber Resilience Center  уже отследили явные тенденции установки пользователями некорпоративного ПО, зачастую скачанного из сомнительных источников. Возрастает количество инцидентов, связанных с заражением ВПО вследствии подобных действий пользователей. Вредоносные файлы попадают на рабочие станции пользователей под видом игр, офисного ПО, мессенджеров и т.д.

По мнению экспертов группы компаний Angara, критично важные задачи для  ИБ в процессе организации стабильной и безопасной удаленной работы включают:
  • обеспечение безопасной и гарантированной передача данных по открытым каналам,
  • обеспечение доступа к данным для авторизованных сотрудников и запрет доступа для нелегитимных пользователей,
  • защиту корпоративной среды от интернет-угроз и утечек данных в условии использования неконтролируемых ПК (личные устройства пользователей),
  • обеспечение доступности сервисов для сотрудников в условиях непривычного объема трафика,
  • качественный мониторинг и своевременное детектирование проблем.
Чтобы помочь коллегам реализовать работу с наибольшей эффективностью и наименьшим набором рисков, эксперты группы компаний Angara предлагают использовать следующий список рекомендаций.
Рекомендация 1      
Рассмотреть вариант, когда на работу с подключением VPN переходит не весь штат сотрудников. Некоторые рабочие обязанности могут выполняться с подключением только почты или других подобных облачных сервисов.
Рекомендация 2
Для обмена документами рекомендуется реализовать внутреннее или облачное файловое хранилище, доступ к которому защищен средствами защиты канала связи, строгой аутентификации и авторизации, желательно DLP-решением.

Рекомендация 3      
Ограничения канала связи: нет смысла туннелировать весь трафик пользователей внутрь VPN-туннеля. Это создаст лишнюю нагрузку на шлюз и внешний канал связи. Туннелировать весь трафик нужно лишь в определенных случаях с определенным типом пользователей (это могут быть аттестационные требования к ИС, технические особенности работы определенного ПО, и т.д.). Для остальных пользователей можно применить политики узкой маршрутизации и дать следующие рекомендации по работе в удаленном режиме: не просматривать без необходимости мультимедиа-контент, отключаться явно от VPN после окончания работы.

Рекомендация 4      
Запретить на уровне межсетевых экранов обмен лишним трафиком с корпоративной средой, например, SMB и Netbios трафиком. Если это единственно возможный вариант, строго ограничить его до конкретного шлюза, размещенного в отдельном сегменте сети, из которого обмен трафиком с другими сегментами контролируется. В таком случае, в варианте заражения, например, SMB-червем удаленного пользовательского ПК, даже попав через VPN туннель в корпоративную сеть он не распространится далее и заразит только единственный доступный сервер. Причем встроенный межсетевой экран имеют практически все клиенты удаленного доступа.

Рекомендация 5
Если для работы сотрудники используют рабочие ноутбуки, то вполне реально реализовать политики соответствия политикам (compliance) при подключении устройства к сети: актуальность антивирусной защиты, установку необходимых пакетов обновлений, контроль реестра процессов и автозапуска и другие. Но в случае с домашними ПК эта задача становится более сложной, так как сложно гарантировать выполнение пунктов политики на многообразии пользовательских устройств. В таком варианте можно порекомендовать проверку наличия минимальной защиты (антивирусное ПО, сканирование на известные вредоносные процессы) и дать пользователю простую инструкцию как их выполнить: некоторые VPN клиенты имеют «на борту» средства защиты, которым надо подтвердить действия, или использовать встроенные механизмы Microsoft (Microsoft Security Essentials).

Рекомендация 6
Если есть возможность, лучше организовать работу конфиденциальных ИС через средства терминального доступа. Таким образом серверы защищаются от проникновения заражения, и возможно даже применение политик контроля утечек (DLP).

Рекомендация 7      
Очень важно сразу реализовать достаточный мониторинг работоспособности систем и событий ИБ для систем, использующихся при удаленном доступе, сбор событий доменной инфраструктуры, и подключение их к системам SOC и SIEM, если возможно SOAR.

Рекомендация 8      
Реализация систем класса User Behavioral Analytic (UBA) поможет в превентивной защите от нерадивых пользователей, попыток кражи информации и эксплуатации других неправомерных действий. Современные аналитические системы могут детектировать мошеннические действия, связанные с кражей данных в режиме real-time используя алгоритмы Data Mining и/или Machine Learning. Доступ пользователя к данным может быть проверен на мошенничество алгоритмами, построенными на анализе аномальных запросов и затем сопоставлен с общей базой знаний для подтверждения вердикта и более точной классификации инцидента.

Рекомендация 9
Для решения проблемы утечек информации можно использовать DLP-системы в варианте удаленной работы и быстрого развертывания. Производители идут на встречу в виду мировой обстановки: компания Device Lock объявила о доступности бесплатного периода лицензий на месяц (или более по запросу). Для развертывания не обязательно наличие серверных ресурсов.
Alt text
Комментарии для сайта Cackle

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group