Сегодня многие компании просят своих сотрудников продолжить работать в удаленном формате. В результате нагрузка на ИТ- и ИБ-отделы резко возрастет. И от того, насколько успешно они примут вызов, будет зависеть финансовое и репутационное благополучие предприятий.
Аналитики AngaraCyber Resilience Center уже отследили явные тенденции установки пользователями некорпоративного ПО, зачастую скачанного из сомнительных источников. Возрастает количество инцидентов, связанных с заражением ВПО вследствии подобных действий пользователей. Вредоносные файлы попадают на рабочие станции пользователей под видом игр, офисного ПО, мессенджеров и т.д.
По мнению экспертов группы компаний Angara, критично важные задачи для ИБ в процессе организации стабильной и безопасной удаленной работы включают:
- обеспечение безопасной и гарантированной передача данных по открытым каналам,
- обеспечение доступа к данным для авторизованных сотрудников и запрет доступа для нелегитимных пользователей,
- защиту корпоративной среды от интернет-угроз и утечек данных в условии использования неконтролируемых ПК (личные устройства пользователей),
- обеспечение доступности сервисов для сотрудников в условиях непривычного объема трафика,
- качественный мониторинг и своевременное детектирование проблем.
Чтобы помочь коллегам реализовать работу с наибольшей эффективностью и наименьшим набором рисков, эксперты группы компаний Angara предлагают использовать следующий список рекомендаций.
Рекомендация 1
Рассмотреть вариант, когда на работу с подключением VPN переходит не весь штат сотрудников. Некоторые рабочие обязанности могут выполняться с подключением только почты или других подобных облачных сервисов.
Рекомендация 2
Для обмена документами рекомендуется реализовать внутреннее или облачное файловое хранилище, доступ к которому защищен средствами защиты канала связи, строгой аутентификации и авторизации, желательно DLP-решением.
Рекомендация 3
Ограничения канала связи: нет смысла туннелировать весь трафик пользователей внутрь VPN-туннеля. Это создаст лишнюю нагрузку на шлюз и внешний канал связи. Туннелировать весь трафик нужно лишь в определенных случаях с определенным типом пользователей (это могут быть аттестационные требования к ИС, технические особенности работы определенного ПО, и т.д.). Для остальных пользователей можно применить политики узкой маршрутизации и дать следующие рекомендации по работе в удаленном режиме: не просматривать без необходимости мультимедиа-контент, отключаться явно от VPN после окончания работы.
Рекомендация 4
Запретить на уровне межсетевых экранов обмен лишним трафиком с корпоративной средой, например, SMB и Netbios трафиком. Если это единственно возможный вариант, строго ограничить его до конкретного шлюза, размещенного в отдельном сегменте сети, из которого обмен трафиком с другими сегментами контролируется. В таком случае, в варианте заражения, например, SMB-червем удаленного пользовательского ПК, даже попав через VPN туннель в корпоративную сеть он не распространится далее и заразит только единственный доступный сервер. Причем встроенный межсетевой экран имеют практически все клиенты удаленного доступа.
Рекомендация 5
Если для работы сотрудники используют рабочие ноутбуки, то вполне реально реализовать политики соответствия политикам (compliance) при подключении устройства к сети: актуальность антивирусной защиты, установку необходимых пакетов обновлений, контроль реестра процессов и автозапуска и другие. Но в случае с домашними ПК эта задача становится более сложной, так как сложно гарантировать выполнение пунктов политики на многообразии пользовательских устройств. В таком варианте можно порекомендовать проверку наличия минимальной защиты (антивирусное ПО, сканирование на известные вредоносные процессы) и дать пользователю простую инструкцию как их выполнить: некоторые VPN клиенты имеют «на борту» средства защиты, которым надо подтвердить действия, или использовать встроенные механизмы Microsoft (Microsoft Security Essentials).
Рекомендация 6
Если есть возможность, лучше организовать работу конфиденциальных ИС через средства терминального доступа. Таким образом серверы защищаются от проникновения заражения, и возможно даже применение политик контроля утечек (DLP).
Рекомендация 7
Очень важно сразу реализовать достаточный мониторинг работоспособности систем и событий ИБ для систем, использующихся при удаленном доступе, сбор событий доменной инфраструктуры, и подключение их к системам SOC и SIEM, если возможно SOAR.
Рекомендация 8
Реализация систем класса User Behavioral Analytic (UBA) поможет в превентивной защите от нерадивых пользователей, попыток кражи информации и эксплуатации других неправомерных действий. Современные аналитические системы могут детектировать мошеннические действия, связанные с кражей данных в режиме real-time используя алгоритмы Data Mining и/или Machine Learning. Доступ пользователя к данным может быть проверен на мошенничество алгоритмами, построенными на анализе аномальных запросов и затем сопоставлен с общей базой знаний для подтверждения вердикта и более точной классификации инцидента.
Рекомендация 9
Для решения проблемы утечек информации можно использовать DLP-системы в варианте удаленной работы и быстрого развертывания. Производители идут на встречу в виду мировой обстановки: компания Device Lock объявила о доступности бесплатного периода лицензий на месяц (или более по запросу). Для развертывания не обязательно наличие серверных ресурсов.
