Инфраструктура компаний не будет прежней: обеспечение ИБ в новых реалиях

Инфраструктура компаний не будет прежней: обеспечение ИБ в новых реалиях
87580d1091efa38b13a993bcd8370068.jpg

Партнер группы компаний Angara разработчик Positive Technologies провел крупномасштабный опрос среди ИТ- и ИБ- специалистов об организации удаленной работы в компаниях в связи с пандемией.

Опрос показывает срез информации на апрель 2020 года и включает мнения предприятий крупного, малого и среднего бизнеса различных секторов экономики: ИТ, промышленность, финансы, госсектор, телекоммуникации, ТЭК, образование, здравоохранение, СМИ и др.

Так, из исследования следует:
  • Более 50% компаний подтвердили, что им действительно пришлось экстренно организовывать (11%) или масштабировать (41%) систему удаленного доступа для работников компании.
  • 80% опрошенных указали, что часть сотрудников компании использует для удаленной работы домашние ПК.
  • 54% компаний вывели за защищенный периметр корпоративные порталы для доступа к ним сотрудников из внешней сети. При этом 34% компаний вывели за периметр OWA (Outlook Web Access) шлюз.
Для обеспечения наиболее полной киберзащищенности инфраструктуры удаленного доступа в озвученных условиях эксперты группы компаний Angara рекомендуют следующее:
  • Произвести настройки для направления всего трафика ПК пользователя внутрь туннеля. Таким образом можно будет выявить паразитный трафик (C&C) и попытки непродуманных или случайных утечек данных. Но надо учитывать потенциальный рост нагрузки на каналы связи и шлюз доступа. Для этого рекомендуем организовать отказоустойчивость шлюзов доступа и продумать варианты подключения к сервисам защиты от DDoS-атак для эффективной фильтрации трафика в случае атаки.
  • Настроить геофильтрацию трафика. Как правило, ее можно настроить на пограничном межсетевом экране, и часто она уже используется для ненадежных с точки зрения ИБ стран, плюс в текущей ситуации ее можно временно ужесточить.
  • Обеспечить принудительную установку корпоративных антивирусных агентов на домашние ПК пользователей. Если такой вариант реален, то он значительно поднимет уровень защищенности образовавшегося цифрового периметра. Альтернатива данному решению представлена ниже в тексте.
  • Обеспечивать своевременное обновление и содержание в актуальной версии всех систем периметровой защиты: МЭ и криптошлюзов, VPN-агентов и т.д.
  • Подключить к системе удаленного доступа двухфакторную аутентификацию (согласно опросу, порядка 10% компаний уже планируют эти действия). Даже в случае сложностей по вводу в эксплуатацию и передаче сотрудникам аппаратных токенов, множество вариантов реализации OTP-решений (One Time Password) предлагают использовать программные токены.
  • Использовать WAF для защиты опубликованных в сети Интернет корпоративных порталов.
  • Использовать внешнее сканирование на уязвимости по всему пулу белой IP-адресации компании для поиска и анализа всех открытых в сети Интернет сервисов.
  • Использовать системы мониторинга событий (SIEM) и статуса работы сервисов, мониторинга сетевых аномалий (Network Traffic Analyzer).
Также эксперты группы компаний Angara обращают внимание на более комплексные подходы к повышению уровня защищенности и доступности цифровых сервисов в условиях измененной киберсреды:
  • Организация гранулированной сегментации внутри сетевого периметра, отделение систем, использующихся пользователями напрямую от внутренних систем, и четкая фильтрация сетевого трафика между ними, особенно небезопасного трафика (SMB, FTP, и др.). Настройка фильтрации трафика от VPN-агентов – практически все современные решения позволяют это сделать. Таким образом возможно остановить распространение заражения или утечку данных только на сервисах первого эшелона работы пользователей.
  • Использование решений для защиты от утечек конфиденциальных данных (DLP), например:
o   Infowatch,
o   Гарда Предприятие,
o   Forcepoint DLP.
  • Организация работы через PAM-решение – как альтернатива терминальному удаленному доступу. Этот вариант позволит значительно поднять уровень защищенности корпоративных ресурсов без необходимости разворачивания сложных агентов у пользователей. Он достаточно быстр в развертывании и дает массу преимуществ, включая (но не ограничиваясь):
o   Управление привилегиями и разрешениями удаленного пользователя, в том числе с домашних ПК.
o Управление паролями и организация защищенного хранилища учетных данных, предоставление единой точки входа с многофакторной аутентификацией.
o  Контейнерирование сеанса удаленного доступа и адаптивная настройка привилегий внутри него до минимально необходимых для работы пользователя.
o  Оперативное развертывание системы, в том числе с виртуальными вариантами.
o Отслеживание всех сеансов удаленного доступа в режиме реального времени, оперативный анализ аномальной активности пользователей, выявление действий, которые могут нести угрозу информационной безопасности, и их блокировке.
o  Рекомендуемые РАМ-решения: CyberArk: Secure Privileged Access и Krontech Single Connect.
Alt text

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group