Заочный круглый стол по теме: «Как минимизировать угрозы безопасности при удалённой работе»

Каковы наиболее серьезные угрозы безопасности данных при удалённой работе?

Угрозой безопасности данных при удалённой работе прежде всего является сам факт удалённой работы. В офисе сотрудники находятся в контролируемой зоне, работают в контролируемой информационной и физической среде, сети и на контролируемых АРМ. Находясь на «удалёнке», сотрудники начинают работать за пределами контролируемой зоны, вследствие чего невозможно управлять окружением, людьми, которые находятся рядом с вашим работником, ведя к «компрометации через плечо». Ситуация усугубляется кафе, коворкингами и прочими людными местами. Также многие компании не запрещают работать с личного устройства, при этом не применяют концепцию BYOD и не контролируют безопасность конечной точки, применяя только технологию RA VPN.

Как минимизировать перечисленные угрозы безопасности?

Наш опыт и опыт наших заказчиков говорит о том, что для минимизации угроз безопасности, связанных с удалённым доступом, необходим комплексный подход. Прежде всего, абсолютному большинству компаний требуется понять, что RA VPN с личного устройства не панацея. Необходимо использовать целый комплекс средств защиты – EDR и антивирусные системы для защиты конечных точек, PAM для защиты административного доступа, IdM для управления идентификационными данными, EMM решения для обеспечения BYOD, и, конечно, VDI для исключения вывода чувствительных данных за контур безопасности. Иными словами, требуется максимально разделить рабочую и личную зоны, а также обеспечить безопасность обеих. Крайне немаловажно не забыть о повышении осведомленности пользователей, это поможет избежать простых, но крайне опасных атак.

С какими трудностями обычно сталкиваются руководители и специалисты служб безопасности, которые должны обеспечить безопасность удалённых рабочих мест?

Самый большой вызов – человеческий фактор. Даже при работе из офиса бывает сложно объяснить бизнесу необходимость средств защиты и правильно использовать ROSI. Вдвойне сложно объяснить это пользователям. И в десять раз сложнее это сделать, если все работают удалённо.

Как выбрать оптимальный набор технологий для оперативного налаживания удалённой работы? От чего зависят критерии этого выбора?

Оптимальный набор для оперативного налаживания удаленной работы, назовем его «джентльменский набор», состоит из VDI, IdM, EMM, PAM и EDR, причем зачастую первые три средства защиты можно объединить. Нет критериев выбора этих технологий: они вам нужны для того, чтобы назвать свой удалённый доступ не только оперативно налаженным, но и безопасным. Для этого вы должны иметь платформу и защищённые каналы, управлять идентификацией, конечными точками, административным доступом и защитой конечных точек. Критерии выбора того или иного вендора данных решений обусловлены обычно бюджетом и опытом работы, а также обеспечиваемыми сценариями удаленного доступа. Но нельзя, как мы говорили ранее, внедрить решение, добавить всех пользователей в группу VPN в AD и сказать «все готово». Вот возможный сценарий компрометации: пользователь на личном незащищенном устройстве устанавливает клиент RA VPN, «ловит» из личной почты или с неблагонадежного сайта троян keylogger, злоумышленник крадёт информацию о средстве удалённого доступа и необходимую аутентификационную информацию.

Какие методы аутентификации при удалённой работе считаете самыми надежными и почему?

На наш взгляд, самые надежные методы аутентификации — это не экспортируемые сертификаты устройств, программные или аппаратные генераторы одноразовых токенов, так как их наиболее сложно компрометировать. Если вы применяете оба этих метода одновременно, злоумышленник должен украсть ваши авторизационные данные, устройство, с которого вы получаете удаленный доступ, логин и пароль от этого устройства, ваше устройство генерации токенов (телефон или аппаратный генератор), код-пароль телефона и быстро этим воспользоваться (то есть знать вашу инфраструктуру), так как все эти устройства в современном мире могут быть заблокированы в считанные минуты.

Выбор именно генераторов токенов вместо OTP через SMS обусловлен тем, что протокол SS7 (ОКС-7) имеет фундаментальную уязвимость, позволяющую злоумышленнику перехватить СМС.

Насколько важна для безопасности удалённой работы надежность провайдеров? Как оценить этот параметр?

Если используется даже самое простое средство защиты – RA VPN - и современная система защиты конечных точек (не обязательно EDR), то безопасность провайдера не важна абсолютно, так как единственное, как теоретически и практически можно компрометировать ваших пользователей, – осуществить MitM атаку на туннель до корпоративной инфраструктуры. Система защиты конечных точек поможет уберечь пользователя от злонамеренной подмены сертификата и/или спуфинга VPN-сервера, а использование IKEv2 с любым набором криптоалгоритмов или SSL VPN сделает зеркалирование туннеля абсолютно бесполезным, так как у злоумышленника не будет ключа.

Говоря о продвинутых системах защищенного удаленного доступа, одна из базовых концепций их построения – Zero Trust. Проектируя такую систему, вы изначально не доверяете ни конечной точке, ни каналу связи, а значит, опять же, оценивать этот параметр нет особой необходимости.

Источник: журнал «Системы безопасности».