Обеспечение безопасности удаленных рабочих мест: стоит ли игра свеч?

Удаленная работа перестала быть привилегией немногих во время ковида, ввиду потребности социального дистанцирования. Это породило спрос как на сами сервисы, софт для организации работы сотрудников, так и на средства обеспечения безопасности удаленного доступа.

Несмотря на то, что пандемия уже перестала быть актуальной проблемой, « тренд на удаленку» во многих компаниях сохранился. Помимо этого, многие молодые компании и стартапы вовсе не имеют физического офиса, а команда проекта «разбросана» сразу по нескольким государствам.

В то же время, сотрудники-удаленщики становятся привлекательной мишенью для разных киберзлоумышленников, как потенциальная « точка входа» в корпоративную инфраструктуру компании.

Юрий Миронов

Заместитель технического директора по информационной безопасности САТЕЛ

Удаленные рабочие столы сотрудников, соединенные с информационными системами компаний по протоколам удаленного доступа (RDP), являются постоянной мишенью для кибератак. Злоумышленники используют уязвимости RDP для организации распределенных DDoS-атак, а также для доставки вымогательского ПО с последующей его установкой на критически важных системах компаний. С момента начала пандемии и массового перехода российских компаний на удаленную работу стабильно растет число кибератак с использованием вредоносных стилеров, крадущих пароли и другую учетную информацию пользователей RDP. Например, в период с января по апрель 2022 года было зафиксировано более 27 миллионов таких атак, что в полтора раза выше показателя аналогичного периода 2021 года. В 2023 году тенденция продолжится: суммарное число кибератак против российских организаций, вырастет на 50%.

О том, насколько уязвимы удаленные рабочие места, какие риски ждут компанию при организации удаленного доступа и какие технические решения могут помочь в обеспечении безопасного доступа – в этой статье.

Основные проблемы организации удаленного доступа к корпоративной сети

Основная проблема заключается в том, что «офисная» кибербезопасность и специализированные решения развивалась с того момента, как появилась киберпреступность, в то время как актуализация удаленной работы произошла три года назад. Соответственно и массовый спрос на корпоративные инструменты обеспечения защищенного удаленного доступа, возник сравнительно недавно.

Андрей Игнатов

Менеджер по продуктам Рутокен компании «Актив»

1. Пакеты данных, передаваемые внутри офисной сети перехватить практически невозможно, а вот при удаленной работе используются внутри домовые сети или даже публичные точки доступа, которые уязвимы.

2. Вряд ли посторонний сумеет незаметно проникнуть в офис, сесть за компьютер сотрудника и выполнить от его имени какие-то операции. А вот при удаленной работе вы не знаете кто именно подключается к серверам организации – легальный пользователь, или злоумышленник укравший его пароль.

3. В офисе для работы используется служебный ПК, на котором нет потенциально небезопасного ПО (например, пиратских игр), зато установлен антивирус. При удаленной работе зачастую используется личный компьютер сотрудника, возможно содержащий вирусы и трояны.

Первейшая проблема возникает уже «на старте», при входе сотрудника в ИС. В « стационарном» офисе убедиться в том, что это именно сотрудник компании – достаточно просто (если не брать во внимание случаи с перехватом сессии), нужно всего лишь подойти к его рабочему месту.

В случае с удаленным риском всегда существует риск, что вместо сотрудника в корпоративную сеть входит кто-то третий, получивший прямой доступ к устройству. Частично, этот риск нивелируется интеграцией систем многофакторной аутентификации, однако они не исключают тот факт, что сотрудник действует под давлением злоумышленников.

На этом риске, вероятно, базируется обсуждение запрета на удаленную работу из-за границы среди законодателей. С другой стороны, список компаний, сотрудники которых могут попасть в такую ситуацию (прямое физическое давление с целью получения доступа) достаточно ограничен.

Второй весомый риск находится на аппаратном уровне. Устройство, которым сотрудник пользуется для работы, может также использоваться и в личных целях. Чем закончится попытка скачать с торрента фильм на вечер, можно только догадываться. В лучшем случае, ПК пополнит чей-то ботнет, в худшем – станет точкой входа для оператора вируса-шифровальщика.

Павел Яшин

Руководитель службы информационной безопасности iiii Tech («Форайз»)

В чем же риск и где здесь угроза? Ответ прост – человеческий фактор. В идеальном мире человек выполняет все требования политики по информационной безопасности, в реальном... использует свой рабочий инструмент, в том числе, и для своих личных нужд: например, зачем мне личный лэптоп, если есть корпоративный, и с него тоже можно посмотреть сериал, послушать музыку, а еще можно пустить ребенка скачать реферат, включить мультик. В общем-то соблазнов много. Чем и пользуются злоумышленники.

На мой взгляд – разделять понятие рабочего места на «домашнее/удаленное» и «стационарное» - неверно. Необходимо обеспечивать одинаковый технический уровень защиты в обоих случаях, а в случае удаленной работы – дополнительно обращать внимание на уровень осведомленности (т.н. Awareness) сотрудников.

Третья большая «боль» – это нехватка софта для решения всего диапазона рабочих задач. В некоторых случаях она обусловлена спецификой деятельности. Например, если сотрудник взаимодействует с клиентами компании, у них просто нет учетных записей в доверенных программах и коммуникация вынужденно идет через незащищенные каналы. Свою лепту в этот процесс внес и исход иностранных вендоров ПО.

При этом, недостаток того или иного доверенного канала коммуникации, как правило, закрывается мессенджером. Многие эксперты в принципе не рекомендуют использовать тот же WhatsApp для любых коммуникаций, что будет если обсуждать в нем рабочие процессы – остается только догадываться.

Федор Чернов

Директор по развитию getCompass.ru

Одна из самых распространенных ситуаций: сотрудник уходит работать к конкуренту, и данные из мессенджера — это отличная возможность забрать с собой базу клиентов или уникальные авторские наработки, когда речь идет об интеллектуальной собственности.

К сожалению, этот аспект безопасности продуман не во всех мессенджерах. Как правило, сотрудники компаний смешивают рабочие переписки с личными, а, расставаясь с подчиненными, многие руководители не задумываются о том, в скольких чатах сотрудники остаются и какой объем данных по-прежнему находится в их распоряжении. Однако есть инструменты, в которых этот риск учтен и продуман.

В основу ряда мессенджеров заложен принцип работы в отдельных пространствах под конкретные задачи. Попасть в такое пространство можно только по приглашению. Например, инструмент Compass позволяет создавать такие воркспейсы и приглашать в них людей по ссылке. Создать ссылку-приглашение может только администратор рабочего пространства, которым обычно является руководитель или владелец бизнеса.

Вся рабочая или проектная коммуникация ведется в рамках такого пространства, то есть внутри него можно создавать сколько угодно чатов, а в момент выхода из пространства пользователь одновременно выходит из всех переписок. Лишить сотрудника доступа к данным можно буквально в несколько кликов, не тратя время на удаление его из всех важных обсуждений.

Есть и множество проблем, которые характерны как для офиса, так и для удаленки. Разница только в том, что « стационарный» формат существует дольше, распространен шире и охвачен лучше, поэтому целый ряд проблем решаются « по умолчанию», в то время как для защиты удаленного доступа нужно заново разрабатывать политики, внедрять средства и решать другие проблемы аппаратного, программного и управленческого уровней.

Как сделать удаленку безопасной

Безопасность всегда начинается с административного уровня, на котором определяется порядок работы и ответственность за его нарушение, строится риск-модель и формулируются недопустимые события, на избежание которых и направлены все силы.

В актуальных условиях повышенных рисков кибербезопасности, наиболее оптимальный подход – это политика нулевого доверия. Причем в отношении всех устройств, как внутренних, так и внешних. Реализация такого подхода требует большего времени и ресурсов, зато позволяет создать единые правила и обеспечить одинаково высокий уровень защищенности контура.

Иван Чернов

Менеджер по развитию UserGate (эксперт в сфере информационной безопасности)

В последнее время все большую популярность набирает концепция безопасности «нулевое доверие». Если коротко, «zero trust» уравнивает в правах доступа как внутренних, так и внешних удаленных пользователей, применяя ко всем одинаково строгие правила и политики. Возможным это становится благодаря использованию решений класса NAC на удаленных конечных станциях. Поэтому задействуя современные средства защиты информации, экосистемный подход и концепцию «zero trust» можно обеспечить уровень защиты удаленного рабочего места, не уступающий стационарному.

На уровне регламентов также важно определиться с тем, к каким системам и данным удаленный сотрудник в принципе может иметь доступ. Разграничение доступа внутри инфраструктуры серьезно упрощает процесс отслеживания активности и детектирования инцидентов. Количество «привилегированных пользователей» не должно выходить за рамки необходимого для обеспечения эффективности бизнес-процессов.

Первый вопрос после создания регламентов – аппаратный. Нужно определиться с тем, каким будет рабочее устройство пользователя. Оптимальный вариант для компании – приобрести его для сотрудника самостоятельно, поскольку это снимает все вопросы относительно того, какой контролирующий и защитный софт может использовать работодатель. В случае, если сотрудник использует «домашний ПК», внедрение некоторых систем может стопориться нежеланием сотрудника устанавливать на свое устройство «следящий софт».

Если говорить о программном уровне обеспечения удаленного доступа к ресурсам компании, то наиболее распространены решения следующих классов:

• защита конечных точек;
• защита/шифрование трафика и обмена данными;
• механизмы аутентификации пользователя.

Данные решения можно отнести к лучшим практикам и « рекомендациям первой очереди». Это не исчерпывающий список защитных инструментов, однако интеграция более сложных и «продвинутых» механик во многом зависит от общего уровня зрелости ИБ в конкретной компании.

Виктор Чащин

Операционный директор компании "МУЛЬТИФАКТОР"

Традиционно «закрывают» удаленный стол с помощью ограничений доступа извне: сотрудник получает доступ только при использовании корпоративного VPN, после входа во внутреннюю сеть организации.

В последние годы распространяется практика замены традиционных логинов-паролей на вход по сертификату и добавление второго фактора на вход.

Кроме этого, используют специализированные системы VDI, которые, в том числе, мониторят необычную активность пользователя.

Несомненно, чем больше вариантов подключения к рабочему столу, тем больше рисков. Даже, если к рабочему столу подключился легитимный пользователь, это не означает, что кто-то после не сможет перехватить управление (например, котик, топчущийся по клавиатуре).

Тема котиков и детей хоть и комична, но тоже относится к рискам ИБ, поскольку виной остановки работы вполне может стать не хакер, а ребенок, который «случайно нажал все удалить» пока родитель отвернулся от монитора.

Помимо этого, на выбор средств защиты удаленного рабочего места влияет и масштаб компании, в том числе – количество сотрудников, которые будут работать удаленно. Как правило, небольшие компании склоняются в пользу минимального обеспечения защиты своими силами (VPN) и делегацию остальных процессов на сторону сервисов, в том числе бесплатных.

Такие решения могут быть удобны и оптимальны с точки зрения затрат, но уровень их безопасности, как минимум, не очевиден, что недопустимо в контексте информационной безопасности и растущих рисков ИБ.

Виталий Мищенко

Руководитель группы СЗИ направления информационной безопасности Лиги Цифровой Экономики

1. Наибольшей популярностью у среднего и крупного бизнеса пользуется гибридное решение на базе VPN и RDP/SSH-клиентов. Подобный подход позволяет обеспечить удовлетворительный уровень безопасности с минимумом дополнительных затрат.

Большие компании также могут использовать терминальную ферму. При таком подходе сотрудники подключаются к ресурсам организации не напрямую, а через специальные защищенные машины, которые обычно контролирует служба информационной безопасности.

Стоит отметить, что специализированные ИТ-компании, которые работают со множеством заказчиков, довольно серьезно подходят к безопасности доступа к своей инфраструктуре. Они активно применяют такие комплексные решения, как организация VDI совместно со средствами защиты информации и постоянным мониторингом со стороны службы информационной безопасности, использование PAM, DLP-систем и т. д.

Малый бизнес предпочитает другие, более доступные, но в то же время уязвимые схемы дистанционной работы. Например, бесплатные клиенты для удаленного доступа — AnyDesk или TeamViewer. Такие решения не рекомендуются, так как подключение проходит через сторонние серверы, а угроза утечки данных повышается.

Отдельно стоит разобрать экономический аспект и разобраться, насколько затратно организовать безопасный удаленный доступ сотрудников, в сравнении с классическим офисом и гибридной системой «свободного посещения».

Что выгоднее: безопасная удаленка или офис?

С точки зрения сотрудника, вероятнее всего, выгоднее удаленка. В первую очередь потому что экономит значительное количество времени, которое тратится на дорогу до работы и обратно. В то же время, далеко не у всех сотрудников есть физическая возможность организовать рабочее пространство дома.

С точки зрения компании, на первый взгляд, удаленка также выгодна, поскольку позволяет оптимизировать расходы на аренду офиса и его содержание. Это особенно актуально для молодых компаний и стартапов, которые еще не «обросли большим бюджетом».

Однако, с точки зрения кибербезопасности, удаленная работа становится уже не так выгодна, поскольку нужно потратить деньги на закупку устройств и организацию безопасного доступа к информационным системам компании.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Экономический аспект зависит от конкретной ситуации. С одной стороны, концепция Bring Your Own Device (BYOD) позволяет снизить затраты на рабочие места сотрудников, лицензии ПО, обслуживающий персонал. С другой стороны, внедрение новых решений для защиты удаленного доступа также требует финансирования, с ростом их качества и количества стоимость внедрения и обслуживания также будет увеличиваться. Поэтому к выбору систем безопасности следует подходить серьезно и ответственно, взвешивая стоимость и потенциальную выгоду от решений, либо воспользоваться помощью компетентных специалистов, которые помогут подобрать оптимальный вариант.

В контексте распределения бюджета вариант удаленного формата выглядит более распределенным, если прибегнуть к сервисной модели ИБ или «оплате по подписке», когда компания вносит плату с определенной периодичностью, избегая серьезных разовых трат.

Делегирование процессов информационной безопасности, связанных с обеспечением защищенного доступа, позволяет не только снизить расходы, но и оптимизировать диапазон задач для штатных специалистов по кибербезопасности. По ряду аспектов, аутсорс таких процессов дает даже больший уровень кибербезопасности, чем самостоятельная работы.

Дмитрий Доценко

Основатель и генеральный директор ИТ-компании «5-55»

Если компания просто создает для себя удаленные рабочие места — это точно дороже, чем когда она обходится локальным офисным решением. Другое дело, когда она подключается к сервису удаленных рабочих столов, где стоимость решения распределена на десятки тысяч других пользователей. Тогда существует возможность почти полностью перенести затраты на обеспечение информационной безопасности на сервис-провайдера, сократив число защищаемых объектов внутри локальной сети — достаточно все их вынести в датацентр. Такое решение получается заметно дешевле, чем попытка все сделать самим или в смешанной среде. Более того, при том же бюджете облачное решение окажется безопаснее, т. к. безопасность не имеет смысла без постоянных проверок. В облаке они происходят каждый день и являются неотъемлемой частью рутины и бюджета. В обычной офисной работе безопасности гораздо сложнее уделять должное внимание, и на проверки необходимо выделять отдельное время и бюджет — что мало кто делает в должном объеме.

Гибридный вариант наиболее оптимален с точки зрения соотношения затрат, комфорта сотрудников и уровня информационной безопасности. В таком формате важно не только интегрировать инструменты, но и определить, для каких сотрудников возможен удаленный формат, а для каких предпочтителен офисный. А также градировать, разграничить доступ к разным элементам инфраструктуры, чтобы «удаленщик», по возможности, не имел рут-прав в системе.

Итоги

Сотрудник, который работает удаленно может быть потенциальным таргетом или «точкой входа» для злоумышленника. Однако, такой же точкой входа может быть и офисный сотрудник, который пренебрегает правилами цифровой гигиены.

Существующие инструменты и практики, при их грамотном использовании, позволяют практически до нуля свести уровень обеспечения ИБ офисного и удаленного рабочего места. Но этот тезис актуален только для зрелой, с точки зрения ИБ, компании, которая считает кибербезопасность одним из приоритетных направлений развития своей компании и продуктов.

Сергей Кривошеин

Директор центра развития продуктов NGR Softlab

Межсетевой экран, средства обнаружения вторжений, антивирусные решения/EDR, парольная политика — это базовые средства и методы защиты для сети организации. Удаленный рабочий стол — не исключение.

Сама технология от Microsoft обладает встроенными средствами защиты от несанкционированного доступа, например, использование Remote Desktop Gateway в качестве прокси для подключения. Также не лишним будет использовать нестандартный порт и технологию Port Knocking для защиты от сканирования, временную блокировку IP-подключения при неудачных попытках входа и отключить встроенные учетные записи с фиксированными SID.

В большинстве случаев RDP используют через VPN или в составе инфраструктуры VDI. В качестве дополнительных средств популярны многофакторная аутентификация (MFA), Honeypot или аналогичные решения (для выявления попыток атак), PAM — для привилегированных сессий. Как и для любых критичных внешних сервисов — средства защиты от DDOS. Средства поведенческой аналитики (UBA, NTBA) помогут выявить подозрение в компрометации учетной записи, которое уже произошло.

С точки зрения экономической целесообразности и соотношения расходов, значительного отличия в затратах (на дистанции 1-3 года) на обеспечение удаленного доступа и содержание офиса нет. При этом, гибридный формат позволяет обеспечить оптимальное соотношение комфорта сотрудников, уровня информационной безопасности и экономических затрат.

Александр Дворянский

Директор департамента информационной безопасности Sitronics Group

Организация офисного формата - это больше САРЕХ-история, поэтому несет в себе большие разовые затраты. Организация удаленных столов – это больше сервисная история, поэтому ее эффективнее развивать как ОРЕХ, что в целом снижает разовые затраты и порог входа. На горизонте трех лет они сопоставимы экономически, но в более долгосрочной перспективе, по моему мнению, выигрывает ОРЕХ.

Подводя итог, можно сказать, что обеспечение безопасности удаленного рабочего места уже успело стать типовой задачей для ИБ-специалистов многих компаний, и есть все необходимые инструменты для того, чтобы обеспечивать уровень безопасности наравне со « стационарными» рабочими местами.