ГИС

Обеспечение безопасности удаленных рабочих мест: стоит ли игра свеч?

Обеспечение безопасности удаленных рабочих мест: стоит ли игра свеч?
Обеспечение безопасности удаленных рабочих мест: стоит ли игра свеч?
23.01.2023

Удаленная работа перестала быть привилегией немногих во время ковида, ввиду потребности социального дистанцирования. Это породило спрос как на сами сервисы, софт для организации работы сотрудников, так и на средства обеспечения безопасности удаленного доступа.

Несмотря на то, что пандемия уже перестала быть актуальной проблемой, « тренд на удаленку» во многих компаниях сохранился. Помимо этого, многие молодые компании и стартапы вовсе не имеют физического офиса, а команда проекта «разбросана» сразу по нескольким государствам.

В то же время, сотрудники-удаленщики становятся привлекательной мишенью для разных киберзлоумышленников, как потенциальная « точка входа» в корпоративную инфраструктуру компании.

Юрий Миронов

Заместитель технического директора по информационной безопасности САТЕЛ

Удаленные рабочие столы сотрудников, соединенные с информационными системами компаний по протоколам удаленного доступа (RDP), являются постоянной мишенью для кибератак. Злоумышленники используют уязвимости RDP для организации распределенных DDoS-атак, а также для доставки вымогательского ПО с последующей его установкой на критически важных системах компаний. С момента начала пандемии и массового перехода российских компаний на удаленную работу стабильно растет число кибератак с использованием вредоносных стилеров, крадущих пароли и другую учетную информацию пользователей RDP. Например, в период с января по апрель 2022 года было зафиксировано более 27 миллионов таких атак, что в полтора раза выше показателя аналогичного периода 2021 года. В 2023 году тенденция продолжится: суммарное число кибератак против российских организаций, вырастет на 50%.

О том, насколько уязвимы удаленные рабочие места, какие риски ждут компанию при организации удаленного доступа и какие технические решения могут помочь в обеспечении безопасного доступа – в этой статье.

Основные проблемы организации удаленного доступа к корпоративной сети

Основная проблема заключается в том, что «офисная» кибербезопасность и специализированные решения развивалась с того момента, как появилась киберпреступность, в то время как актуализация удаленной работы произошла три года назад. Соответственно и массовый спрос на корпоративные инструменты обеспечения защищенного удаленного доступа, возник сравнительно недавно.

Андрей Игнатов

Менеджер по продуктам Рутокен компании «Актив»

1. Пакеты данных, передаваемые внутри офисной сети перехватить практически невозможно, а вот при удаленной работе используются внутри домовые сети или даже публичные точки доступа, которые уязвимы.

2. Вряд ли посторонний сумеет незаметно проникнуть в офис, сесть за компьютер сотрудника и выполнить от его имени какие-то операции. А вот при удаленной работе вы не знаете кто именно подключается к серверам организации – легальный пользователь, или злоумышленник укравший его пароль.

3. В офисе для работы используется служебный ПК, на котором нет потенциально небезопасного ПО (например, пиратских игр), зато установлен антивирус. При удаленной работе зачастую используется личный компьютер сотрудника, возможно содержащий вирусы и трояны.

Первейшая проблема возникает уже «на старте», при входе сотрудника в ИС. В « стационарном» офисе убедиться в том, что это именно сотрудник компании – достаточно просто (если не брать во внимание случаи с перехватом сессии), нужно всего лишь подойти к его рабочему месту.

В случае с удаленным риском всегда существует риск, что вместо сотрудника в корпоративную сеть входит кто-то третий, получивший прямой доступ к устройству. Частично, этот риск нивелируется интеграцией систем многофакторной аутентификации, однако они не исключают тот факт, что сотрудник действует под давлением злоумышленников.

На этом риске, вероятно, базируется обсуждение запрета на удаленную работу из-за границы среди законодателей. С другой стороны, список компаний, сотрудники которых могут попасть в такую ситуацию (прямое физическое давление с целью получения доступа) достаточно ограничен.

Второй весомый риск находится на аппаратном уровне. Устройство, которым сотрудник пользуется для работы, может также использоваться и в личных целях. Чем закончится попытка скачать с торрента фильм на вечер, можно только догадываться. В лучшем случае, ПК пополнит чей-то ботнет, в худшем – станет точкой входа для оператора вируса-шифровальщика.

Павел Яшин

Руководитель службы информационной безопасности iiii Tech («Форайз»)

В чем же риск и где здесь угроза? Ответ прост – человеческий фактор. В идеальном мире человек выполняет все требования политики по информационной безопасности, в реальном... использует свой рабочий инструмент, в том числе, и для своих личных нужд: например, зачем мне личный лэптоп, если есть корпоративный, и с него тоже можно посмотреть сериал, послушать музыку, а еще можно пустить ребенка скачать реферат, включить мультик. В общем-то соблазнов много. Чем и пользуются злоумышленники.

На мой взгляд – разделять понятие рабочего места на «домашнее/удаленное» и «стационарное» - неверно. Необходимо обеспечивать одинаковый технический уровень защиты в обоих случаях, а в случае удаленной работы – дополнительно обращать внимание на уровень осведомленности (т.н. Awareness) сотрудников.

Третья большая «боль» – это нехватка софта для решения всего диапазона рабочих задач. В некоторых случаях она обусловлена спецификой деятельности. Например, если сотрудник взаимодействует с клиентами компании, у них просто нет учетных записей в доверенных программах и коммуникация вынужденно идет через незащищенные каналы. Свою лепту в этот процесс внес и исход иностранных вендоров ПО.

При этом, недостаток того или иного доверенного канала коммуникации, как правило, закрывается мессенджером. Многие эксперты в принципе не рекомендуют использовать тот же WhatsApp для любых коммуникаций, что будет если обсуждать в нем рабочие процессы – остается только догадываться.

Федор Чернов

Директор по развитию getCompass.ru

Одна из самых распространенных ситуаций: сотрудник уходит работать к конкуренту, и данные из мессенджера — это отличная возможность забрать с собой базу клиентов или уникальные авторские наработки, когда речь идет об интеллектуальной собственности.

К сожалению, этот аспект безопасности продуман не во всех мессенджерах. Как правило, сотрудники компаний смешивают рабочие переписки с личными, а, расставаясь с подчиненными, многие руководители не задумываются о том, в скольких чатах сотрудники остаются и какой объем данных по-прежнему находится в их распоряжении. Однако есть инструменты, в которых этот риск учтен и продуман.

В основу ряда мессенджеров заложен принцип работы в отдельных пространствах под конкретные задачи. Попасть в такое пространство можно только по приглашению. Например, инструмент Compass позволяет создавать такие воркспейсы и приглашать в них людей по ссылке. Создать ссылку-приглашение может только администратор рабочего пространства, которым обычно является руководитель или владелец бизнеса.

Вся рабочая или проектная коммуникация ведется в рамках такого пространства, то есть внутри него можно создавать сколько угодно чатов, а в момент выхода из пространства пользователь одновременно выходит из всех переписок. Лишить сотрудника доступа к данным можно буквально в несколько кликов, не тратя время на удаление его из всех важных обсуждений.

Есть и множество проблем, которые характерны как для офиса, так и для удаленки. Разница только в том, что « стационарный» формат существует дольше, распространен шире и охвачен лучше, поэтому целый ряд проблем решаются « по умолчанию», в то время как для защиты удаленного доступа нужно заново разрабатывать политики, внедрять средства и решать другие проблемы аппаратного, программного и управленческого уровней.

Как сделать удаленку безопасной

Безопасность всегда начинается с административного уровня, на котором определяется порядок работы и ответственность за его нарушение, строится риск-модель и формулируются недопустимые события, на избежание которых и направлены все силы.

В актуальных условиях повышенных рисков кибербезопасности, наиболее оптимальный подход – это политика нулевого доверия. Причем в отношении всех устройств, как внутренних, так и внешних. Реализация такого подхода требует большего времени и ресурсов, зато позволяет создать единые правила и обеспечить одинаково высокий уровень защищенности контура.

Иван Чернов

Менеджер по развитию UserGate (эксперт в сфере информационной безопасности)

В последнее время все большую популярность набирает концепция безопасности «нулевое доверие». Если коротко, «zero trust» уравнивает в правах доступа как внутренних, так и внешних удаленных пользователей, применяя ко всем одинаково строгие правила и политики. Возможным это становится благодаря использованию решений класса NAC на удаленных конечных станциях. Поэтому задействуя современные средства защиты информации, экосистемный подход и концепцию «zero trust» можно обеспечить уровень защиты удаленного рабочего места, не уступающий стационарному.

На уровне регламентов также важно определиться с тем, к каким системам и данным удаленный сотрудник в принципе может иметь доступ. Разграничение доступа внутри инфраструктуры серьезно упрощает процесс отслеживания активности и детектирования инцидентов. Количество «привилегированных пользователей» не должно выходить за рамки необходимого для обеспечения эффективности бизнес-процессов.

Первый вопрос после создания регламентов – аппаратный. Нужно определиться с тем, каким будет рабочее устройство пользователя. Оптимальный вариант для компании – приобрести его для сотрудника самостоятельно, поскольку это снимает все вопросы относительно того, какой контролирующий и защитный софт может использовать работодатель. В случае, если сотрудник использует «домашний ПК», внедрение некоторых систем может стопориться нежеланием сотрудника устанавливать на свое устройство «следящий софт».

Если говорить о программном уровне обеспечения удаленного доступа к ресурсам компании, то наиболее распространены решения следующих классов:

  • защита конечных точек;
  • защита/шифрование трафика и обмена данными;
  • механизмы аутентификации пользователя.

Данные решения можно отнести к лучшим практикам и « рекомендациям первой очереди». Это не исчерпывающий список защитных инструментов, однако интеграция более сложных и «продвинутых» механик во многом зависит от общего уровня зрелости ИБ в конкретной компании.

Виктор Чащин

Операционный директор компании "МУЛЬТИФАКТОР"

Традиционно «закрывают» удаленный стол с помощью ограничений доступа извне: сотрудник получает доступ только при использовании корпоративного VPN, после входа во внутреннюю сеть организации.

В последние годы распространяется практика замены традиционных логинов-паролей на вход по сертификату и добавление второго фактора на вход.

Кроме этого, используют специализированные системы VDI, которые, в том числе, мониторят необычную активность пользователя.

Несомненно, чем больше вариантов подключения к рабочему столу, тем больше рисков. Даже, если к рабочему столу подключился легитимный пользователь, это не означает, что кто-то после не сможет перехватить управление (например, котик, топчущийся по клавиатуре).

Тема котиков и детей хоть и комична, но тоже относится к рискам ИБ, поскольку виной остановки работы вполне может стать не хакер, а ребенок, который «случайно нажал все удалить» пока родитель отвернулся от монитора.

Помимо этого, на выбор средств защиты удаленного рабочего места влияет и масштаб компании, в том числе – количество сотрудников, которые будут работать удаленно. Как правило, небольшие компании склоняются в пользу минимального обеспечения защиты своими силами (VPN) и делегацию остальных процессов на сторону сервисов, в том числе бесплатных.

Такие решения могут быть удобны и оптимальны с точки зрения затрат, но уровень их безопасности, как минимум, не очевиден, что недопустимо в контексте информационной безопасности и растущих рисков ИБ.

Виталий Мищенко

Руководитель группы СЗИ направления информационной безопасности Лиги Цифровой Экономики

1. Наибольшей популярностью у среднего и крупного бизнеса пользуется гибридное решение на базе VPN и RDP/SSH-клиентов. Подобный подход позволяет обеспечить удовлетворительный уровень безопасности с минимумом дополнительных затрат.

Большие компании также могут использовать терминальную ферму. При таком подходе сотрудники подключаются к ресурсам организации не напрямую, а через специальные защищенные машины, которые обычно контролирует служба информационной безопасности.

Стоит отметить, что специализированные ИТ-компании, которые работают со множеством заказчиков, довольно серьезно подходят к безопасности доступа к своей инфраструктуре. Они активно применяют такие комплексные решения, как организация VDI совместно со средствами защиты информации и постоянным мониторингом со стороны службы информационной безопасности, использование PAM, DLP-систем и т. д.

Малый бизнес предпочитает другие, более доступные, но в то же время уязвимые схемы дистанционной работы. Например, бесплатные клиенты для удаленного доступа — AnyDesk или TeamViewer. Такие решения не рекомендуются, так как подключение проходит через сторонние серверы, а угроза утечки данных повышается.

Отдельно стоит разобрать экономический аспект и разобраться, насколько затратно организовать безопасный удаленный доступ сотрудников, в сравнении с классическим офисом и гибридной системой «свободного посещения».

Что выгоднее: безопасная удаленка или офис?

С точки зрения сотрудника, вероятнее всего, выгоднее удаленка. В первую очередь потому что экономит значительное количество времени, которое тратится на дорогу до работы и обратно. В то же время, далеко не у всех сотрудников есть физическая возможность организовать рабочее пространство дома.

С точки зрения компании, на первый взгляд, удаленка также выгодна, поскольку позволяет оптимизировать расходы на аренду офиса и его содержание. Это особенно актуально для молодых компаний и стартапов, которые еще не «обросли большим бюджетом».

Однако, с точки зрения кибербезопасности, удаленная работа становится уже не так выгодна, поскольку нужно потратить деньги на закупку устройств и организацию безопасного доступа к информационным системам компании.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Экономический аспект зависит от конкретной ситуации. С одной стороны, концепция Bring Your Own Device (BYOD) позволяет снизить затраты на рабочие места сотрудников, лицензии ПО, обслуживающий персонал. С другой стороны, внедрение новых решений для защиты удаленного доступа также требует финансирования, с ростом их качества и количества стоимость внедрения и обслуживания также будет увеличиваться. Поэтому к выбору систем безопасности следует подходить серьезно и ответственно, взвешивая стоимость и потенциальную выгоду от решений, либо воспользоваться помощью компетентных специалистов, которые помогут подобрать оптимальный вариант.

В контексте распределения бюджета вариант удаленного формата выглядит более распределенным, если прибегнуть к сервисной модели ИБ или «оплате по подписке», когда компания вносит плату с определенной периодичностью, избегая серьезных разовых трат.

Делегирование процессов информационной безопасности, связанных с обеспечением защищенного доступа, позволяет не только снизить расходы, но и оптимизировать диапазон задач для штатных специалистов по кибербезопасности. По ряду аспектов, аутсорс таких процессов дает даже больший уровень кибербезопасности, чем самостоятельная работы.

Дмитрий Доценко

Основатель и генеральный директор ИТ-компании «5-55»

Если компания просто создает для себя удаленные рабочие места — это точно дороже, чем когда она обходится локальным офисным решением. Другое дело, когда она подключается к сервису удаленных рабочих столов, где стоимость решения распределена на десятки тысяч других пользователей. Тогда существует возможность почти полностью перенести затраты на обеспечение информационной безопасности на сервис-провайдера, сократив число защищаемых объектов внутри локальной сети — достаточно все их вынести в датацентр. Такое решение получается заметно дешевле, чем попытка все сделать самим или в смешанной среде. Более того, при том же бюджете облачное решение окажется безопаснее, т. к. безопасность не имеет смысла без постоянных проверок. В облаке они происходят каждый день и являются неотъемлемой частью рутины и бюджета. В обычной офисной работе безопасности гораздо сложнее уделять должное внимание, и на проверки необходимо выделять отдельное время и бюджет — что мало кто делает в должном объеме.

Гибридный вариант наиболее оптимален с точки зрения соотношения затрат, комфорта сотрудников и уровня информационной безопасности. В таком формате важно не только интегрировать инструменты, но и определить, для каких сотрудников возможен удаленный формат, а для каких предпочтителен офисный. А также градировать, разграничить доступ к разным элементам инфраструктуры, чтобы «удаленщик», по возможности, не имел рут-прав в системе.

Итоги

Сотрудник, который работает удаленно может быть потенциальным таргетом или «точкой входа» для злоумышленника. Однако, такой же точкой входа может быть и офисный сотрудник, который пренебрегает правилами цифровой гигиены.

Существующие инструменты и практики, при их грамотном использовании, позволяют практически до нуля свести уровень обеспечения ИБ офисного и удаленного рабочего места. Но этот тезис актуален только для зрелой, с точки зрения ИБ, компании, которая считает кибербезопасность одним из приоритетных направлений развития своей компании и продуктов.

Сергей Кривошеин

Директор центра развития продуктов NGR Softlab

Межсетевой экран, средства обнаружения вторжений, антивирусные решения/EDR, парольная политика — это базовые средства и методы защиты для сети организации. Удаленный рабочий стол — не исключение.

Сама технология от Microsoft обладает встроенными средствами защиты от несанкционированного доступа, например, использование Remote Desktop Gateway в качестве прокси для подключения. Также не лишним будет использовать нестандартный порт и технологию Port Knocking для защиты от сканирования, временную блокировку IP-подключения при неудачных попытках входа и отключить встроенные учетные записи с фиксированными SID.

В большинстве случаев RDP используют через VPN или в составе инфраструктуры VDI. В качестве дополнительных средств популярны многофакторная аутентификация (MFA), Honeypot или аналогичные решения (для выявления попыток атак), PAM — для привилегированных сессий. Как и для любых критичных внешних сервисов — средства защиты от DDOS. Средства поведенческой аналитики (UBA, NTBA) помогут выявить подозрение в компрометации учетной записи, которое уже произошло.

С точки зрения экономической целесообразности и соотношения расходов, значительного отличия в затратах (на дистанции 1-3 года) на обеспечение удаленного доступа и содержание офиса нет. При этом, гибридный формат позволяет обеспечить оптимальное соотношение комфорта сотрудников, уровня информационной безопасности и экономических затрат.

Александр Дворянский

Директор департамента информационной безопасности Sitronics Group

Организация офисного формата - это больше САРЕХ-история, поэтому несет в себе большие разовые затраты. Организация удаленных столов – это больше сервисная история, поэтому ее эффективнее развивать как ОРЕХ, что в целом снижает разовые затраты и порог входа. На горизонте трех лет они сопоставимы экономически, но в более долгосрочной перспективе, по моему мнению, выигрывает ОРЕХ.

Подводя итог, можно сказать, что обеспечение безопасности удаленного рабочего места уже успело стать типовой задачей для ИБ-специалистов многих компаний, и есть все необходимые инструменты для того, чтобы обеспечивать уровень безопасности наравне со « стационарными» рабочими местами.


Комментарии 0