Практика организации безопасного удалённого доступа

Практика организации безопасного удалённого доступа

Что происходит на рынке безопасного удалённого доступа и как правильно защитить подключение сотрудника к корпоративным ресурсам извне? Как регуляторы влияют на процесс дистанционной работы и нужно ли следить за сотрудником, работающим из дома? Мы поговорили с экспертами рынка информационной безопасности о практических вопросах реализации безопасной «удалёнки».

 

 

 

 

 

  1. Введение
  2. Текущая ситуация в сфере безопасного удалённого доступа
  3. Как организовать безопасный удалённый доступ
  4. Кто и как контролирует удалённый доступ
  5. Перспективы рынка безопасного удалённого доступа
  6. Выводы

Введение

Весной прошлого года организации, работающие во всех отраслях, вне зависимости от своего масштаба, столкнулись с неожиданной и общей проблемой — необходимостью перестроить свои бизнес-процессы под работу в условиях пандемии COVID-19. Одной из ключевых задач в условиях установленных властями ограничений стал перевод сотрудников на удалённую работу.

Спустя год после начала пандемии значительная часть персонала государственных и частных компаний всё ещё работает дистанционно. О том, какие проблемные задачи стояли перед специалистами по информационной безопасности весной 2020 года, какие пути решения были найдены и как сейчас обеспечивать безопасный доступ удалённых сотрудников к корпоративным ресурсам, нам рассказали ведущие эксперты отрасли, представители вендоров и интеграторов на очередной встрече в рамках онлайн-конференции AM Live.

В прямом эфире, который состоялся 23 апреля 2021 года, приняли участие:

  • Сергей Кузнецов, коммерческий директор центра защиты информации компании «Конфидент».
  • Саид Атциев, руководитель отдела поддержки продаж компании Cross Technologies.
  • Андрей Работинский, ведущий пресейл-инженер ООО «С-Терра СиЭсПи».
  • Александр Баринов, руководитель направления сервисов Solar MSS компании «Ростелеком-Солар».

Модерировал конференцию Илья Шабанов, генеральный директор аналитического центра Anti-Malware.ru.

 

 

Текущая ситуация в сфере безопасного удалённого доступа

В первой части беседы мы предложили экспертам онлайн-конференции охарактеризовать текущую ситуацию с безопасностью удалённого доступа в России. Как пандемия изменила бизнес-процессы компаний? Много ли работников всё ещё выполняют свои обязанности дистанционно? Какие риски влечёт за собой «удалёнка»? Как регулируется сейчас удалённая работа? Вот что наши спикеры ответили на эти и другие вопросы модератора.

Сергей Кузнецов:

— Сотрудники ИТ-компаний давно практиковали удалённую работу. Ключевой особенностью текущего момента является масштаб, который приобрело это явление. Среди тех, кто начал работать из дома, оказались люди далёкие от информационных технологий и информационной безопасности — это основной вызов, который мы увидели. По результатам опроса наших партнёров, на конец 2020 года около 32 % сотрудников государственных заказчиков продолжали работать удалённо, при этом 90 % из них использовали домашние ноутбуки и компьютеры.

Саид Атциев:

— Если компания использовала практику удалённой работы до пандемии, то новые условия не стали шоком для неё. Большая часть таких клиентов нашла способ обеспечить своих сотрудников корпоративными устройствами для работы. Те же компании, которым пришлось в экстренном режиме перестраивать свои бизнес-процессы, на начальном этапе нередко использовали домашние компьютеры работников для удалённого доступа.

Андрей Работинский:

— Массовый выход сотрудников на «удалёнку» привёл к размытию периметра защиты корпоративной сети. VPN-доступ к ресурсам организации с личного компьютера может стать точкой начала атаки, если злоумышленник скомпрометирует пользовательское устройство. На мой взгляд, для обеспечения безопасности удалённого доступа связки «антивирус + VPN» недостаточно.

Александр Баринов:

— Зачастую домашние компьютеры имеют недостаточную производительность и с трудом выполняют бизнес-задачи, поэтому установка нескольких средств безопасности может привести к резкому росту обращений в службу поддержки с жалобами на неработоспособность устройства.

Зрители прямого эфира онлайн-конференции приняли участие в опросе и рассказали нам, какие устройства используются для удалённой работы в их компаниях. Как оказалось, 37 % организаций обеспечивают своих сотрудников компьютерами и ноутбуками для удалённой работы, 19 % предлагают работникам использовать личные устройства, а 44 % совмещают оба подхода.

 

Рисунок 1. Какие устройства используются для удалённой работы в вашей организации?

Какие устройства используются для удалённой работы в вашей организации?

 

Спикеры обратили внимание, что на начальном этапе пандемии наиболее остро ощущалась проблема сохранения работоспособности бизнеса, а информационная безопасность отходила на второй план. Как отметили гости студии, в случае удалённой работы сетевая инфраструктура пользователя — роутер с непропатченным ПО и слабым паролем — может стать слабым звеном и точкой входа для киберпреступников.

Эксперты пояснили, что ФСТЭК России выпустила рекомендации по организации удалённой работы, где указала на нежелательность использования домашних устройств при дистанционной деятельности. Это было единственной реакцией регулятора на изменившиеся условия функционирования организаций. Стоит отметить, что ранее «удалёнка» для компаний попадающих под госрегулирование была под негласным запретом. Сейчас эти ограничения, так же как и запрет на удалённое администрирование, сняты.

Гости студии рассказали, что в условиях ограниченного бюджета организация может повысить безопасность работы удалённых сотрудников не только техническими мерами, но и организационными. Инструкции для сотрудников, обучение, а также приказы и распоряжения, связанные с вопросами безопасной работы из дома, способны повысить уровень защищённости.

Как организовать безопасный удалённый доступ

Чтобы перевести беседу в практическую плоскость, ведущий предложил собравшимся экспертам рассказать о реальных случаях организации защищённого удалённого доступа. Какие аппаратные и программные решения нужно использовать сейчас, чтобы создать условия для безопасной работы сотрудника из дома? С чего начинать? Всем ли работникам требуется одинаковый уровень защиты? Эти вопросы мы поставили перед нашими спикерами.

По мнению гостей студии, классическое решение для организации защищённого удалённого доступа — это VPN и мультифакторная аутентификация. Многие компании просто масштабировали такую связку в условиях массового перехода на работу из дома. Кроме того, популярность набирают системы контроля действий привилегированных пользователей. В крупных компаниях пользуются спросом системы защиты от утечек информации (DLP).

Как отметили эксперты, традиционные средства защиты, связанные с идентификацией и аутентификацией, будут работать эффективнее, если в качестве второго фактора подключить биометрические инструменты. Это даст возможность контролировать личность человека, получающего доступ к корпоративной сети.

Для пользователей, которые работают с использованием собственных устройств, наши гости посоветовали использовать Live USB — специальный носитель, с которого производится загрузка доверенной ОС и доверенного VPN. Кроме того, эксперты отметили, что одним из решений может быть SASE (Secure Access Service Edge) — сервис периферийной безопасности, который предоставляет все средства защиты периметра из облака. В облако также можно перенести часть корпоративной инфраструктуры, организовав доступ сотрудников из дома только к нужным приложениям, без предоставления доступа ко всей сети организации.

Если же говорить о конкретном алгоритме перевода компании в режим удалённой работы, то, по мнению гостей AM Live, в первую очередь необходимо определить, кого и в каких условиях необходимо защищать. Конкретные инструменты удалённого доступа зависят от режима работы сотрудника — какие функции он должен выполнять и насколько значима та информация, с которой он работает. На это накладывается ограниченность по срокам и ресурсам, имеющимся в организации — например, количество ИБ-специалистов по отношению к поставленным задачам.

С точки зрения безопасного удалённого доступа всех сотрудников компании можно классифицировать следующим образом:

  • Сотрудники, которые могут работать вне территории организации без компьютера. Максимум того, что требуется таким работникам, — доступ к электронной почте и чатам.
  • Сотрудники, работающие с корпоративных ноутбуков и других мобильных устройств. Для них организуется удалённый доступ по VPN в сочетании с мультифакторной аутентификацией.
  • Сотрудники, работавшие в офисе на стационарных компьютерах. Для них можно: приобрести ноутбуки, подключить их к домену и настроить необходимые средства защиты; настроить RDP-доступ к рабочему компьютеру через VPN и мультифакторную аутентификацию; перенести стационарный компьютер домой, подключив его к корпоративной сети, также через VPN.
  • Сотрудники, для которых удалённая работа невозможна.
  • Специалисты по информационной безопасности и сотрудники ИТ-департамента.

Как отметили спикеры, пользователей можно разграничить по уровню доверия и исходя из него выбирать меры для защиты информации, которые будут использованы.

В результате опроса зрителей онлайн-конференции AM Live мы выяснили, что на 38 % предприятий сотрудникам предоставляется полный удалённый доступ к рабочему месту в офисе (через RDP, VDI и другие инструменты). В 26 % случаев работникам доступны средства коммуникации (почта и мессенджер) и различные онлайн-сервисы, а в 5 % — только средства коммуникации. Все вышеперечисленные сервисы доступны при удалённой работе 21 % опрошенных, а 10 % заявили, что, напротив, не имеют доступа ни к одному из вышеперечисленных ресурсов.

 

Рисунок 2. Какие ресурсы доступны сотрудникам при удалённой работе в вашей организации?

Какие ресурсы доступны сотрудникам при удалённой работе в вашей организации?

 

Кто и как контролирует удалённый доступ

Что происходит после того, как сотрудник был переведён на «удалёнку»? Как работодателю контролировать эффективность его работы? Какие возникают проблемы с соблюдением установленных регламентов и как на них будут реагировать регуляторы? Об этом мы решили поговорить с нашими экспертами в следующем блоке беседы.

Как отметили гости студии, важно не только собирать информацию с целью контроля деятельности работника, но и проводить мониторинг аномальной активности устройства с точки зрения информационной безопасности. В условиях дистанционной работы появляются новые ИБ-риски: угрозам подвергаются не только удалённые рабочие места, но и сами сотрудники. В отличие от офисных условий, ноутбук может быть украден или же сотрудник может действовать под давлением. Поведенческий анализ поможет выявить аномальную активность и блокировать подозрительное соединение.

На рынке существуют сертифицированные решения для организации безопасной сети на стороне удалённого пользователя, при помощи которых можно создать защищённый туннель до корпоративных ресурсов. В ряде случаев такие устройства могут заменять домашний роутер, раздавая беспроводной и проводной интернет так же, как и устройство от оператора связи, однако скорость соединения в этом случае будет весьма низкой.

По мнению зрителей прямого эфира, сертифицированные средства защиты удалённого доступа нужны не всегда. Рассматривают их как опцию 51 % респондентов, а считают сертификацию обязательной — 49 %.

 

Рисунок 3. Необходимы ли вашей организации сертифицированные средства защиты?

Необходимы ли вашей организации сертифицированные средства защиты?

 

В условиях размытого периметра конечные точки — это самая лёгкая возможность проникновения в инфраструктуру для злоумышленника. Поэтому именно защите конечных точек необходимо уделять повышенное внимание при организации удалённого доступа. Одним из инструментов, который облегчит жизнь ИБ-специалистам при переводе сотрудников на удалённую работу, является средство удалённого администрирования, позволяющее дистанционно решать многие технические проблемы и контролировать работу устройства.

В ряде случаев выполнять регламенты регуляторов в условиях удалённого доступа невозможно. В частности, любая работа с СКЗИ на дому затруднена. В связи с этим у компаний возникают дополнительные риски, связанные с проверками контролирующих органов, однако практика таких проверок в условиях удалённой работы неясна.

Большинство компаний, чьи представители наблюдали за прямым эфиром, не подвергались проверкам регуляторов. Об этом сообщили 49 % опрошенных нами зрителей. К 16 % респондентов приходила проверка из Банка России, к 12 % — из ФСТЭК России, к 2 % — из Роскомнадзора. Ещё 21 % наших зрителей заявили, что к ним в компанию часто приходят с проверками различные регуляторы.

 

Рисунок 4. Проходила ли в вашей организации проверка со стороны регуляторов?

Проходила ли в вашей организации проверка со стороны регуляторов?

 

Перспективы рынка безопасного удалённого доступа

В завершение беседы модератор конференции предложил участникам порассуждать о будущем рынка средств для безопасного удалённого доступа — рассказать, как будет меняться эта сфера и какие продукты будут востребованны в ближайшей перспективе.

Александр Баринов высказал мнение, что проблемы технологического оснащения средствами для организации массового удалённого доступа уже отходят на второй план. По мнению эксперта, в ближайшее время будет развиваться тренд мониторинга работы, контроля использования рабочего времени, понимания того, чем заняты сотрудники.

Наши эксперты указали, что в будущем должна возрасти роль DLP-систем, особенно для государственных организаций, поскольку коммерческие компании активно использовали такие решения и до пандемии.

По мнению Саида Атциева, в ближайшие годы большее внимание будет уделяться контролю работы с локальными файлами. Компании станут шире использовать DSS-системы для мониторинга жизненного цикла документа и понимания того, какие операции работник выполнял с этим документом. Чтобы исключить утечку данных через фотографирование экрана или снятие скриншотов, могут быть использованы средства уникализации изображения. Не менее важны и организационные меры по защите информации. Не исключено, что будут выпущены рекомендации от регулятора, затрагивающие этот аспект деятельности.

Сергей Кузнецов высказал мнение, что важный акцент будет сделан на управлении удалёнными рабочими местами. По прогнозу эксперта, рынком будет востребована система, которая позволит централизованно собирать данные со множества территориально распределённых пользовательских устройств и, напротив, централизованно раздавать обновления средств безопасности. В решениях для двухфакторной аутентификации станет более востребованной биометрия.

Андрей Работинский отметил, что пандемия заставила компании выставить наружу те сервисы, к которым ранее киберпреступники не могли получить доступ. Наши эксперты рассказали о возможности отложенной атаки, когда скомпрометированный компьютер, вернувшийся из дома в офис, будет подключён к корпоративной сети. В целом сейчас сложилась ситуация, когда периметр оказался вывернут наизнанку: раньше конечная точка была спрятана за файрволом, а теперь устройства сотрудников оказались за пределами периметра.

Подводя итоги беседы, мы поинтересовались у зрителей прямого эфира тем, каким стало их мнение относительно защиты удалённого доступа после просмотра онлайн-конференции. Почти треть опрошенных — 29 % — утвердились во мнении, что всё делают правильно. Ещё 21 % сказал, что теперь придётся многое переосмыслить, а 11 % планируют наметить план действий по результатам конференции. Не узнали ничего нового для себя 36 % респондентов, а 3 % считают, что эксперты не смогли объяснить специфику.

 

Рисунок 5. Каково ваше мнение относительно защиты удалённой работы после эфира?

Каково ваше мнение относительно защиты удалённой работы после эфира?

 

Выводы

Рынок решений для защиты удалённого доступа пережил резкий рост весной прошлого года. После начала пандемии организациям приходилось в срочном порядке искать средства поддержки изменившихся бизнес-процессов. В таких условиях вопросы безопасности зачастую отходили на второй план. За прошедшее время ситуация стабилизировалась и большинство компаний реализовали базовые или улучшенные системы защиты доступа удалённых сотрудников к корпоративным ресурсам.

Как показала онлайн-конференция, практика дистанционной работы вряд ли исчезнет в будущем, а значит, решения для обеспечения безопасности этого процесса будут развиваться. Постепенно системы защиты, выстроенные компаниями, будут совершенствоваться, прирастать новыми функциями, не исключено, что на рынке появятся новые продукты. Мы продолжим наблюдать за этой сферой информационной безопасности и, возможно, вернёмся к ней в рамках проекта AM Live.

Чтобы не пропустить следующие выпуски нашей онлайн-конференции, не забудьте подписаться на YouTube-канал Anti-Malware.ru и включить уведомления о новых материалах. До встречи в нашей студии!

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru