После пандемии: ИБ в условиях новой «нормальности»

Самоизоляция заканчивается. Регионы, включая Москву, плавно выходят из особого режима.

Сейчас компании решают, что будет для них новым «нормальным» форматом работы. Согласно опросу Центра стратегических разработок, около 70% работодателей рассчитывают сохранить для своих сотрудников дистанционную работу. Это означает, что с выходом из режима самоизоляции большинство компаний не вернутся к своему привычному образу жизни, и часть останется на «удаленке» на постоянной основе.

Сегодня одним из важнейших факторов стабильного функционирования бизнеса является то, насколько достаточными будут меры, принимаемые для обеспечения безопасности в условиях новой «нормальности».

ИБ во время самоизоляции

Многие компании перешли на «удаленку» в экстренном порядке. Главным требованием было обеспечить работоспособность ИТ-инфраструктуры и доступ к ИС так, чтобы бизнес не остановился и компания продолжала работать в штатном режиме. Для этого применялись временные решения, с использованием неоптимальных с точки зрения ИБ схем подключения сервисов. Внимание ИБ уделялось по остаточному принципу, поскольку ИБ — поддерживающий процесс.

Все это привело к размытию внешнего периметра и увеличению возможностей для злоумышленников. Так, например, по данным «Ростелеком-Солар» число доступных сервисов по протоколу RDP только в первую неделю самоизоляции увеличилось на 15%, также выросло количество информационных систем, выведенных на внешний периметр. Ранее эти сервисы были доступны только в пределах сети организации и не подвергались такому массированному напору попыток подбора паролей (брутфорсу), эксплуатации уязвимостей с целью проникновения. Компании поставили себе новые двери с надписью «служебный вход», не позаботившись об обеспечении их безопасности или хотя бы контроля, и теперь это стало потенциально дополнительной точкой входа для злоумышленников.

Не стоит также забывать о том, что многие организации не успели закупить для сотрудников корпоративные ноутбуки для удаленной работы. Другие не планировали это делать, так как работа в офисе осуществлялась на стационарных ПК и покупка мобильных компьютеров могла обернуться полным обновлением парка ПК. Поэтому в начале самоизоляции возник дефицит техники для обеспечения корпоративными устройствами всех сотрудников, перешедших на «удаленку».

Часть компаний решили пойти по пути стратегии BYOD, когда сотрудники используют личные устройства: личный ПК или ноутбук, который не всегда удается контролировать компании. Однако концепция BYOD требует обеспечения отдельного направления ИБ — безопасности мобильных пользователей. В лучшем случае компании успели обеспечить пользователей безопасным удаленным доступом, но вряд ли контролировали хотя бы наличие антивируса и актуальность его баз, не говоря уже об изоляции данных и контроле ПО.

Даже если сотрудники работают на «удаленке» с корпоративных устройств, вероятность использования служебного ноутбука членами семьи существенно повысилась: количество времени, проведенного не в офисе, помноженное на количество работников.

Раньше сотрудник, приходя в офис, чувствовал больше ответственности за соблюдение правил ИБ. Психология человека такова, что на расстоянии страх, ответственность и внимательность снижаются — в офисе каждый предполагает, что зоркий «глаз» ИБ направлен в том числе в его сторону.

Возвращение в офис: что проверить?

Теперь, когда мы выходим из продолжительного режима работы из дома, важно понимать, на что с точки зрения ИБ стоит обратить внимание в первую очередь, что проверить и актуализировать:

• в обязательном порядке необходимо проверить устройства, которые вернутся в офис, на наличие потенциально опасных программ и файлов. Исследование компании DeviceLock зафиксировало, что число уязвимых Windows-компьютеров в России увеличилось на 230%;
• необходимо провести аудит архитектуры технических решений, выведенных на периметр: насколько они безопасно настроены и опубликованы. Принять решение, какие сервисы на периметре нужны, а какие необходимо вернуть обратно в периметр. Использование DMZ, обратных (revers) прокси и других технологий существенно осложняет проникновение в сеть компании при успешном взломе доступных извне сервисов. Да, пусть в компании есть RDP, который опубликован, но, возможно, стоит ввести двухфакторную аутентификацию, это позволит существенно защитить компанию от атак на уровне аутентификации. При этом потребуется обеспечить пристальный контроль за всеми доступными извне сервисами (настроить высокий уровень журналирования и реагирование на подозрительные события);
• пересмотреть/актуализировать парольную политику, поскольку, по данным «Ростелеком-Солар», 80% российских компаний не соблюдают базовых требований к паролям;
• провести внеплановое обучение по ИБ-грамотности и угрозам в условиях удаленной работы. Общий уровень осведомленности пользователей значительно снижает количество инцидентов с вредоносным ПО. Компании, которые используют информационные системы для проверки пользователей и выявления пробелов в их знаниях о безопасности, почти на 30% реже сталкиваются с инцидентами типа заражение вредоносным ПО и доставка вредоносного ПО через e-mail, свидетельствуют данные нашего Центра киберустойчивости (ACRC).

«Удаленка» на «постоянке»: как обеспечить ИБ?

Самые слабые места в ИБ при организации дистанционной работы — это устройства, на которых работают сотрудники при подключении к сервисам компании или при подключении к сети компании:

• для повышенной защиты устройства от злоумышленников мало просто инсталлировать антивирус. Требуется установить более современные инструменты безопасности, такие как EDR-решения. Они проверяют все процессы, которые выполняются на ПК, на их легитимность и позволяют остановить атаки, которые не используют вредоносные программы. Так, по статистике Positive Technologies, почти 50% всех действий киберпреступников могут ничем не отличаться от обычной деятельности пользователей и администраторов. Кроме того, требуется выявлять и блокировать сложные и неизвестные атаки, которые могут позволить злоумышленникам попасть в корпоративную сеть через ПК сотрудника. Можно установить EDR-решение только для сотрудников, которые работают из дома на постоянной основе или периодически. Если у вас нет специалистов, которые готовы работать с современными инструментами защиты, то всегда можно воспользоваться услугами сервис-провайдера;
• подключение к корпоративной сети компьютера сотрудника всегда должно осуществляться через легитимные удаленные соединения посредством VPN и безопасных (корпоративных) средств удаленного администрирования;
• использование двухфакторной аутентификации (MFA) для подключения к сервисам компании. Благодаря этому можно более эффективно защитить доступ к корпоративным ИС компании, подключение через VPN, доступ к облачным приложениям в случае их использования к данным сотрудников;
• использовать технологию NAC, позволяющую контролировать выполнение требований ИБ на подключаемых к корпоративной сети устройствах;
• использование технологий VDI, службы виртуальных рабочих столов, позволит минимизировать риск утечки информации и заражения ВПО. Так как по факту сотрудники не будут иметь своих рабочих мест, все рабочие столы будут в виртуальной инфраструктуре и доступ к возможности скачивания информации будет ограничен. Или использование шифрованной области хранения данных и виртуальных комнат при использовании VPN.

Что будет дальше?

По нашему мнению, со смещением трудового взаимодействия в онлайн-пространство будет уделяться больше внимания:

• контролю выполнения требований ИБ за подключаемыми устройствами к корпоративной сети;
• защите конечных точек от сложных угроз, защите доступов к информационным системам, которые доступны на периметре;
• защите ИС, находящихся на периметре, от DDoS-атак;
• средствам фильтрации трафика прикладного уровня (WAF), которые специально ориентированы на веб-приложения;
• защите от целевых атак (решения antiAPT);
• сервисам, направленным на увеличение осведомленности пользователей (решения антифишинг);
• выявлению инцидентов ИБ с помощью систем мониторинга либо SOC.

Реализация всех указанных выше пунктов потребует от компаний дополнительных незапланированных затрат, так как стоимость одного безопасного рабочего места может существенно вырасти по сравнению с офисом, а панацеи не существует, и компании будут вынуждены искать способы снижения такого рода издержек. Не стоит забывать, что помимо покупки инструментов, проектирования и внедрения потребуется и эффективная работа с этими инструментами, так как мало просто внедрить современные инструменты ИБ, без профессиональной команды экспертов их ценность для компаний останется крайне невысокой.

В данном случае можно спрогнозировать рост спроса на сервисы ИБ: благодаря тиражированным услугам MSSP может предложить наиболее сбалансированное решение по соотношению цена/качество.

Кроме того, мы видим, что скептицизм в отношении облачных сервисов и удаленного доступа к ИС идет на спад. Бизнес приспосабливается к новым реалиям. Кроме того, уже становится не так страшно передавать информацию — периметр размыт, теперь важно эффективно решить вопросы ее защиты.

Все так или иначе сталкиваются с инцидентами ИБ, и тут важно быть к этому готовым, правильно на них реагировать, оперативно локализовать без каких-либо существенных потерь со стороны бизнеса. А как известно, предупрежден — значит вооружен.

Оксана Васильева, руководитель Angara Professional Assistance (входит в группу компаний Angara)