Сотрудники на «удаленке»: основные риски безопасности и как их минимизировать

В регионах России снова начинается постепенный перевод сотрудников на удаленную работу. Кроме очевидных плюсов и минусов это означает повышенные риски для безопасности – контролировать работу десятков или сотен чужих компьютеров может быть очень сложно. Эксперт по информационной безопасности Денис Батранков рассказал нам, какие технологии можно использовать при переводе персонала на «удаленку».

Самые важные три вопроса, ответы на которые должна знать служба информационной безопасности сегодня:

1. Как проверить, что тот человек, который подключился удаленно в компанию, именно тот самый сотрудник, которым он представился. Подтверждение подлинности в виде логина и пароля уже не актуально, потому что пароль легко можно украсть.

2. Как проверить, что сотрудник до подключения к сети компании не удалил или выключил все корпоративные системы контроля рабочей станции и в результате не заразился и его компьютер не будет атаковать внутренние ресурсы компании после того, как ему дали доступ в сеть по VPN.

3. Как проверить, что на компьютере сотрудника, который подключился из дома не работает хакер. Хакеры сегодня часто не пользуются вредоносным кодом. Например, они подключаются по RDP к компьютеру, или пользуются социальной инженерией, уговаривают человека установить какой-то нужный вашему сотруднику софт и в нем установлена популярная программа для удаленного управления, например, teamviewer.

Проверка подлинности пользователя

Первая задача решается внедрением двухфакторной аутентификации. Лучшим решением является приложение на телефоне, например, Okta или PingID. Также вы можете использовать аппаратные токены, например, YubiKey. Подтверждение через СМС тоже вариант, но в мире все больше случаев, когда делают копию SIM-карты или просто вставляют SIM-карту сотрудника себе в телефон, поэтому такой способ подтверждения уже не так безопасен, как раньше.

Обычно VPN клиент имеет встроенный механизм интеграции с любым количеством дополнительных факторов аутентификации.

Если у вас есть такая возможность, то нужно обязательно использовать второй фактор, что будет гарантировать, что в сеть вошел именно ваш сотрудник, а не подставное лицо. Также второй фактор защищает от ситуации, что несколько сотрудников входят под одним и тем же логином. Поскольку второй фактор обычно привязывается к телефону конкретного сотрудника.

Проверка компьютера пользователя

Вторая задача решается тем, что современные VPN клиенты подключаются не к обычному VPN шлюзу, а к VPN, встроенному в многофункциональное устройство защиты, содержащее дополнительный функционал, чтобы подключенный человек не просто получил доступ в сеть, а еще и постоянно проверялся во время своей работы дополнительными движками безопасности: анализом приложений прикладного уровня и файлов в них, системой предотвращения атак, URL фильтрацией, антивирусом, поведенческим анализом и другими методиками, в зависимости от поставщика решения. Такой функционал есть в современных межсетевых экранах нового поколения (NGFW). Там есть и шлюз VPN и движки защиты.

Если сотрудник заражен и его компьютер или он сам атакуют сеть, то это будет обнаружено и заблокировано прямо на этом шлюзе и атака не пройдет глубоко в сеть. Вы можете поместить компьютер сотрудника в карантин, отключить его аккаунт и затем ваша группа разбора инцидентов сможет разобраться, как так произошло и восстановить безопасность на домашнем компьютере.

Имеющийся механизм просмотра приложений в NGFW показывает, что много сотрудников посещает сайты не по работе, пользуются приложениями, не относящимися к работе. Ну и в принципе дома им это делать никто не мешает, что порождает дополнительные риски и мы должны с ними работать прямо в точке подключения. И здесь фильтрация средствами NGFW является лучшим решением, поскольку он видит все приложения и может проверить DNS запросы, расшифровать SSL трафик, включить функции DLP. Если сотрудник заражается троянской программой или сетевым червем, которых не видит хостовая защита, то NGFW это видит, потому что в сетевом трафике вредоносные подключения не могут спрятаться.

Продвинутые VPN клиенты при подключении к NGFW отправляют ему информацию об установленных программах и об их версиях на домашнем компьютере или на корпоративном ноутбуке. Обычно мы ожидаем увидеть хотя бы антивирус, шифрование диска и включенный бэкап. У каждой такой программы есть набор настроек, например, у антивируса это информация о том, как давно обновляли его сигнатуры.

И вся эта информация отправляется на проверку NGFW и на этом центральном шлюзе вы можете проконтролировать у каждого сотрудника, соответствуют ли его текущие настройки корпоративной политике безопасности. Например, если он не обновлял сигнатуры антивируса несколько дней, или вообще выключил антивирус, то вы просто не пустите его в сеть. В момент подключения вы можете запросить пользователя установить нужные обновления и лишь после их установки пустите его дальше в корпоративную сеть к конфиденциальным ресурсам.

Такая проверка соответствия настроенной защиты и требуемых политик на домашнем компьютере является на сегодня необходимым шагом для предотвращения заражения операционной системы и обеспечения превентивной защиты корпоративной сети от заражения с этой домашней станции. Спрашивайте вашего поставщика NGFW, есть ли у него функционал сбора и проверки всех настроек с операционной системы и настроек всего установленного софта со всех удаленных VPN подключений.

Обычно операционной системой является Windows, но если ваши сотрудники работают с MacOS или Linux, то там тоже нужны эти проверки, поскольку эти операционные системы тоже сегодня содержат уязвимости и их взламывают.

Вычислить возможного хакера

Третья задача решается использованием специализированной защиты домашних рабочих станций, которая на рынке безопасности представлена продуктами класса eXtended Detection and Response (XDR). Эти продукты также содержат в своем составе антивирус, но это лишь один из компонентов. Такие продукты обнаруживают взломы не только вредоносными программами, но и атаки, которые делают встроенными в операционную систему утилитами.

Это многофункциональная защита, которая защищает от криптолокеров, от эксплойтов и от ошибок пользователя: кликов на вредоносные ссылки, установку шпионских программ. В таких продуктах работают все современные технологии защиты, которые разрабатывают ведущие мировые производители. Также XDR управляется из единой консоли управления, и вы видите ситуацию с защитой всех рабочих станций и всех сотрудников, которые находятся в сети компании и которые путешествуют и которые работают из дома.

Даже, когда человек не подключен к сети компании, то он все равно защищен, поскольку защита работает локально. При подключении в сеть она передает информацию о том, какие инциденты были и ваши «безопасники» решают, нужно ли разбираться, почему так произошло и принимают дополнительные меры реагирования.

Резюме

Таким образом, рецепт безопасности: пускайте своих сотрудников в корпоративную сеть через сетевой фильтр, которым является межсетевой экран нового поколения и продвинутая защита рабочих (домашних) станций.

Глобальные компании, представительства которых находятся во многих странах, сегодня используют похожий вариант защиты, который Gartner называет Secure Access Service Edge (SASE). Отличие в том, что шлюз безопасности, который фильтрует атаки сотрудников и подключает их к этом шлюзу по VPN находится не в каком-то конкретном офисе, а является распределенным ресурсом по всему миру, доступным в каждой стране и автоматически масштабируемым под число подключенных сотрудников. Обычно используются ресурсы облачных провайдеров, таких как Google, поэтому если к шлюзу нужно подключить еще 10000 новых сотрудников, то производительность шлюза безопасности автоматически увеличивается.

Хорошим примером решения класса SASE является сервис Prisma Access компании Palo Alto Networks. Ваши сотрудники подключаются не в конкретный офис компании, а к ближайшему доступному шлюзу защиты и он выполняет фильтрацию, контролирует работу сотрудника, и он же предоставляет через себя защищенный доступ к ресурсам компании, откуда бы сотрудник не работал: из Тайланда, Австралии, США или России.