Удалённая работа, в том числе из дома — это удобно, но опасно. Подрядчиков взламывают для атак через цепочку поставок, привилегированные пользователи — мишень для фишинга, а на домашних ПК плодятся трояны. На AM Live рассказали об уязвимостях, защите каналов связи, Zero Trust и других тонкостях.
- Введение
- Какие угрозы несёт удалённый доступ?
- Как организовать удалённый доступ для подрядчиков?
- Как изменились требования регулятора?
- Как правильно организовать подключение удалённых пользователей
- С чего начать построение удалённого доступа
- Мониторинг удалённого доступа
- Прогнозы экспертов по удалённому доступу
- Выводы
Введение
Дистанционная работа удобна, но расширяет поверхность атаки и делает корпоративную инфраструктуру более уязвимой. Какие технологии и политики ИБ помогают минимизировать риски? Какие ошибки чаще всего допускают сотрудники и ИТ-специалисты при организации дистанционной работы? Разберёмся вместе с экспертами.
Рисунок 1. Эксперты в студии AM Live
Участники эфира:
- Дмитрий Орлёнок, ведущий менеджер по развитию бизнеса SafeInspect, Solar inRights.
- Дмитрий Лебедев, ведущий эксперт, «Код Безопасности».
- Алексей Брыляков, менеджер по развитию решений, УЦСБ.
- Александр Шилов, руководитель направления сетевой безопасности, «К2 Кибербезопасность».
- Игорь Еньков, владелец продукта Innostage PAM, Innostage.
Ведущий и модератор — Руслан Иванов, независимый эксперт.
Какие угрозы несёт удалённый доступ?
Дмитрий Лебедев считает, что для выявления угроз можно отталкиваться от проблем, которые связаны с безопасностью и организацией удалённого доступа. Перед службой ИБ может стоять дилемма — им нужно предоставить всем коллегам максимально простой, но при этом как можно более безопасный доступ.
Компрометация удалённого пользователя открывает двери в инфраструктуру, что может повлечь за собой утечки данных, атаки шифровальщиков. Сейчас со стороны регуляторов уделяется большое внимание защите удалённого доступа. НКЦКИ периодически публикует уведомления о том, какие угрозы сейчас актуальны и как от них защищаться.
Александр Шилов объяснил, что удалённый доступ создаёт дополнительные угрозы — нужно контролировать не только каналы связи, но и полномочия, которые предоставляются удалённым сотрудникам. Как правило, подрядчики получают доступ только к тем ресурсам, которые им нужны, а вот «своим людям» доступ дают ко всей инфраструктуре организации, без ограничения уровня доступа или его детального разграничения. В последнее время услуга сегментации сетей внутри организации становится всё более востребованной.
Александр Шилов, руководитель направления сетевой безопасности, «К2 Кибербезопасность»
Алексей Брыляков добавил, что помимо угроз для инфраструктуры от самих пользователей, также могут быть скомпрометированы технические средства, участвующие в предоставлении удалённого доступа — VPN-шлюзы, Next Generation Firewall. Ошибки, которые совершают компании: при предоставлении доступа не учитывается, с какого устройства работает пользователь, доступ через VPN предоставляется ко всей сети и никак не ограничивается.
Игорь Еньков напомнил, что удалённый доступ может оставаться активным даже для уволенных сотрудников — за этим необходимо следить. Человеческий фактор по-прежнему остаётся самым уязвимым звеном: если сотрудники не обучены кибергигиене, нужно иметь средства, которые позволяют мониторить их действия и доступы.
Как организовать удалённый доступ для подрядчиков?
Дмитрий Орлёнок считает, что подрядчики пока слабо контролируются, из-за чего часты случаи проникновения через них в инфраструктуры компаний, поэтому данная тема сейчас актуальна. С помощью PAM-решений можно фиксировать действия, собирать полный протокол для офицера безопасности, который может с их помощью проводить дальнейшее расследование. Это помогает компаниям защищаться.
Дмитрий Орлёнок, ведущий менеджер по развитию бизнеса SafeInspect, Solar inRights
Дмитрий Лебедев уверен, что доступ для подрядчиков должен быть максимально строгий и безопасный. Подрядчик работает с конфиденциальной информацией, поэтому удалённый доступ несёт больше угроз, чем в случае с обычным сотрудником. Должен быть комплекс мер безопасности — шифрование, удостоверение личности, инспекция трафика. Хорошо, что на подрядчиков всегда можно повлиять: не хочешь выполнять строгие правила — приезжай работать очно.
Александр Шилов добавил, что кроме технических мер защиты важны организационные: в контракты с подрядчиками прописывать условия предоставления доступа, требования к рабочему месту, ответственность.
К каким корпоративным системам нельзя давать доступ?
Игорь Еньков заметил, что удалённый доступ можно дать куда угодно, но нужно учитывать требования регуляторов: он должен быть защищённым и соответствовать их предписаниям по контролю сетевого трафика, использованию криптографии, дополнительных наложенных средств, контролю действий пользователей. Это относится в первую очередь к сегменту КИИ.
Игорь Еньков, владелец продукта Innostage PAM, Innostage
Дмитрий Орлёнок предупредил, что к системам, нарушение работы которых влечёт катастрофические последствия (объекты повышенной опасности), ни при каких обстоятельствах нельзя давать удалённый доступ. Алексей Брыляков добавил, что стоит учитывать, какие права даёт удалённый доступ: опасно, если это удаление или изменение данных, но доступ для просмотра вполне может быть предоставлен в определённых ситуациях, например для техподдержки.
Как изменились требования регулятора?
Дмитрий Лебедев напомнил, что ФСТЭК России планирует новые требования на замену 17-му приказу в марте 2026 года. Получатели данных из ГИС должны будут соответствовать тем же требованиям, что и сама ГИС. Должна быть соответствующая криптозащита по ГОСТу. С личных компьютеров подключаться можно, но также требуется ГОСТ-криптография.
Руслан Иванов уточнил, что это подразумевает использование сертифицированных решений. Сертификация означает, что криптографическое средство прошло проверку в уполномоченных органах (ФСБ или ФСТЭК России) и включено в реестр сертифицированных средств.
Руслан Иванов, независимый эксперт
Алексей Брыляков добавил, что нет требования всегда и везде использовать сертифицированные ФСБ России решения. Есть требования использовать сертифицированное СКЗИ при обработке и передаче информации, которая должна быть защищена в соответствии с российским законодательством. Но если речь идёт просто о коммерческой компании, которая обрабатывает свою конфиденциальную информацию, то единственное требование — обеспечить криптозащиту.
В первом опросе зрители AM Live ответили, какой тип удалённого доступа они считают наиболее безопасным:
- На основе концепции нулевого доверия (Zero Trust Network Access) — 44%.
- Традиционный доступ через VPN-шлюз с помощью клиента — 25%.
- Доступ через службу удалённых рабочих столов (VDI, DaaS) — 16%.
- Доступ через бастионные хосты с контролем прав для привилегированных пользователей — 10%.
- Неагентский доступ через браузер (Remote Browser Isolation, RBI) — 5%.
Варианты с использованием облачных технологий (SASE и т. п.) никто не выбрал.
Рисунок 2. Какой тип удалённого доступа вы считаете наиболее безопасным?
Как правильно организовать подключение удалённых пользователей
Александр Шилов напомнил: если пользователь применяет VPN, подключение от этого не становится безопасным. Необходимо использовать средства двухфакторной аутентификации, потоковый антивирус с обновлёнными базами. Нужно выполнять ряд организационных мер с учётом политики ИБ: должен присутствовать ролевой доступ, нужно периодически пересматривать права доступа и корректировать их, повышать осведомлённость пользователей. Последнее особенно важно: если удалённый пользователь выключил средства защиты и не установил критически важные обновления, никакие технические меры не помогут.
Дмитрий Лебедев добавил, что стоит отталкиваться от модели угроз — для кого предоставляется доступ, для каких целей, какие информационные ресурсы используются.
Средства безопасности
Алексей Брыляков рассказал, какие базовые инструменты защиты должны стоять на рабочих станциях: VPN-клиент, антивирус. На ноутбуке и мобильном устройстве нужно полнодисковое шифрование на случай кражи или потери. Если расширять перечень средств защиты, то можно добавить Endpoint Detection and Response, агент для проверки комплаенса. Домашние устройства важно изолировать от корпоративной среды, ставить на них корпоративные средства защиты не нужно. Для корпоративного мобильного устройства нужен агент Mobile Device Management, чтобы администратор централизованно контролировал приложения.
Алексей Брыляков, менеджер по развитию решений, УЦСБ
Аутентификация и авторизация
Дмитрий Лебедев уверен, что использовать стандартный логин и пароль для удалённого доступа небезопасно — есть много кейсов компрометации инфраструктуры через удалённых пользователей. Должен быть как минимум второй фактор — стандартный One-Time Password (одноразовый пароль) или пуш-уведомление. Есть более надёжные варианты аутентификации по сертификатам, когда применяются защищённые токены. Для защиты каналов связи важно качественное шифрование. Неплохо было бы управлять протоколами доступа с помощью раздельного туннелирования.
Дмитрий Лебедев, ведущий эксперт, «Код Безопасности»
Алексей Брыляков добавил, что инфраструктура открытых ключей (PKI), сертификатов и токенов используется крайне редко, хотя они сильно повышают безопасность. Сертификат можно поместить в хранилище при подключении — это позволит быть уверенным, что пользователи заходят с доверенного устройства (в то время как логин и пароль можно ввести откуда угодно).
С чего начать построение удалённого доступа
Дмитрий Лебедев считает, что нужно начинать с подготовки инфраструктуры. Сделать сегментацию, определить, к каким ресурсам будет предоставляться доступ, отдельно их изолировать.
Алексей Брыляков предложил следующий алгоритм:
- Перечислить ресурсы, к которым нужно предоставить удалённый доступ.
- Определить все типы пользователей.
- Расписать сценарий удалённого доступа.
- Составить матрицу доступа.
- Прописать всё это в политике информационной безопасности.
Далее можно переходить к выбору средства защиты, позволяющего реализовать требования и сценарии доступа.
Игорь Еньков добавил, что после того, как определены права доступа, организованы каналы связи, проверены пользователи, необходимо соблюдать и актуализировать матрицу доступа, которую создали изначально.
Во втором опросе зрители поделились, что, по их мнению, является самой большой проблемой при организации удалённого доступа для подрядчиков: доступ к конфиденциальной информации — 42%, несоблюдение правил безопасности — 29%, необновлённое программное обеспечение — 17%, недостаточная проверка личности — 12%.
Рисунок 3. Самая большая проблема при организации удаленного доступа для подрядчиков
Мониторинг удалённого доступа
Дмитрий Лебедев считает, что нужно мониторить, кто, к каким ресурсам и в какое время подключается, какие есть аномалии. Алексей Брыляков уверен, что нужно мониторить рабочие места с помощью агентов, которые собирают информацию — установленные приложения, их обновления, уязвимости, VPN-шлюзы, NGFW, конфигурации, соответствие настроек операционных систем.
Александр Шилов добавил, что для мониторинга сетевого окружения рекомендуется использовать специализированные решения наподобие SIEM, а также системы анализа сетевого трафика — NTA, NDR. Игорь Еньков считает, что в современных реалиях актуально использовать услуги OSINT.
В рамках третьего опроса выяснилось, каков уровень готовности зрителей к переходу на российские продукты по обеспечению защищённого удалённого доступа: планируют — 31%, частично перешли — 20%, уже перешли — 14%, не планируют — 5%. Смешанный уровень — примерно у трети аудитории.
Рисунок 4. Ваш уровень готовности к переходу на российскую защиту удаленного доступа
Прогнозы экспертов по удалённому доступу
Игорь Еньков:
«Растёт количество атак через поставщиков, этот вектор будет дальше развиваться. Многие подрядчики не могут себе позволить выстроить качественную систему защиты. Обслуживая крупные холдинги, они становятся воротами для входа злоумышленников. Провести аудит подрядчика — отдельная задача и проблема».
Александр Шилов:
«Наблюдается рост атак с применением вирусов-шифровальщиков, троянов. Количество атак и дальше будет расти. За прошлый год в части сетевой безопасности удалось сделать на 80% больше проектов, чем за предыдущий. Статистика роста кибербезопасности показывает, что ведущие компании выросли от 30 до 50%. Компании усиливают внимание к построению своей системы безопасности».
Дмитрий Лебедев:
«С точки зрения организации удалённого доступа подходы не будут сильно меняться, но в части защищённости будет больше систем, будет применяться больше технических мер для контроля. Что касается регуляторики, то нормативные акты будут ориентированы в сторону Zero Trust».
Алексей Брыляков:
«Организации будут ужесточать политику удалённого доступа, внедрять PAM-системы. Доля ошибок будет сокращаться, а количество взломов через удалённых сотрудников будет уменьшаться. Со стороны регуляторных требований ожидаем нового приказа ФСТЭК, который определял бы уровни защищённости и перечень мер, которые нужно реализовать».
Дмитрий Орлёнок:
«Аудит будет проводится не время от времени, а станет постоянным. Есть тенденция на переход в облака. Крупные организации с участием иностранного капитала лишаются доступа к иностранной инфраструктуре. Этот процесс до сих пор продолжается. Строить собственные ЦОДы им долго и дорого, а облачные сервисы позволяют быстро поднять идентичную инфраструктуру, в которой пользователи привыкли работать».
Четвёртый опрос показал, каково мнение зрителей об обеспечении защиты удалённого доступа после эфира. Будут улучшать защиту удалённого доступа — 45%. Убедились, что всё делают правильно — 27%. Считают пока избыточным для своей компании — 18%. Готовы тестировать и внедрять то, о чём говорили эксперты — 9%.
Рисунок 5. Каково ваше мнение об обеспечении защиты удаленного доступа после эфира?
Выводы
Переход на удалённую работу открыл новые возможности для бизнеса, но и значительно увеличил риски. Защита удалённого доступа требует комплексного подхода: от внедрения VPN и многофакторной аутентификации до регулярного обучения сотрудников основам кибергигиены.
Компании, которые пренебрегают безопасностью дистанционной работы, рискуют столкнуться с утечками данных, финансовыми потерями и репутационным ущербом. Однако грамотное использование современных технологий, чёткие политики безопасности и постоянный мониторинг угроз позволяют минимизировать эти риски.
В условиях растущей цифровизации защита удалённого доступа перестаёт быть просто рекомендацией — она становится обязательным условием устойчивого развития бизнеса. Инвестируя в безопасность сегодня, организации обеспечивают свою стабильность и конкурентоспособность в будущем.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
