Месяцы вынужденного «тестирования» режима удалённой работы не прошли для российского бизнеса даром. Сегодня мы видим резкий рост числа проектов по полному переходу на дистанционный формат. Компании стремятся обеспечить надёжную инфраструктуру для функционирования «домашнего офиса», и важной частью проекта становится внедрение средств защиты сети. С чего начать и как грамотно организовать этот процесс?
- Введение
- Зачем вам нужен аудит
- С чем работают удалённые сотрудники
- Выбор решений для защиты корпоративной сети в условиях удалённой работы
- Общие правила для заказчиков
- Детали тестового периода и ввода в эксплуатацию
- Выводы
Введение
Переход на удалённую работу вряд ли останется воспоминанием времён самоизоляции. Многие российские компании оценили новый формат и планируют сохранить его у себя на постоянной основе. Сейчас у них есть время для того, чтобы серьёзнее подойти к организации процесса и построить ИБ-инфраструктуру, которая позволит защитить корпоративные информационные системы при работе из дома так же надёжно, как в офисе. Рассмотрим подробнее, из каких частей будет состоять этот проект, на что понадобится обратить внимание и сколько времени это займёт.
Разумеется, запросы на организацию проектов в области информационной безопасности, связанных с переходом на дистанционную работу, были и в самом начале режима изоляции. Весной Softline помогла десяткам компаний защитить ИТ-периметр в условиях роста удалённых подключений, помогая найти необходимые для этого инструменты. Однако этот процесс можно сравнить с защитой от ковровых бомбардировок: важно было быстро закрыть очевидные «дыры» в защите информационных систем и скорее дать сотрудникам возможность приступить к работе. Такой подход был оправданным, потому что задержаться даже на неделю, чтобы произвести полноценный анализ инфраструктуры, для большинства компаний означало дать фору более активным конкурентам. Теперь же, освоившись в новых условиях, бизнес неспешно и вдумчиво планирует окончательный переход в онлайн. На сегодняшний день у нас в работе — порядка двух десятков проектов по защите сетевой инфраструктуры, связанных с организацией удалённого доступа к корпоративным системам, и все они — комплексные. В среднем реализация такого проекта занимает два-три месяца и состоит из четырёх этапов:
- Аудит процессов и активности.
- Подбор средств защиты информации.
- Пилотное тестирование.
- Поставка и внедрение.
Зачем вам нужен аудит
При проработке абстрактных задач (а изначально перед нами стоит именно одна из таковых — обеспечить безопасность при переходе на удалённую работу) мы начинаем с моментов, касающихся специфики деятельности организации и отдельных её подразделений. Чем больше информации о специфике работы компании будет получено в начале проекта, тем качественнее окажется результат. Реализация полноценного ИБ-проекта всегда подразумевает довольно большой пласт изыскательских работ — важно определить для каждого из подразделений организации легитимные ресурсы и приложения, а также те объекты, доступ к которым необходимо в той или иной степени ограничить.
Избыточность прав доступа в случае удалённой работы ещё более опасна, чем в условиях офиса. Аудит необходим даже в том случае, если бизнес-процессы компании уже были описаны ранее, так как меняется точка входа, посредством которой пользователи взаимодействуют с ними. Домашние и публичные сети, как правило, защищены гораздо хуже, чем корпоративные, на них не распространяются те средства защиты, которые контролируют инфраструктуру в периметре организации. Рабочие станции в таких условиях становятся лёгкой мишенью для злоумышленников, желающих получить контроль над информационными системами организации.
Кроме того, при переходе на «домашний офис» повышается уровень внутренних рисков. Этой весной многие наши заказчики столкнулись с проблемой того, что снизилась степень дисциплинированности персонала: в офисе сотрудник неукоснительно соблюдал правила безопасности, а дома может позволить себе, например, переслать рабочую информацию на личный почтовый ящик.
С чем работают удалённые сотрудники
Итак, для того чтобы грамотно подобрать инструментарий для защиты от внешних атак, важно понять, с какими бизнес-приложениями взаимодействует тот или иной пользователь. Например, если сотрудник использует в своей работе небольшой перечень приложений, полноценный доступ к которым обеспечивается посредством корпоративного портала, мы можем легко дать ему возможность выполнять функциональные обязанности без предоставления избыточных разрешений. Действия злоумышленника, завладевшего доступом к его станции, не станут серьёзной угрозой для компании.
Если же для работы специалиста требуется большой перечень приложений, в том числе — ресурсоёмких, то можно выстроить VPN-канал для доступа в инфраструктуру посредством классических клиентов, а также дополнить антивирусное ПО вспомогательными средствами защиты, частично компенсировав невозможность использования классических периметральных средств. При этом мы можем контролировать трафик внутри сети, используя, например, функциональность проверки на соответствие (compliance), которую содержат в себе многие агентские компоненты межсетевых экранов. При попытке подключиться по VPN агент проверяет, обновлена ли ОС до последней версии, используются ли наиболее свежие сигнатуры антивируса, не запущены ли приложения, которые находятся в «чёрном списке» и являются нежелательными в соответствии с политиками компании. В том случае, если устройство не отвечает какому-то из заданных требований, оно считается небезопасным, и доступ к сети ему запрещается. Такой подход даёт возможность гранулярно контролировать, что пользователи могут делать в корпоративной сети, и чётко отслеживать каналы подключения.
Если пользователь взаимодействует не только с внутренними ресурсами в границах корпоративного периметра, но и, например, с облачными, то стоит понимать, что подключение не всегда будет происходить через контролируемый канал, это можно делать с любого устройства. При этом в облаке может содержаться ценная конфиденциальная информация. Контролировать все формы активности и соблюдение политик безопасности в такой ситуации помогают решения класса Cloud Access Security Broker (CASB).
Выбор решений для защиты корпоративной сети в условиях удалённой работы
Определение набора решений, которые нужно внедрить для защиты корпоративной сети в условиях удалённой работы, зависит также от типов устройств, с которых преимущественно будут происходить подключения.
Например, при использовании личной мобильной техники Softline рекомендует своим заказчикам использовать капсулы. Данный тип решений позволяет изолировать бизнес-приложения в специальной шифрованной области в памяти смартфона с возможностью тонкой настройки разрешённых действий (вы можете установить, например, запрет снятия скриншотов, копирования или передачи файлов). Так можно обезопасить информацию, не влияя при этом на сложившиеся бизнес-процессы и не применяя к личным устройствам жёстких мер по защите информации, которые могут ограничивать свободу действий сотрудников вне корпоративной сети.
В свою очередь, при использовании корпоративных устройств наш инструментарий окажется значительно шире. В числе технологий, которые мы рекомендуем использовать, — например, решения класса MDM / EMM. Они дают возможность ИТ- и ИБ-отделам определять для таких устройств разрешённые действия пользователей и приложения, которые могут быть там запущены, производить сброс настроек до заводских или блокировку в случае кражи или потери гаджета, определять «рутованные» устройства и применять к ним соответствующие действия.
Общие правила для заказчиков
Существуют также общие правила, которые Softline рекомендует соблюдать всем своим заказчикам при переходе на удалённую работу. Первое, что стоит сделать, — внедрить второй фактор аутентификации (2FA) пользователей. Для большинства организаций самым удобным вариантом является использование мобильного приложения, которое генерирует для сотрудника одноразовый пароль (OTP) в дополнение к постоянному, что существенно усложняет любые попытки взлома корпоративных ресурсов, в противном случае осуществлявшиеся бы простым подбором пароля.
В силу ограниченности средств, обеспечивающих безопасность устройств пользователей в домашних и публичных сетях, особую важность приобретает борьба с вирусами. Защитных механизмов тех агентов, которые уже установлены на корпоративных устройствах, в новых условиях может оказаться недостаточно. На корпоративные машины можно установить средства, которые дополнят функциональность антивирусного ПО дополнительными механизмами, например защитой от шифровальщиков или эксплойтов.
Необходима также тщательная настройка правил межсетевого экранирования и доступа пользователей к корпоративным ресурсам. Например, можно создать брандмауэрные политики для определённого временного периода и ограничить в его рамках доступ извне. Кроме того, нелишним при переходе на «домашний офис» станет начало применения политики «нулевого доверия» (zero trust), которая подразумевает, что любой пользователь или всякое устройство должны подтверждать свои данные каждый раз при запросе доступа к корпоративным ресурсам. Такой подход позволяет снизить количество возможных векторов атаки, а значит, положительно скажется на общем уровне защищённости сети.
Детали тестового периода и ввода в эксплуатацию
После определения набора технических средств для защиты корпоративного периметра мы приступаем к этапу пилотной проверки, которая позволяет подтвердить правильность их выбора. Она длится около месяца. Как правило, перед началом «пилота» специалисты Softline проводят демонстрацию выбранных решений на стенде, что помогает правильно сформировать ожидания заказчика от результатов проекта и более чётко поставить задачи. И наконец, в том случае, если тестовый период прошёл успешно, решения вводятся в опытную эксплуатацию.
Можно ли перейти на удалённую работу, внедрив все необходимые средства защиты корпоративного периметра силами самой компании? Да, если в организации есть собственный штат квалифицированных ИБ-специалистов, готовых серьёзно «подтянуть» знания в этой области. Чаще же бизнес предпочитает привлечь опытного ИТ-провайдера, имеющего опыт реализации аналогичных проектов. Softline взаимодействует с огромным количеством заказчиков из разных отраслей, выступая для них в роли доверенного советника (trusted advisor), помогающего выбрать оптимально подходящие решения из многообразия, существующего на рынке. При переходе на «удалёнку» особенно важно выстроить ИБ-инфраструктуру так, чтобы не слишком сильно возросла её эксплуатационная нагрузка. Мы всегда стремимся подобрать минимальное число компонентов, которое даст компании максимально возможный уровень защиты.
Стоит отметить также, что с завершением проекта по внедрению новых средств защиты информации работа в этой области не заканчивается. Функционирование любых систем борьбы с угрозами подразумевает постоянный мониторинг и внесение корректировок. Нагрузка на ИБ-подразделение компании при переходе на «домашний офис» неизбежно возрастает, поэтому многие наши заказчики сейчас рассматривают частичный или полный перевод технического сопровождения систем на аутсорсинг.
Выводы
Тех средств защиты, которые были внедрены при экстренном переходе на удалённую работу, вряд ли будет достаточно для полноценного функционирования организации в новом формате. Процесс построения ИБ-инфраструктуры для защиты дистанционных подключений займёт не меньше двух месяцев, но в результате такого проекта вы не просто «закроете дыры» в ИТ-периметре, а получите рабочий инструмент, созданный с учётом потребностей конкретной организации. Чаще всего для реализации такого проекта требуется привлечение надёжного сервисного провайдера, который поможет провести аудит бизнес-процессов, определить оптимальный набор средств защиты, внедрить их в существующую инфраструктуру и обеспечить дальнейшее обслуживание системы.