Правила безопасности для корпоративных устройств

Правила безопасности для корпоративных устройств

Правила безопасности для корпоративных устройств

В каждой компании есть собственный порядок работы с корпоративными устройствами и обеспечения их безопасности. В то же время сложился и негласный набор общих правил, которых стоит придерживаться всем без исключения.

 

 

 

 

 

 

  1. Введение
  2. Зачем это нужно?
  3. Критически важные системы должны иметь запасной физический ключ доступа
  4. Уникальные параметры для защиты каждого устройства
  5. Поиск уязвимостей в резервных устройствах
  6. Предотвращать откат на предыдущие версии ПО
  7. Повышенное внимание к сертификатам
  8. Не хранить пароли в открытом виде
  9. Строгий контроль над удалённым доступом
  10. Экспорт данных
  11. Сертифицированные криптоалгоритмы
  12. Подключать только необходимые функции
  13. Изменить настройки по умолчанию
  14. Формат сообщений об ошибках требует внимания
  15. Выбирать минимальные привилегии
  16. Использовать встроенные средства защиты
  17. Регулярный мониторинг появления новых уязвимостей
  18. Выводы

Введение

Публикации по теме защиты от угроз часто можно отнести к одной из двух больших групп: страшилки и рассказы о золотом ключике. В первом случае можно узнать различные подробности того, как страшно жить, во втором — что нужно для полного счастья.

Можно ли совместить эти жанры?

В этом материале мы собрали различные правила, которые помогут обеспечить безопасность при использовании корпоративных, особенно мобильных, устройств, не вдаваясь при этом в детали того, как устроены конкретные функции.

Конечно, многие хотят получить руководство, например, по защите смартфона от нежелательного отслеживания со стороны злоумышленников. Об этом мы расскажем позднее. Сначала коснёмся общих правил безопасности.

Зачем это нужно?

«Если у вас нету дома, пожары ему не страшны…» Но это не наш случай. Пользоваться корпоративными и мобильными устройствами необходимо. Этот инструмент нужен для полноценных коммуникаций. Но пользование должно быть безопасным, и этому надо уделять пристальное внимание.

По словам Игоря Печёркина, архитектора комплексных проектов ГК «Солар», «использование личных устройств в корпоративной среде может привести к компрометации корпоративных учётных записей и утечкам данных. При этом в настоящий момент на российском рынке отсутствуют полноценные решения для обеспечения безопасности и контроля личных устройств, а также доверенные производители компонентов и самих девайсов.

Некоторое время назад считалось, что сотрудникам стоит давать возможность использовать личные устройства для выполнения служебных задач или подключения к корпоративной среде. С началом пандемии это стало ещё более актуальным. Но как только сотрудники стали массово уходить на дистанционный режим работы, начались утечки, периметр защиты размылся, контроль корпоративных устройств существенно усложнился, не говоря уже о персональных девайсах.

В 2022–2023 годах некоторые специалисты покинули пределы России со всеми организованными доступами и данными. Это сильно повлияло на компании, их работу и репутацию. Корпоративные и учётные данные, хранящиеся на личных устройствах, впоследствии могли быть использованы для целевых атак на российские компании и целые отрасли. Поэтому многие работодатели пришли к выводу, что не стоит поощрять использование личных устройств для выполнения служебных обязанностей».

Нынешняя ситуация не располагает к безмятежности. Любое мобильное устройство, даже не заражённое и не ставшее объектом целевой кибератаки, фабрично настроено так, что его прикладные сервисы можно скомпрометировать, если не проявлять должной осмотрительности и не принимать мер защиты. Когда такие устройства попадают в компании и становятся корпоративными, для устранения их «уязвимости» требуется дополнительная перенастройка.

Далее мы перечислим некоторые правила, касающиеся безопасности, которыми следует руководствоваться при выполнении таких работ.

Критически важные системы должны иметь запасной физический ключ доступа

ИБ-инженеры обычно хотят установить контроль над всеми путями проникновения в систему. Например, в локальных сетях создаются ловушки для злоумышленников. Их делают таким образом, чтобы «засветить забытые уязвимости». По этой причине для доступа к ним устанавливают простые или провокационные пароли, иногда оставляют те, которые были заданы по умолчанию. Идея проста: вызвать у злоумышленника азарт и снизить его осторожность. Это позволяет команде защиты легче выявлять опасность и следить за возникающими угрозами, чтобы вовремя блокировать их.

Но если злоумышленнику удалось добраться до защищённых мест в системе, то все установленные преграды будут мешать не только атакующей стороне, но и защищающейся. Возникает соревнование за то, кто сумеет первым перехватить инициативу и заблокировать действия другой стороны.

При таком варианте развития событий в системе должен существовать запасной, аварийный вариант защиты. Обычно это — физический ключ, который позволяет выполнить оборонительные действия принудительно и заблокировать любые атакующие манипуляции, даже если злоумышленник сумел добраться до центра управления.

Уникальные параметры для защиты каждого устройства

Многие сисадмины, не обременённые вниманием со стороны служб ИБ, пользуются негласным правилом: создают себе уникальный пароль или секретный криптографический ключ, чтобы применять его для управления любым устройством в подконтрольном парке. Если злоумышленнику удалось получить такой ключ доступа, то он может попробовать использовать его в других местах системы. Для этого совсем не обязательно знать заранее, что пароль был универсальным.

Точно так же злоумышленники работают по утечкам данных. Поскольку пользователи часто применяют одни и те же пароли на разных веб-ресурсах, утечка данных из одного места автоматически становится ключом доступа к другим ресурсам. Так удаётся проникать в значительно более защищённые места, куда невозможно попасть без инсайда.

Аналогичный приём эффективен и при кибератаках против IoT-устройств. Часто им выделяют на одной подконтрольной территории один и тот же хорошо защищённый криптографический ключ. Казалось бы, защита выстроена на высоком уровне, но компрометация одного устройства сразу ставит под удар множество других аналогичных.

Вывод: для каждого устройства или приложения следует применять уникальные криптографические ключи.

Поиск уязвимостей в резервных устройствах

Обычно при установке новых устройств учитываются все выпущенные к этому моменту обновления безопасности, поэтому дополнительная проверка не требуется. Однако если в сети возникает сбой в работе одного из ранее установленных устройств, то часто его временно подменяют резервным. В такой момент оно обычно является уже относительно устаревшим, поэтому критически важно заново проверить его на уязвимости. Нередко именно такие временные подмены становятся причиной незаконного проникновения в сеть компании.

Предотвращать откат на предыдущие версии ПО

Независимо от того, насколько качественно было разработано или протестировано ПО, в нём всегда могут быть обнаружены ошибки и уязвимости. Поэтому регулярное обновление позволяет исправлять возникающие проблемы по мере их обнаружения.

Но следует принимать во внимание встроенную функциональность отката на предыдущую версию, которая срабатывает, например, в случае выявления несовместимости с установленной версией ОС или возникновения технических проблем после обновления. Злоумышленник может попытаться искусственно вызвать срабатывание таких триггеров, чтобы добиться отката до уязвимой версии ПО.

Соответственно, иногда важно предотвращать установку более ранней прошивки или сборки, чтобы такая процедура не позволила восстановить уже исправленные уязвимости.

Повышенное внимание к сертификатам

Для удалённых и беспроводных подключений обычно применяют стандартные протоколы безопасности TLS или WPA2. Важно принимать во внимание, что их применение может оказаться небезопасным, если настройка была выполнена неправильно. Чаще всего это проявляется в использовании неподтверждённых сертификатов.

Не хранить пароли в открытом виде

Важное требование для хранения паролей — это полный запрет на их хранение в открытом виде. Для хранения следует применять программные средства (хотя и этот вариант может быть скомпрометирован).

Пользователи также предпочитают применять ещё и вариант тайной записи паролей (например, в текстовый файл где-нибудь в недрах жёсткого диска). Помешать этому трудно, уследить — тем более.

Но даже для исключительных случаев необходимо использовать следующее правило: записанные как текст пароли должны храниться в изменённом виде. Обычно применяют какое-то секретное или личное правило преобразования — от известного только пользователю метода до применения программных алгоритмов. Главное — текст пароля не должен совпадать с его реальным содержимым.

Строгий контроль над удалённым доступом

Чтобы предотвратить доступ со стороны посторонних лиц, следует требовать прохождения процедуры аутентификации. Обычно для доступа к локальной сети или к облачной системе применяют двухфакторную аутентификацию. Нередко встречается и применение одноразовых паролей на основе СМС, но такой способ недостаточно надёжен и активно подвергается кибератакам. Для внешнего подключения к локальным сетям можно использовать также VPN или TLS-туннели при маршрутизации.

Экспорт данных

В последнее время широкое применение находит облачная форма хранения данных. Её принципиальное отличие состоит в том, что многие облачные системы предоставляют собственные функции для обработки информации, в том числе её защиты. Это ведёт к тому, что правила обмена данными в облаке могут выстраиваться иначе, чем внутри компании.

Важно заранее провести аудит хранения данных и применяемых средств контроля. При размещении информации в облаке необходимо проработать порядок выполнения операций с нею. Если не сделать этого и подключить облачные средства хранения данных с настройками по умолчанию, то может произойти потеря управляемости. В первую очередь это касается персональных данных, а также объектов авторского права.

Сертифицированные криптоалгоритмы

Единственный способ быть уверенным в используемом криптографическом алгоритме — это подвергнуть его изучению с привлечением множества экспертов и делать это регулярно на протяжении многих лет. Но даже в этом случае могут появляться новые исследования, где будут обнаружены новые уязвимости.

Эти проблемы решает система сертификации. Сертификация криптографических алгоритмов в нашей стране осуществляется под руководством ФСТЭК и ФСБ России.

Подключать только необходимые функции

В любой программе могут встречаться ошибки, создающие потенциальные уязвимости. Чем больше программных функций имеется в продукте, тем выше вероятность появления ошибок. Их стараются свести к минимуму, активно проводят тестирование, устраняют выявленные проблемы, но ошибки всё равно могут оставаться необнаруженными.

В то же время вендоры стараются воплотить в своих продуктах максимально обширный список функций, поскольку это обеспечивает им коммерческую привлекательность. Чтобы сбалансировать эти особенности, желательно отключать наиболее сложные функции, если они не используются на практике.

Например, для мобильных продуктов рекомендуется отключать удалённый доступ, беспроводное соединение и расширенные коммуникационные функции (электронная почта и т. д.), которые часто по умолчанию включены. Их лучше активировать только на период использования.

Изменить настройки по умолчанию

Бытует мнение, что вендор задаёт по умолчанию те настройки, которые наиболее часто используются на практике. Но на самом деле причины могут быть самыми разными. Например, иногда программная конфигурация строится ради знакомства пользователя с определёнными функциями для продвижения новых сценариев применения устройства.

Поэтому не стоит воспринимать настройки по умолчанию как оптимальный набор. Более того, следует по возможности избегать сохранения системных настроек по умолчанию, потому что часто они не приоритизируют безопасность (и именно поэтому являются ориентиром для злоумышленников, которые выстраивают свой сценарий атаки на гипотезе, что пользователь оставил настройки по умолчанию).

Выбор значений по умолчанию оправдан только для сертификатов безопасности и других подобных элементов: там конфигурация призвана обеспечить наиболее защищённый режим, т. е. это — самый консервативный набор параметров системы безопасности.

Формат сообщений об ошибках требует внимания

Многие системы выдают сообщения об ошибках в формате, который помогает понять причину их возникновения и внести необходимые исправления. Такая информация будет полезна и хакерам, когда они пробуют проникнуть внутрь системы.

Поэтому следует обращать внимание на то, раскрывают ли подобные сообщения конфиденциальную информацию о системе.

Выбирать минимальные привилегии

В операционных системах семейства Linux можно управлять полномочиями. Следует по возможности сводить применение повышенных привилегий, таких как суперпользовательские (root), к минимуму.

В то же время для работы с секретными данными (например, криптографическими ключами) следует требовать наиболее высокого уровня привилегий, чтобы максимально затруднить злоумышленникам доступ к этим данным.

Использовать встроенные средства защиты

Многие кибератаки, совершаемые через удалённое управление, направлены на исполнение кода, который злоумышленник тем или иным способом доставил в пользовательскую систему. Чтобы избежать возникновения таких рисков, надо выстраивать защиту через снижение количества подобных ситуаций.

Например, многие процессоры предоставляют функции, которые могут исполняться только когда код располагается в определённой области памяти. В таком случае нельзя передать код через ссылку. Подобные механизмы защиты применяются, например, на уровне защиты ОС, что гарантирует невозможность подмены функций ядра системы.

Некоторые процессоры могут даже предоставлять разные сегменты памяти для размещения кода и данных. Это делает невозможными кибератаки с прямым внедрением исполняемого кода в данные.

Регулярный мониторинг появления новых уязвимостей

Ни одна система никогда не защищена на 100 %. Устаревание начинается уже с момента установки. Поэтому необходимо осуществлять постоянный мониторинг и обновление систем безопасности.

Рекомендуется внедрить программу управления уязвимостями, регулярно проводить мониторинг и устранять бреши. Следует также предусмотреть процесс рассылки оповещений и распространения исправлений внутри компании.

Выводы

Мы рассказали о некоторых правилах, которых следует придерживаться для обеспечения безопасности парка корпоративных устройств. Далее мы планируем рассмотреть защиту устройств от конкретных опасностей, например от контроля местоположения пользователей.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru