Безопасность домашней сети: профессиональные советы

Безопасность домашней сети: профессиональные советы

Безопасность домашней сети: профессиональные советы

Распространение персональных гаджетов, переход на дистанционную работу, прогресс ИИ — всё это привело к тому, что домашние сети стали частью периметров киберзащиты компаний. Расскажем, как повысить стойкость к целевым кибератакам и когда объектами нападения становятся личные устройства сотрудников, в том числе те, которые не используются на работе.

 

 

 

 

 

  1. Введение
  2. BYOD, пандемия и ИИ
  3. Повышение общей культуры безопасности
  4. Безопасность в социальных сетях и домашних развлечениях
  5. Советы по настройке доступа к домашней сети
  6. Защита от онлайн-мошенничества
  7. Повышение защищённости домашней сети
  8. Выводы

Введение

Пользователи обычно не рассматривают домашние сети как часть периметров безопасности тех компаний, в которых работают. Многие ограничиваются защитой от вирусов и противодействием фишингу и мошенничеству. Классические целевые кибератаки, которым подвергаются корпоративные сети, рассматриваются как нереальные инциденты.

Но если до недавних пор подвергнуться целевой атаке могли только отдельные группы пользователей, например знаменитости, то за последнее время многое изменилось. Пандемия, концепция «принеси своё устройство на работу» (Bring Your Own Device, BYOD), хактивизм, промышленный шпионаж — всё это сделало реальными риски целевых атак против домашних устройств. Мишенью таких операций становится бизнес-деятельность, а злоумышленники, «вычислив» место работы человека, могут попытаться скомпрометировать корпоративную сеть путём проникновения в её периметр через личные устройства.

BYOD, пандемия и ИИ

Целевые атаки на домашние устройства получили распространение с появлением BYOD-устройств. Напомним, что BYOD — это концепция, согласно которой одни и те же устройства могут использоваться для работы в компании и для домашних дел и отдыха. Следующим фактором стала пандемия, когда широкое распространение получил формат дистанционной работы. Наконец, следует упомянуть в связи с этим хактивизм, по которому ещё нет полной статистики, но уже известно, что банковское мошенничество отчасти перекочевало на «спорные» территории, где к участию были привлечены политически мотивированные хакеры.

Кибератаки на домашние сети становятся всё более изощрёнными. При этом мошенники делают ставку на то, что многие пользователи не обладают достаточными техническими знаниями, чтобы активно противостоять кибератакам, но неохотно идут на подключение контроля домашних устройств, считая частную жизнь неприкосновенной. Для защиты в этом случае подойдёт только свод понятных правил, воспользоваться которыми сможет каждый.

Поскольку существует немало организаций (прежде всего относящихся к силовым структурам), где сотрудников обязывают проявлять повышенную бдительность в том числе при пользовании личными компьютерными устройствами, такие структуры выпускают специальные документы, где отражены рекомендации по защите домашних сетей от возможной их компрометации и незаконного сбора данных.

К сожалению, у российских компаний подобные материалы предназначены только для служебного пользования. В то же время рекомендации по компьютерной гигиене, которые раздаются сотрудникам одного из самых закрытых в мире разведывательных сообществ — американской службы АНБ, — это общедоступный документ. На его основе мы составили список советов, соблюдение которых позволит сделать частную жизнь более защищённой, а использование BYOD-устройств — менее проблемным для информационной безопасности компаний.

Повышение общей культуры безопасности

  1. Следует повышать культуру безопасного использования устройств. Она предполагает множество различных операций. Можно упомянуть, например, следующие:
    • регулярно создавать резервные копии данных, сохраняя их на внешних дисках или в облачных сервисах, чтобы избежать риска потери в случае атак программ-вымогателей (ransomware);
    • отказаться от зарядки мобильных устройств через компьютер и делать это с помощью отдельных адаптеров;
    • стараться не пользоваться бесплатными общественными точками доступа и не заряжать устройства на остановках общественного транспорта или в других публичных местах;
    • оставлять рабочие устройства в спящем состоянии, чтобы обеспечить возможность автоматической установки обновлений;
    • регулярно перезагружать устройства для активации загруженных обновлений;
    • отключать доступ к интернету при длительном отсутствии потребности в нём.
  1. Установить современную ОС и ежемесячно обновлять её. Разработчики ОС уделяют в последнее время больше внимания тому, чтобы повысить защищённость и затруднить получение прав на привилегированный доступ к системным средствам. Проводить обновление ОС следует на всех компьютерах, ноутбуках и смарт-устройствах.
  2. Следует перезагружать все компьютеры, смартфоны, маршрутизаторы, подключаемые к домашней сети, не реже одного раза в неделю. Регулярная перезагрузка позволяет избавиться от некоторых угроз, которые не затрагивают загрузочный образ программного обеспечения и работают только в оперативной памяти.
  3. Важно использовать VPN при необходимости удалённой работы с выходом в корпоративную сеть.
  4. Следует регулярно обновлять браузер и пользоваться его последними версиями. Часто в них появляются новые, дополнительные средства защиты, в том числе повышающие безопасность обмена данными.
  5. Администрировать устройства только в локальном режиме работы. Следует отключить функцию «Universal Plug and Play» (UPnP), а также поддержку удалённого выполнения команд, чтобы этими средствами не могли воспользоваться хакеры. Перед решением задач по администрированию важно убедиться, что доступ к сети ограничен внутренним периметром.

Безопасность в социальных сетях и домашних развлечениях

  1. При пользовании социальными сетями следует выработать определённую культуру безопасного общения. Правил подобного рода много, назовём некоторые из них:
    • Избегать публикации адресов проживания, телефонных номеров, места работы и другой персональной информации, которая может быть использована против её владельца. К нежелательным для публикации сведениям могут быть также отнесены имена домашних питомцев, адрес проживания при рождении и другая информация, которая часто используется в ответах при восстановлении забытых паролей.
    • Желательно сделать собственные публикации видимыми только для друзей. Это позволит ограничить их распространение за пределы контроля. Стоит также проверять новых друзей по каким-либо косвенным признакам из офлайн-жизни.
    • Следует тщательно проверять дублирующие аккаунты для знакомых людей. Многие регистрируют несколько аккаунтов — например, чтобы не терять связь с сетью в случае временной блокировки. Но этим пользуются и мошенники, создающие вредоносные дубликаты.
    • Полезно раз в квартал проверять настройки безопасности собственного аккаунта в социальной сети и список подключённых приложений. Рекомендуется ограничить список пользователей социальной сети, которые могут получать персональную информацию.
  1. Не следует использовать корпоративное BYOD-устройство для домашних развлечений, например для игр с детьми или общения в социальных сетях. Для этих целей желательно завести отдельный гаджет.

Советы по настройке доступа к домашней сети

  1. Необходимо выбирать сложные взломостойкие пароли.
  2. Не рекомендуется пользоваться функцией запоминания паролей в браузере. Лучше применять для этих целей специальные программы-менеджеры.
  3. Следует применять обычную пользовательскую учётную запись, имеющую ограниченный уровень доступа. Учётная запись администратора нужна только для выполнения задач по обслуживанию, установке ПО или обновлению прошивок.
  4. Рекомендуется сегментировать беспроводные сети на основную, гостевую и для IoT-устройств. Это позволит избежать прямого подключения непроверенных устройств к основным. А вот скрывать идентификатор беспроводной сети (SSID) не имеет смысла: это не повышает её безопасности, но может затруднить подключение новых устройств.
  5. Необходимо обеспечить безопасность эксплуатации вычислительных устройств, подключаемых к домашней сети. Для этого потребуется составить список того, что к ним относится: компьютеры, ноутбуки, принтеры, мобильные телефоны, планшеты, камеры видеонаблюдения, бытовая техника, автомобили, устройства интернета вещей (IoT) и пр. В этот перечень могут попасть также домашние и служебные устройства для развлечений и личной безопасности: системы видеонаблюдения, «радионяни», смарт-устройства, проигрыватели компакт-дисков и потокового видео, игровые приставки и пр. Большинство из них не допускают возможности компрометации на аппаратном уровне, т. е. не могут выполнять несвойственные им функции. Но эти устройства могут записывать звуки, голос, осуществлять захват видео в фоновом режиме. Такие данные могут представлять угрозу и быть целью компрометации.
  6. Следует уделить внимание защите устройств маршрутизации (роутеров) и обновлять их прошивки. В особом внимании нуждаются устаревшие модели роутеров. За последние годы для них был выявлен ряд критических уязвимостей. Однако если обновлять ОС для пользователей уже стало понятным требованием, то обновление прошивки роутеров — это «тайна за семью печатями». Особенно важно это потому, что интернет-провайдеры также не предоставляют такой услуги.

Особое внимание следует обратить на вайфай-роутеры, которые передаются в пользование поставщиками услуг интернета в рамках договора. Отдельно нужно проверить их настройку доступа. Рекомендуется создать отдельную учётную запись гостя, чтобы отделить гостевой трафик от сегмента домашней сети, в которой работают доверенные и частные (private) устройства. Если компания-производитель объявила о завершении жизненного цикла (end of life) такого роутера, то лучше заменить его на новое устройство.

Защита от онлайн-мошенничества

  1. В Сети встречаются сайты с опросами, где задают вопросы схожие с теми, которые нужны для восстановления паролей. Такие ответы кешируются в браузере. Поэтому в таких опросах, особенно для неизвестных источников, не рекомендуется давать полностью правильные ответы. Лучше давать ложные или неточные.
  2. Рекомендуется отключать устройства аудио- и видеозаписи, когда нет потребности в их работе. Большинство домашних и смарт-устройств, где есть микрофон, по умолчанию ведут фоновое прослушивание. В случае компрометации устройства это позволит злоумышленникам вести запись любых разговоров, которые происходят рядом. То же самое касается установленных в ноутбуках и смартфонах видеокамер.

Повышение защищённости домашней сети

  1. При возможности следует подключать вспомогательные средства удостоверения личности, такие как двухфакторная аутентификация.
  2. Следует активно использовать функции брандмауэра (firewall). Например, полезно подключить трансляцию сетевых адресов (NAT) для предотвращения сканирования сети. Если провайдер поддерживает адресацию IPv6, надлежит использовать средства защиты для этого протокола.
  3. Рекомендуется строить эшелонированную программную защиту на базе антивируса, средств антифишинга и других инструментов защиты от вредоносных программ. При этом необходимо учитывать, что часть домашних устройств, в число которых входят голосовые ассистенты, различные смарт-устройства и приборы IoT, не позволяют применять мощные пакетные средства программной защиты.

Пригодятся различные облачные решения для защиты конечных точек, облачные инструменты для обнаружения и предотвращения атак, которые помогают детектировать вредоносную активность и блокировать запуск нежелательных приложений.

Тем, кто работает с конфиденциальной информацией, рекомендуется применять полное шифрование жёсткого диска для ноутбуков, планшетов и мобильных устройств. Это поможет избежать компрометации секретных данных в случае потери или кражи устройства.

  1. Корпоративные данные лучше получать несколько раз через VPN-соединение с сетью организации, а не передавать между домашними устройствами (скажем, с ноутбука на телефон) напрямую.
  2. При подключении к интернету в публичном месте стоит использовать сеть телеком-оператора (Wi-Fi, 4G или 5G) и избегать общедоступных вайфай-точек, а если последнее неизбежно — применять VPN. В публичных местах не следует также оставлять без присмотра оборудование, например телефон.
  3. Применять протокол Wi-Fi Protected Access 3 (WPA3) для обеспечения конфиденциальности беспроводной связи в домашней сети. Если в настройках роутера нет поддержки WPA3 (он появился в 2018 году), то рекомендуется выбирать WPA2/3. В этом случае при подключении новые устройства будут использовать более безопасный протокол, а устаревшие модели — WPA2.

Преимущество WPA3 состоит в том, что он не использует технологию предварительного обмена паролями, как это делается в WPA2. Кроме того, для WPA2 допускается использование нескольких гостевых паролей (взамен одного в WPA3), что значительно упрощает взлом методом перебора (brute-force). Следует отметить и то, что в WPA3 используется шифрование GCMP-256, а в WPA2 — более простой 128-битный вариант криптозащиты. При покупке новых устройств полезно обращать внимание также на поддержку стандарта WPA3-Personal. 

Выводы

Повышение культуры безопасности становится необходимым требованием для работников. Интенсивность кибератак против домашних пользователей может сделать их таким же частым и опасным для бизнеса явлением, как и кибератаки совершаемые против корпоративной инфраструктуры. Домашние пользователи являются наиболее слабым звеном в системах защиты компаний.

Несложные правила, которые были приведены в этой статье, позволят затруднить злоумышленникам компрометацию бизнес-пользователей, подключённых к сети организации через свою домашнюю сеть. Они не обеспечат полноценной защиты, но создадут у злоумышленников потребность в дополнительных усилиях. Это может стать одним из уровней борьбы с угрозами.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru