Rambler's Top100
Статьи ИКС № 2 2020
Анна МИХАЙЛОВА  27 марта 2020

Чек-лист: как организовать безопасную удаленную работу

Сегодня многие компании просят своих сотрудников продолжить работать в удаленном формате. В результате нагрузка на ИТ- и ИБ-отделы резко возрастет. И от того, насколько успешно они примут вызов, будет зависеть финансовое и репутационное благополучие предприятий.

Аналитики AngaraCyber Resilience Center уже отследили явный рост установки корпоративными пользователями некорпоративного ПО, зачастую скачанного из сомнительных источников. Вследствие этого увеличивается количество инцидентов безопасности, связанных с заражением вредоносным ПО, попавшим на рабочие станции под видом игр, офисного ПО, мессенджеров и т.д.

В процессе организации стабильной и безопасной удаленной работы ИТ- и ИБ-отделам предприятий критически важно решить следующие задачи:
  • обеспечить безопасную и гарантированную передачу данных по открытым каналам;
  • обеспечить доступ к данным для авторизованных сотрудников и запретить доступ для нелегитимных пользователей;
  • защитить корпоративную среду от интернет-угроз и утечек данных при использовании неконтролируемых личных устройств пользователей;
  • обеспечить доступность сервисов для сотрудников в условиях непривычного объема трафика;
  • вести качественный мониторинг и своевременно детектировать проблемы.
Для того чтобы наладить работу с наибольшей эффективностью и наименьшими рисками, предлагаем следующий список рекомендаций.
  1. Не всех сотрудников переводить на работу через VPN-подключение. Некоторые рабочие обязанности могут выполняться с подключением только почты или других подобных облачных сервисов.
  2. Для обмена документами организовать внутреннее или облачное файловое хранилище, доступ к которому обезопасить средствами защиты канала связи, строгой аутентификации и авторизации, желательно DLP-решением.
  3. Ограничить канал связи: нет смысла направлять весь трафик пользователей через VPN-туннель. Это создаст лишнюю нагрузку на шлюз и внешний канал связи. Туннелировать весь трафик нужно лишь в определенных случаях (в зависимости от аттестационных требований к ИС, технических особенностей работы того или иного ПО и т.д.) и для определенных пользователей. Для остальных пользователей целесообразно применить политики узкой маршрутизации и порекомендовать им при работе в удаленном режиме не просматривать без необходимости мультимедиа-контент, а после окончания работы явно отключаться от VPN.
  4. Запретить на уровне межсетевых экранов обмен с корпоративной средой лишним трафиком, скажем, трафиком SMB и Netbios. Если это невозможно, строго ограничить такой трафик до конкретного шлюза, размещенного в отдельном сегменте сети, обмен из которого трафиком с другими сегментами контролируется. Тогда в случае заражения удаленного пользовательского ПК, например, SMB-червем, вредоносное ПО, даже попав через VPN-туннель в корпоративную сеть, не распространится дальше и заразит только один сервер. Причем встроенный межсетевой экран имеют практически все клиенты удаленного доступа.
  5. Если сотрудники работают на корпоративных ноутбуках, то следует реализовать проверку на соответствие политикам безопасности (compliance) при подключении устройств к сети: проверять актуальность антивирусной защиты и наличие необходимых пакетов обновлений, контролировать реестр процессов и автозапуска и др. При использовании личных ПК гарантировать выполнение пунктов политики безопасности на многообразии пользовательских устройств сложно. В таком случае следует проверить наличие минимальной защиты (антивирусное ПО, сканирование на известные вредоносные процессы) и снабдить пользователя инструкцией, как выполнять простейшие процедуры обеспечения безопасности: например, давать подтверждения, которые запрашивают некоторые VPN-клиенты, или использовать встроенные механизмы Microsoft (Microsoft Security Essentials).
  6. Если есть возможность, лучше организовать работу конфиденциальных ИС через средства терминального доступа. Таким образом серверы защищаются от заражения и становится возможным даже применение политик контроля утечек (DLP).
  7. Важно сразу реализовать достаточный мониторинг работоспособности систем и событий ИБ для систем, использующихся при удаленном доступе, сбор событий доменной инфраструктуры и передачу их системам SOC и SIEM, а если возможно, то и SOAR.
  8. Реализация систем класса User Behavioral Analytic поможет организовать превентивную защиту от недобросовестных пользователей, попыток кражи информации и других неправомерных действий. Современные аналитические системы могут детектировать мошеннические действия, связанные с кражей данных, в режиме реального времени, используя алгоритмы Data Mining и/или Machine Learning. Правомерность доступа пользователя к данным может быть проверена алгоритмами, построенными на анализе аномальных запросов, и затем сопоставлена с общей базой знаний для подтверждения результатов анализа и более точной классификации инцидента.
  9. Для борьбы с утечками информации можно использовать DLP-системы в варианте удаленной работы и быстрого развертывания. Производители идут навстречу бизнесу в виду мировой обстановки: например, компания Device Lock объявила о предоставлении своего ПО бесплатно в течение месяца (или более по запросу). Для развертывания системы наличие серверных ресурсов необязательно.
Анна Михайлова, системный архитектор, группа компаний Angara
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!