Человек из дома вышел… Как защититься от угроз при гибридном формате работы?::
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6385
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7094
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4375
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3077
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3872
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3890
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6382
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3229
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3522
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7353
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10713
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12437
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14083
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9187
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7138
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5443
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4679
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3489
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3208
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3445
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3084
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Человек из дома вышел… Как защититься от угроз при гибридном формате работы?

Архив номеров / 2021 / Выпуск №09 (226) / Человек из дома вышел… Как защититься от угроз при гибридном формате работы?

Рубрика: Заочный круглый стол

 

Человек из дома вышел…
Как защититься от угроз при гибридном формате работы?

Пандемия показала, что работа на удаленном доступе может быть эффективной и одновременно удобной для многих людей. По крайней мере сегодня, согласно опросам, сотрудники чаще, чем прежде, хотят работать удаленно, а работодатели пытаются совмещать разные форматы работы, организовывая гибридные офисы. Но и у гибридного формата есть определенные риски. Знакомы ли вам перечисленные ниже ситуации? Если да, то расскажите, как вы с ними справляетесь?

Вопросы для экспертов:

  • Пользователь работает из дома на персональном компьютере. Обслуживает его сам. Ставит то ПО, которое ему больше нравится, не имея квалификации или опыта, чтобы проверить на безопасность. В результате его рабочее место открывает брешь в корпоративной защите. Либо пользователь заражает корпоративную сеть вирусами, либо легкомысленным поведением упрощает проведение взлома. Что делать?
  • Пользователь выходит на работу после «удаленки» со своим корпоративным ноутбуком, в котором уже «поселились» домашние вирусы. И неумышленно переносит их в корпоративную сеть. Как это можно предотвратить?
  • Ваш сотрудник возвращается на работу в компанию, но без ноутбука, который ему выдали для работы на удаленном доступе. Объясняет, что где-то потерял его или его украли... вместе со всеми корпоративными доступами и данными, настройками VPN, которые теперь находятся неизвестно где и у кого. Как застраховаться от угроз при потере корпоративного ноутбука?
  • Пользователь использует для работы публичные облачные системы. Все его данные для удобства выгружены в облако, безопасность которого может быть отнюдь не безоблачной. Аналогичная ситуация с облачными бесплатными почтовыми системами и другими сервисами. Что можно посоветовать сотруднику, кроме запрета на пользование облачными сервисами?
  • Пользователь не имеет собственного компьютера, и в компании не предусмотрена выдача ноутбука. У него есть планшет и крутой смартфон – посмотреть почту, ответить на сообщение в чате. А когда нужно поработать, он идет в интернет-кафе, в университет, в библиотеку или в гости к другу, у которого есть компьютер, в общем, ищет, где можно поработать за клавиатурой. Тем самым он невольно провоцирует риск распространения конфиденциальной информации, создания брешей в системе корпоративной защиты и других нежелательных ситуаций. Каким образом компания может снизить подобные риски?
  • Какие из программно-аппаратных средств защиты вам кажутся наиболее подходящими для гибридного формата работы? Почему?

 

Представляем участников заочного круглого стола

       
 

Павел Анфимов,
руководитель отдела продуктов и интеграций компании «Актив»

Антон Бугрин,
специалист
по видеорешениям Logitech

Сергей Вихорев,
советник генерального директора ООО «ИТ-Экспертиза»

 

Александр Горячев,
эксперт компании Доктор Веб

Дмитрий Ковалев,
руководитель департамента развития ИБ Syssoft

Александр Коновалов,
технический директор Varonis Systems в России

 

Михаил Кондрашин,
технический директор Trend Micro в России и СНГ

Павел Коростелев,
руководитель отдела продвижения продуктов компании «Код Безопасности»

Дмитрий Пятунин,
директор по ИТ компании Oberon

 

 

Филипп Хюмо,
CEO&сооснователь CrowdSec

 
       



Вопрос 1. Пользователь работает из дома на персональном компьютере. Обслуживает его сам. Ставит то ПО, которое ему больше нравится, не имея квалификации или опыта, чтобы проверить на безопасность. В результате его рабочее место открывает брешь в корпоративной защите. Либо пользователь заражает корпоративную сеть вирусами, либо легкомысленным поведением упрощает проведение взлома. Что делать?


Александр Коновалов


– Личный компьютер сотрудника необходимо рассматривать как «недоверенный» – т. е. фактически ничем не отличающийся от компьютера у соседа или в компьютерном клубе. Для такого сценария необходимо использовать «терминальный» доступ, когда через Интернет передается только «картинка», а все данные остаются внутри защищенной корпоративной сети.

Для защиты пароля от кражи необходимо всегда использовать одноразовые пароли, получаемые через смс с небольшим сроком действия. Подключение к корпоративной сети через VPN-клиент с «недоверенного» компьютера должно быть запрещено (это можно сделать в настройках VPN-сервера).


Павел Анфимов


– Важно всегда помнить, что защита должна быть комплексной. Т. е. для обеспечения информационной безопасности предприятия надо одновременно защищать корпоративную среду от атак, вирусов, хищения, утечек и несанкционированного доступа.

Одним из инструментов для предотвращения кражи логинов-паролей и несанкционированного доступа к корпоративной сети может быть настройка двухфакторной аутентификации c помощью токенов и смарт-карт. Как она работает? Для входа в сеть предприятия сотруднику необходимо подключить к своему ПК токен или смарт-карту, а затем ввести PIN-код устройства. Владение устройством является первым фактором аутентификации, знание PIN-кода – вторым. Украв только токен или только PIN-код, злоумышленник всё равно не сможет подключиться к корпоративной сети. А обнаружив пропажу токена, сотрудник сразу уведомит системного администратора, чтобы тот заблокировал доступ.

Двухфакторная аутентификация поддерживается большинством VPN-клиентов решений для доступа к удаленным рабочим столам (VDI).

Применение для безопасного доступа к корпоративным ресурсам двухфакторной аутентификации и электронной подписи гарантирует удостоверение личности пользователя, поскольку аутентификационные данные лежат в специальной, защищенной PIN-кодом, памяти устройства. Таким образом работают, например, продукты Рутокен, защищенные от несанкционированного доступа и копирования.


Павел Коростелев


– Для безопасности корпоративной ИТ-инфраструктуры при удаленном режиме работы для сотрудников, использующих собственный компьютер при выполнении рабочих задач, нужно организовать доступ к корпоративной сети через терминалы. Т. е. пользователь будет подключаться к виртуальному рабочему месту без права на копирование данных изнутри наружу и снаружи внутрь. Он сможет работать только с теми файлами, которые уже есть в виртуальной среде и не более.


Дмитрий Пятунин


– Наиболее эффективным инфраструктурным решением данной проблемы является применение технологий удаленного рабочего стола (Remote Desktop Services) и публикация удаленных корпоративных приложений через Microsoft Remote App. Совместно с ограничением использования буфера обмена и двухфакторной аутентификацией они позволят избавиться от большинства проблем с безопасностью на корпоративных автоматизированных рабочих местах (АРМ) на удаленных домашних компьютерах.

В данном случае личное устройство лишь отображает экран корпоративного рабочего места и обеспечивает пользователя периферией, весь необходимый софт и данные обрабатываются на совместно используемом Windows Server или группе Windows Server (RDS Farm). Решение просто масштабируется для неограниченного количества подключений, обеспечивает высокие показатели отказоустойчивости. Из ограничений – достаточно унифицированные рабочие места пользователей.

Как альтернативу или дополнение RDS рекомендуется обратить внимание на технологию VDI (Virtual Desktop Infrastructure), где каждый пользователь работает на отдельной виртуальной машине, запущенной на корпоративном сервере. Это решение подойдет в первую очередь для пользователей, работающих с ПО с высокими системными требованиями и специфическим программным обеспечением. И в этом решении не стоит пренебрегать двухфакторной аутентификацией.

В случае отсутствия бюджета на Enterprise-решения придется рассмотреть средства, применяемые для удаленного администрирования: AnyDesk, AmmyAdmin, TeamViewer, RAdmin. Важно внимательно изучить последние сводки по уязвимости решений, так как они часто дискредитируются. Также популярно использование VPN-соединений. Несмотря на простоту решения, нельзя забывать о значительном комплексе мер обеспечения безопасности инфраструктуры при использовании VPN: глубокая настройка сетевого экрана, сегментирование сети, использование межсегментных сетевых экранов, систем предотвращения утечек и т. п.


Дмитрий Ковалев


– Чтобы исключить такой вариант развития событий, бизнесу нужно выдавать своим сотрудникам корпоративные устройства, обслуживаемые ИТ-департаментом компании. В этом случае ПК будет оснащен проверенным ПО, соответствующим всем политикам безопасности. Если такой возможности у компании нет, стоит, как минимум, установить двухфакторную аутентификацию пользователя при авторизации в любом корпоративном сервисе и разрешить вход в критически важные информационные системы только изнутри корпоративной сети.

Другой вариант – установить на персональном компьютере сотрудника специальный зашифрованный агент, которым будет управлять технический администратор компании. Такая программа создает на любом устройстве собственный хорошо защищенный контур для работы с бизнес-приложениями компании.


Сергей Вихорев


– Ситуация в принципе нереальная. Согласно положениям Трудового кодекса, именно работодатель обеспечивает работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей . Это справедливо и для «удаленщиков».

Новые поправки к ТК РФ обязывают работодателя обеспечивать дистанционного работника необходимыми для выполнения им трудовой функции оборудованием, программно-техническими средствами, средствами защиты информации и иными средствами .

Правда, дистанционный работник вправе, с согласия или ведома работодателя и в его интересах, использовать для выполнения трудовой функции, принадлежащие работнику или арендованные им оборудование, программно-технические средства, средства защиты информации. Здесь ключевое слово «с согласия или ведома работодателя», так как ТК РФ, кроме того, обязывает в этом случае работодателя выплачивать работнику компенсацию за использование принадлежащего ему или арендованного им оборудования .

Ну а если работник всё-таки использует свой личный компьютер без согласования с работодателем? В этом случае работник нарушил не только трудовую дисциплину, установив на свой компьютер ПО, которое ему понравилось, но и политику корпоративной безопасности информации и тем самым создал предпосылки для утечки и разглашения конфиденциальной информации, принадлежащей работодателю. Это еще серьезнее . Рачительный хозяин всегда заботится о своем добре, в том числе и о своих информационных ресурсах. Поэтому он, пользуясь своим правом, может и обязан контролировать правила использования своего добра.

А как это сделать, если работник на «удаленке»? Нужна специальная программа, которая контролирует (мониторит) состояние удаленного компьютера. Это не возбраняется законом, но требует специального порядка: нужен локальный нормативный акт, который закрепляет за работодателем право распоряжаться своими информационными активами и обеспечивать их защиту законными методами, а работника обязывает строго соблюдать установленные правила.


Филипп Хюмо


– Прежде чем углубиться в рассматриваемые вопросы, важно понять, что эффективная система обеспечения безопасности всегда многослойна, как луковица. Бессмысленно укреплять безопасность отдельных областей, если остальные при этом остаются незащищенными. Проще говоря, бесполезно тратить время и деньги на обеспечение безопасности удаленной работы, если вы не прикладываете аналогичные усилия в масштабах всей компании.

Необходимо создать несколько уровней безопасности, чтобы обеспечить эшелонированную защиту. Кроме того, строить систему безопасности необходимо на надежном фундаменте. Если вы возвели крепость на болоте, такая защита рано или поздно падет. Создавая систему безопасности, нужно придерживаться всеобъемлющего подхода. Например, для обеспечения безопасности в своей организации вы можете воспользоваться широко признанной платформой, такой как CIS Controls.

Здесь следует принимать во внимание ряд моментов – большинство из них связаны с уязвимостями в системе безопасности, которые необходимо устранить, а также механизмами, которые необходимо реализовать до возникновения инцидента. Вот кое-что из того, что нужно сделать:

  • блокировка разрешений, чтобы пользователь не мог ничего установить на компьютер: такие задачи должны выполняться только самой компанией;
  • установка решения для обеспечения безопасности конечных устройств, которое обнаруживает любую подозрительную активность, сообщает о ней в SIEM-систему компании и блокирует компьютер, защищая корпоративную сеть;
  • сегментирование корпоративной сети таким образом, чтобы серверы были отделены от рабочих станций и можно было подключаться только к тем узлам в сети, которые действительно нужны для нормальной работы;
  • внедрение специализированных процедур в ИТ-организации: когда компьютер сотрудника будет заражен вредоносным ПО (а это точно произойдет), у вас под рукой должны быть инструменты и процедуры для блокировки сети и ее очистки.

Занудный (зато честный) ответ на вопрос, что делать после того, как произошел инцидент, заключается в том, что на самом деле вам мало что может помочь, если до этого вы не принимали никаких мер безопасности. Вам остается только надеяться, что вымогатели будут вести себя по-джентльменски и вы не потеряете свой бизнес.


Михаил Кондрашин


– Необходимо исключить непосредственное подключение компьютера пользователя к внутренним системам предприятия. Сейчас в рамках концепции нулевого доверия предлагаются системы ZTNA (Zero Trust Network Access), предоставляющие пользователям удобный и защищенный доступ ко всем необходимым информационным системам работодателя, но без прямого доступа в саму корпоративную сеть. В результате, при работе со взломанного компьютера, у злоумышленников будет только доступ к тем данным, которые сотрудник обрабатывает в настоящий момент и не более того.


Александр Горячев


– В первую очередь, как на корпоративных, так и персональных устройствах работников, должны использоваться лицензионные операционные системы, а также программы (если мы говорим о коммерческих продуктах). Использовать пиратский софт категорически нельзя.

Необходимо также поддерживать установленное ПО в актуальном состоянии – устанавливать все обновления, закрывая потенциальные «дыры». Устройства также должны быть защищены лицензионным комплексным антивирусом, который поможет бороться не только с атаками вирусов, троянов, рекламных и шпионских программ, но и предотвращать другие типы атак. Например, веб-антивирус с функцией родительского контроля заблокирует неблагонадежные сайты, через которые могут распространяться вредоносные программы.

Защитой корпоративных ресурсов в целом должен заниматься ИБ-отдел, отвечающий за поддержку сети и компьютеров в рабочем состоянии. Он же должен выстраивать линию защиты, настраивать протоколы безопасности, следить за состоянием устройств, проводить обучение персонала правилам информационной безопасности.



Вопрос 2. 
Пользователь выходит на работу после «удаленки» со своим корпоративным ноутбуком, в котором уже «поселились» домашние вирусы. И неумышленно переносит их в корпоративную сеть. Как это можно предотвратить?


Александр Коновалов


– Чтобы на корпоративном ноутбуке не поселились домашние вирусы, ИТ-подразделение работодателя должно заранее установить на ноутбуке неотключаемую антивирусную программу и другие средства защиты информации. В частности, необходимы инструменты, запрещающие устанавливать на ноутбук любые программы, кроме заранее одобренных и проверенных работодателем (путем проверки цифровой подписи устанавливаемого файла).

Также помогает необходимость каждый раз запрашивать разрешение ИТ-отдела, если надо установить какую-либо программу. Все сетевые порты ноутбука должны быть защищены межсетевым экраном, который нельзя отключить, и все «входящие» сетевые соединения должны быть запрещены. USB-порты ноутбука должны запрещать копирование любых исполняемых файлов с флешек на ноутбук. Должны быть «насильно» установлены все обновления безопасности для операционной системы.

Если зараженный ноутбук всё-таки попал в локальную сеть предприятия, то здесь должны сработать средства поведенческого анализа и программы защиты от вторжения, которые заблокируют активность с зараженного ноутбука.


Сергей Вихорев


– Что мы делаем, когда надо к офисному компьютеру подключить кем-то принесенную флешку? Правильно, мы ее перед подключением обязательно проверим на наличие вирусов. Это правила хорошего тона. Но! Поздно пить боржоми, когда почки отвалились. Если работник пришел с «удаленки» с зараженным компьютером, то уже поздно что-то делать. Ведь он уже подключался к сети из дома и, естественно, если его компьютер был заражен, можно с уверенностью сказать, что и корпоративная сеть уже заражена.

Чтобы не допускать такой ситуации, необходимо постоянно контролировать состояние компьютера работника со стороны информационной сети и при наличии даже подозрения на какие-либо аномальные явления необходимо не допускать этот компьютер к ресурсам сети. Решение, кажется, на поверхности. Надо провести инвентаризацию удаленного компьютера, создать некий его профиль и в дальнейшем с периодичностью отслеживать его состояние, настройки, конфигурацию, целостность. Проще говоря, надо в режиме реального времени проводить мониторинг:

  • ГДЕ находится компьютер;
  • КАК подключается компьютер;
  • ЧТО установлено на компьютере;
  • ЧТО запущено на компьютере;
  • ЧТО делает работник.

Но пассивное наблюдение вряд ли даст положительный эффект. Необходимо не только контролировать, но и иметь возможность управлять рабочим местом. Администратор безопасности должен иметь инструмент, позволяющий в момент подключения удаленного компьютера к информационной системе, контролировать состав аппаратного и программного обеспечения удаленного компьютера, определять тип и состав зарегистрированных USB-устройств, проверять запущенные в операционной системе процессы и доступность сетевых сред, работу антивирусных средств, уметь регистрировать любые события, влияющие на безопасности рабочего места и, в частности, регистрировать любые изменения в аппаратной и программной среде, нарушения правил информационной безопасности. Такой инструмент должен позволять указать строгий перечень разрешенных к использованию «удаленщиками» устройств и программного обеспечения и проводить отслеживание нежелательных изменений в реальном времени. Другими словами, оберегать «удаленщика» от небезопасных действий.


Дмитрий Ковалев


– Такой ситуации не должно возникнуть: отдел ИБ устанавливает на корпоративном ноутбуке все необходимые средства защиты информации, которые администрируются со стороны компании. Таким образом все зловредные программы по умолчанию будут «пресекаться на корню» и не попадут в корпоративную сеть.


Павел Коростелев


– Чтобы при возвращении в офис пользователи не принесли после удаленки вирусы в корпоративную сеть, нужно заранее запретить им устанавливать на рабочие ноутбуки ПО. Кроме того, на рабочих машинах стоит развернуть средства мониторинга, которые помогут отследить попытки установки приложений и запретят сотруднику это сделать.


Дмитрий Пятунин


– В случае применения необходимых предупреждающих настроек корпоративного АРМ наличие домашних вирусов маловероятно. На ноутбуке, заблокированном паролем BIOS, обеспечена высокая степень защиты: учетная запись пользователя лишена локальных прав администратора; устройство не воспринимает съемные дисковые накопители; установлено антивирусное ПО с актуальной malware-базой и агент противодействия утечкам информации; применяется шифрование дисков, а выход в Интернет выполняется через прокси-сервер компании.

И все же если устройство в момент подключения к офисному Wi-Fi или локальной сети не отвечает требованиям состояния с помощью технологии NAP (Network Access Protection), то корпоративная локальная вычислительная сеть отказывает в доступе, а устройство вынуждает сотрудника обратиться в отдел технической поддержки.


Филипп Хюмо


– Не существует на сто процентов эффективного способа это предотвратить, но ряд действий, таких как сегментация сети вашей компании, как описано выше, и реализация функций обеспечения сетевой безопасности, таких как контроль доступа к сети (NAC) и т. д., помогут минимизировать негативное воздействие путем выведения устройств в отдельные сети, где они не могут причинить никакого вреда.


Михаил Кондрашин


– Современные системы защиты для конечных точек с управлением из облака, позволяют не прерывать контроль при перемещении корпоративного компьютера за периметр локальной сети компании. Кроме этого, они непрерывно формируют «профиль безопасности» пользователя, что позволяет еще до заражения выявить потенциальную угрозу и адресно, и превентивно применить необходимые точечные меры к тем сотрудникам, кто наиболее серьезно нарушал правила «цифровой гигиены». Также нельзя сбрасывать со счетов сетевые средства безопасности, которые, прослушивая корпоративную сеть, заблокируют скомпрометированный компьютер и оперативно уведомят администраторов об инциденте.



Вопрос 3. 
Ваш сотрудник возвращается на работу в компанию, но без ноутбука, который ему выдали для работы на удаленном доступе. Объясняет, что где-то потерял его или его украли... вместе со всеми корпоративными доступами и данными, настройками VPN, которые теперь находятся неизвестно где и у кого. Как застраховаться от угроз при потере корпоративного ноутбука?


Михаил Кондрашин


– Все популярные операционные системы уже имеют в своем составе механизмы полного шифрования диска. Необходимо активировать эти механизмы. Тогда утеря ноутбука не будет предоставлять никакой угрозы.


Павел Коростелев


– Для страхования от угроз потери корпоративного ноутбука также заранее проводится шифрование данных – как отдельных папок, так и всего диска в целом. В этом случае кража или потеря устройства не нанесут серьезного урона и дадут время, чтобы отозвать доступы пользователя к корпоративным данным.


Александр Коновалов


– Для защиты от утечки информации необходимо, как минимум, всегда использовать сплошное шифрование всего диска: например, встроенными средствами Windows (программа BitLocker) или аналогичными. При таком сценарии злоумышленник не сможет получить доступ к данным, а также не сможет прочитать диск путем извлечения его из ноутбука и установки в другой компьютер. Также можно использовать специальное программное обеспечение, которое удаляет все пользовательские данные на диске, если ноутбук не подключался к локальной сети дольше допустимого интервала времени.

Конечно, как только будет обнаружен факт кражи или потери ноутбука, необходимо сменить пароль пользователя, утратившего ноутбук. В локальной сети желательно установить программное обеспечение, которое само «поймет», что ноутбук находится в чужих руках, даже если сотрудник не уведомил работодателя своевременно. Например, если ноутбук пытается подключиться с IP-адресов, с которых никогда не работал (особенно из другого региона). Но у этого метода есть недостатки – может произойти «ложная тревога», если сотрудник ничего не потерял, а просто поехал в командировку.


Сергей Вихорев


– Тяжелый случай! Но, к сожалению, такое развитие событий встречается. Рабочий компьютер, используемый для исполнения трудовых функций, является активом, принадлежащим работодателю. И работник обязан не только бережно относиться к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя) , но и возместить причиненный ущерб работодателю .

Правда, это вряд ли позволит восстановить утраченные свойства ценной информации. Например, свойство конфиденциальности. Это свойство, как триггер, либо оно есть, либо его нет. Третьего не дано (действительно, нельзя же быть чуточку беременной). Причем утрата этого свойства иногда носит латентный характер: обладатель информации может и не догадываться, что конфиденциальность утрачена – ведь на самой информации не написано, что с ней ознакомился кто-то, кому этого делать было нельзя. А делал-то он это скрытно. И уж если конфиденциальность утрачена, то это уже навсегда. Восстановлению конфиденциальность не подлежит.

Что же можно сделать в этой ситуации? По всей видимости, наиболее эффективным способом будет концентрация всей ценной информации в защищенном сегменте, например, на сервере в пределах защищаемой зоны.

Но как в этом случае работать «удаленщику»? Здесь потребуются некоторые усилия. Организуем терминальный доступ. В пределах закрытого сегмента информационной системы выделяем сектор, где будет храниться наша информация. Затем формируем несколько виртуальных машин. Организуем доступ «удаленщика» к своей виртуальной машине. А дальше всё просто. На удаленном компьютере обработка информации не производится, это всё происходит на виртуальной машине в режиме терминального доступа. Следовательно, никакая ценная информация на удаленном компьютере не хранится и «потеряться» не может. Остается только защитить канал взаимодействия с помощью, например, VPN. Правда, при этом не надо забывать об усиленной аутентификации (и желательно с разделяемым секретом), мониторинге за настройками удаленного компьютера и отслеживанием его местоположения (геолокации).

Ну а если «удаленщику» всё-таки надо хранить информацию на своем удаленном компьютере? В этом случае не обойтись без специальных программ шифрования диска «на лету». Сейчас на рынке достаточно много таких программ, в том числе и реализующих отечественные ГОСТы шифрования, что позволяет обеспечить защиту информации в соответствии с нормативными документами и законом. Но и в этом случае не будем забывать о постоянном мониторинге состояния удаленного компьютера и его геолокации для оперативной возможности изменения прав доступа к корпоративным ресурсам.


Александр Горячев


– Прежде всего, корпоративное устройство должно быть настроено в соответствии с политикой безопасности конкретной организации. Как минимум, на нем должно быть установлено защитное ПО – антивирус, фаервол, антиспам, т. е. минимальный набор для защиты от информационных угроз.

Устройства обязательно должны быть защищены надежными паролями, а все данные на них должны быть зашифрованы. Последнее решается как встроенными средствами используемых ОС (шифрование поддерживает большинство современных платформ – Windows, Mac, Android и т. д.), так и сторонними программными решениями. Тем самым вы минимизируете риск неавторизованного доступа к информации на утерянном или украденном устройстве.

В ряде случаев дополнительным решением может стать возможность дистанционного доступа к устройству, а также автоматическое удаление данных при попытке доступа неавторизованных пользователей. Это также решается как соответствующими настройками устройства, так и специализированными программными средствами. Например, после активации таких настроек при вводе неправильного пароля или pin-кода несколько раз смартфон удалит все данные пользователя.


Дмитрий Пятунин


– В политике ИТ стоит запретить локальное хранение критичных данных и в случае инцидента незамедлительно сообщить в службу поддержки компании. Это позволит своевременно заблокировать учетную запись пользователя. Инфраструктура и устройство должны быть настроены в соответствии с лучшей практикой, например, с использованием перемещаемых профилей, двухфакторной аутентификации, шифрования дисков, блокирования шифрования в случае длительного отсутствия в корпоративной сети.


Павел Анфимов


– Я бы не рекомендовал защищать доступ к корпоративным ресурсам только паролем. Хорошие пароли трудно запомнить, слабые пароли не защищают. Кроме того, пользователь не узнает о краже или подборе пароля, даже если злоумышленник начнет его использовать.

Для того чтобы не позволить злоумышленнику, укравшему ноутбук, получить доступ к ИТ-инфраструктуре компании, необходимо добавить в процесс аутентификации ее сотрудников дополнительный фактор.

При использовании паролей используется фактор знания, выраженный в том, что пользователь знает пароль. Чтобы добавить к нему второй фактор, нужно сделать так, чтобы пользователь обладал неким физическим устройством (токеном или смарт-картой), который перед аутентификацией необходимо подключить к компьютеру. Для большей безопасности возможна настройка автоматической блокировки компьютера при извлечении токена или смарт-карты.

Сочетание факторов обладания устройством и знания PIN-кода обеспечивает надежную двухфакторную аутентификацию при входе в учетные записи на ОС Windows, Linux и macOS рабочих компьютеров.


Дмитрий Ковалев


– На уровне регламента и инструкции за подписью пользователя должно быть прописано, что в случае потери или кражи корпоративного устройства сотрудник должен немедленно сообщить об этом в отдел информационной безопасности.

Дополнительно обезопасить себя от такого инцидента можно благодаря шифрованию рабочего диска с использованием токена. В этом случае кража приведет к тому, что в руках у злоумышленника окажется «кирпич» без доступа к корпоративной информации. Важно прописать в пользовательской инструкции, что токен – например, флешка с ключом – должен храниться отдельно от корпоративного устройства и вставляться в него только при прямом использовании. В случае если в руки третьих лиц попал и ноутбук и токен, системные администраторы отключают конкретную машину от доступа ко всем корпоративным ресурсам. Никаких новых данных на устройство поступать не будет, но у злоумышленника будет доступ к информации, которая хранится на локальном диске.


Филипп Хюмо


– Внедрите решение для управления мобильными устройствами (MDM), чтобы данные с ноутбука можно было стереть удаленно. Помимо этого, ноутбук должен быть защищен, чтобы в систему нельзя было войти без действительных учетных данных.



Вопрос 4. 
Пользователь использует для работы публичные облачные системы. Все его данные для удобства выгружены в облако, безопасность которого может быть отнюдь не безоблачной. Аналогичная ситуация с облачными бесплатными почтовыми системами и другими сервисами. Что можно посоветовать сотруднику, кроме запрета на пользование облачными сервисами?


Александр Коновалов


– На ноутбук сотрудника может быть установлено специальное программное обеспечение, которое блокирует доступ из браузера к десяткам известных облачных сервисов (почтовых и файловых). Рекомендуется организовать для сотрудников частное облако (либо специальный сервер у работодателя), где данные будут под защитой. Если это технически невозможно, то рекомендации сотруднику такие: всегда архивировать пересылаемые файлы с паролем, а пароль передавать получателю в СМС или с помощью мессенджера.

Также не рекомендуется «расшаривать» файлы «по ссылке» (в таком сценарии к файлу получит доступ любой человек, у которого оказалась ссылка), вместо этого лучше открывать доступ к файлу только конкретным пользователям, имеющим учетную запись прошедшим аутентификацию на облачной платформе.

Еще работодатель может настроить ноутбук таким образом, чтобы все соединения с Интернетом проходили через корпоративный прокси-сервер, который будет оповещать службу информационной безопасности, если сотрудник начал «заливать» в облако слишком большие объемы информации.


Сергей Вихорев


– Ничего! Только запрет! Дело в том, что защитить открытую систему, в которую может войти кто хочет и делать что хочет по определению – нельзя! Любая защита строится на том, что каждому субъекту назначаются определенные права доступа к тем или иным ресурсам, приложениям, операциям и проверкой этих прав при выполнении операций (везде контроль и учет). Если же мы не знаем, кто есть кто, то, естественно, и контролировать действия мы не можем.

Но не будем путать работу в публичных облаках, таких как Google, с использованием услуг облачного провайдера для развертывания ИТ-инфраструктуры организации. Т. е. когда организация не хочет по каким-то причинам строить свою ИТ-инфраструктуру, а использует для создания своей информационной системы готовую инфраструктуру ЦОД облачного провайдера. Сейчас это очень популярно, но это суть разные вещи. Здесь уже нельзя говорить о публичном облаке, это, скорее, частное облако. И правила здесь другие.

Да, получая услуги облачного провайдера и используя инфраструктуру его ЦОД, организация не может получить полного контроля и обеспечить самостоятельно все процессы обеспечения безопасности информации. Однако, как правило, услуги провайдера (например, на условиях IaaS) предоставляются на договорной основе. А договор в этом случае должен предусматривать обязанность провайдера выполнить свою часть защиты информации: выделение инфраструктуры организации в отдельный сегмент (пусть и виртуальный), защиту периметра, защиту гипервизора, защиту от DDOS-атак и прочее. Ну а обеспечение защиты информации в пределах выделенного сегмента – это уже головная боль самой организации.


Павел Анфимов


– Наиболее безопасный вариант в данной ситуации – использовать частное (in-house) облако, настроив доступ к нему через VPN и обеспечив двухфакторную аутентификацию. Если у компании своего облака нет, то я бы рекомендовал:

1) Приобрести систему мониторинга интернет-трафика облака. Мониторить его можно, перенаправляя весь трафик на корпоративный периметр либо на специальный облачный защитный шлюз;

2) Настроить двухфакторную аутентификацию к внешнему сервису. При этом следует избегать использования одноразовых паролей в SMS/PUSH-уведомлениях, поскольку данные SMS легко перехватить. Эту точку зрения поддерживают специалисты Минцифры и зарубежные эксперты из Национального института стандартов и технологий США (NIST). Они не рекомендуют использовать СМС для доступа к корпоративным ресурсам. Разделяют опасения и банковские аналитики, которые также пришли к выводу, что SMS- и PUSH-уведомления не безопасны. Apple не только предупреждает о незащищенности канала передачи между Apple Push Notification Service-сервером и приложением пользователя, но и берет обязательство с разработчика не передавать через PUSH-уведомления персональную или конфиденциальную, в том числе транзакционную, информацию, к которой, безусловно, относятся и одноразовые коды.

Рекомендую, если вы работаете в облаке, защитить наиболее важные аккаунты (например, аккаунт электронной почты) по максимуму – запереть на «железный» U2F-токен/USB-токен или смарт-карту, запретив любые другие опции двухфакторной аутентификации.


Александр Горячев


– Если без облачного хранилища не обойтись, в первую очередь следует пользоваться только сервисами известных и крупных провайдеров, работающих в этой сфере достаточно долго. Такие компании дорожат своей репутацией, поэтому от них как минимум стоит ожидать большей надежности и безопасности. Однако, невзирая на имена, необходимо также предпринимать и самостоятельные шаги для защиты хранимой в облаке информации.

Обязательно шифруйте важные данные: даже в случае компрометации облачного сервиса злоумышленники не смогут получить к ним доступ. Дополнительно зашифрованные файлы можно поместить в архивы с паролем, обеспечив тем самым второй круг «обороны».

Кроме того, включите двухфакторную авторизацию для доступа к облачному хранилищу, установите антивирус на все ваши устройства, а также соблюдайте другие базовые правила информационной безопасности. Например, не переходите по ссылкам из писем и СМС от неизвестных отправителей, не посещайте сомнительные веб-сайты, не скачивайте пиратские программы и другой контент, поскольку под видом нужного приложения или любимой песни может распространяться ворующий пароли троян.


Дмитрий Пятунин


– Наилучшим решением данной проблемы является предоставление корпоративной альтернативы с self-hosted-размещением в подконтрольном периметре корпоративной сети – ownCloud, Nextcloud, Seafile, Syncthing.


Дмитрий Ковалев


– В политике информационной безопасности компании может быть четко прописан запрет на использование сторонних облачных хранилищ с личной учетной записью и регламентирован перечень ПО, разрешенного для работы. Администратор на сетевом уровне с помощью proxy может обеспечить на корпоративном устройстве блокировку сервисов, которые не должны быть использованы сотрудниками.


Филипп Хюмо


– В данном случае не стоит зацикливаться на сотруднике. То, что он использует общедоступную облачную платформу для выгрузки данных, – на самом деле лишь следствие. Поясню: обычно, когда работники используют не разрешенные к использованию ИТ-системы, это происходит потому, что компания не понимает потребностей персонала или не принимает их во внимание. Поэтому работник использует общедоступный облачный сервис, чтобы упростить свою работу. В данном случае вины работника нет, поскольку позаботиться об этом должен был работодатель. Что должен делать работодатель, чтобы правильно понимать потребности своих сотрудников и предоставлять им необходимые услуги безопасным способом? Вот вопрос, который нужно задать, если вы хотите решить эту проблему.


Михаил Кондрашин


– Предприятиям необходимо оформить подписку на облачные сервисы, необходимые пользователям для их работы. Такие сервисы, во-первых, предлагают доступ к данным только через корпоративные системы аутентификации и авторизации, а во-вторых, могут быть дополнены механизмами безопасности от сторонних разработчиков (прямая интеграция облако – облако), дополнив тем самым используемые решения механизмами защиты от утечек данных, глубокой проверкой на вредоносный код и другими технологиями безопасности.


Павел Коростелев


– Если пользователь хочет работать с облачными сервисами, то порекомендовать подходящие ему должны сотрудники ИТ- или ИБ-отделов. Им же стоит проинструктировать работников о правилах безопасной работы с облаками.



Вопрос 5. 
Пользователь не имеет собственного компьютера и в компании не предусмотрена выдача ноутбука. У него есть планшет и крутой смартфон – посмотреть почту, ответить на сообщение в чате. А когда нужно поработать, он идет в интернет-кафе, в университет, в библиотеку или в гости к другу, у которого есть компьютер, в общем, ищет, где можно поработать за клавиатурой. Тем самым он невольно провоцирует риск распространения конфиденциальной информации, создания брешей в системе корпоративной защиты и других нежелательных ситуаций. Каким образом компания может снизить подобные риски?


Александр Коновалов


– Сложно себе представить такой сценарий в 2021 году. Тем не менее для таких ситуаций можно использовать систему терминального доступа к «виртуальному удаленному рабочему столу», работающему из любого веб-браузера (даже с планшета), без установки какого-либо программного обеспечения на чужой компьютер. Так как на чужом компьютере может быть установлена программа, скрытно записывающая как изображение на экране, так и все нажатия на клавиатуру (кейлоггер), то для такого сотрудника необходимо использовать другие методы аутентификации вместо пароля, например, одноразовые пароли по СМС, или аутентификационный токен (аппаратный или через мобильное приложение для смартфона).

Любая передача файлов на чужой компьютер или с чужого компьютера должна быть запрещена настройками сервера «удаленного рабочего стола». Надо отметить, что совокупная стоимость сервера «виртуальных удаленных рабочих столов» и системы генерации одноразовых паролей может быть выше, чем неплохой ноутбук, который можно выдать сотруднику.


Павел Коростелев


– Снизить риски, когда сотрудник работает в интернет-кафе, университете, библиотеке или в гостях у друга, поможет всё тот же подход с использованием терминальных серверов, в рамках которых запрещена выгрузка любой информации наружу и загрузка внутрь.


Сергей Вихорев


– Как в сказке, чем дальше, тем страшнее. Опять надо вспомнить положения Трудового кодекса. Как уже было отмечено, именно работодатель обеспечивает работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей .

Это справедливо и для «удаленщиков» . Это именно обязанность, а не право работодателя, и если он этого не сделал, то в этом случае работник может обратиться в комиссию по разрешению трудовых споров, в Государственную инспекцию труда или разрешить проблему через суд . Да и работа из интернет-кафе, библиотеки или от друга может рассматриваться как нарушение трудовой дисциплины, так как указание места работы является обязательным условием трудового договора .

Другое дело, если работодатель принял решение о возможности использовать в рабочих целях планшет или крутой смартфон работника и договорился с ним об этом (лучше в письменной форме). Это при соблюдении определенных условий (выплаты компенсации) вполне возможно. В этом случае потребуется использование специальных средств класса MDM (Mobile device management), которые предоставляют набор сервисов и технологий, обеспечивающих контроль и защиту мобильных устройств, используемых организацией и ее сотрудниками. Такие MDM-решения состоят из двух частей: контрольного центра и клиентского программного обеспечения, которое включает средства шифрования, позволяющие обеспечить конфиденциальность данных, а также ряд инструментов, предназначенных для удаленного мониторинга и управления устройством.


Дмитрий Пятунин


– Наилучшим решением для корпоративного кочевника является применение технологий удаленного виртуального рабочего места: RDS (Remote Desktop Services) или VDI (Virtual Desktop Infrastructure). В первом случае человек воспользуется удаленным рабочим столом на базе разделяемого с другими сотрудниками корпоративного Windows Server с предустановленным ПО. Во втором – отдельной виртуальной машиной со всем необходимым. В обоих случаях нужно применять двухфакторную аутентификацию.


Филипп Хюмо


– Компания всегда должна предоставлять сотруднику безопасную платформу для работы. Необходимо выдать сотруднику корпоративный компьютер либо предложить способ безопасной работы на его собственном компьютере, например, удаленный рабочий стол и т. д. Никогда не следует смешивать профессиональные и личные дела (или ИТ-системы).


Михаил Кондрашин


– В первую очередь необходимо настроить доступ ко всем доступным для пользователей системам только с использованием двухфакторной аутентификации. В этому случае, при работе с чужого устройства, могут быть только те данные, с которыми пользователь работал непосредственно. При этом необходимо в конце рабочей сессии явно выходить из всех систем, а не просто закрывать окно браузера. В любом случае описанный сценарий слишком рискованный и допустим только в компаниях, где риски ИБ минимальны, так как пользователь не обрабатывает конфиденциальную информацию.



Вопрос 6. 
Какие из программно-аппаратных средств защиты вам кажутся наиболее подходящими для гибридного формата работы? Почему?


Александр Коновалов


– Вот основные программные средства, которые нужно установить. Для управления защитой ноутбука, запрета установки стороннего ПО – CyberArk, Microsoft SCM и др. Средства шифрования диска, например, BitLocker. Для блокировки USB-портов: DeviceLock, Crowdstrike Falcon Device Control и др. Удаленный терминальный доступ к виртуальным рабочим столам: Parallels RAS VDI, Apache Guacamole, Cybele Thinfinity и др. Одноразовые пароли и аутентификаторы: Google Authenticator, FreeOTP, RSA SecurID, Okta, HID Global и др. Также, разумеется, необходим антивирус.


Павел Анфимов


– Гибридный режим работы сотрудников подразумевает частичную удаленную работу вне офиса, а значит и связанный с этим целый ряд угроз:

  • пароли пользователей могут быть украдены, что дает возможность злоумышленникам бесконтрольно подключаться к сети и ИТ-ресурсам предприятия;
  • данные передаются по публичным каналам, а значит могут быть перехвачены и изменены;
  • важная корпоративная информация хранится на ноутбуках, домашних ПК и флеш-накопителях вне файловых ресурсов и информационных систем предприятия и становится уязвимой.

Впрочем, даже когда сотрудник приезжает работать в офис, опасности для корпоративной информационной системы продолжают существовать. Пароль от учетной записи может быть записан прямо на мониторе, подсмотрен через плечо или перехвачен вредоносной программой. Или же, в случае, когда сотрудник берет конфиденциальную информацию в командировку на обычной флешке, она может быть утеряна.

Надежным решением обозначенных проблем может стать применение специальных устройств – токенов или смарт-карт, использующих криптографические алгоритмы. С их помощью можно выполнять двухфакторную аутентификацию пользователей офисных ПК, веб-приложений, удаленных рабочих столов RDP/VDI и VPN. Кроме того, они могут защищать данные, передаваемые с помощью виртуальной частной сети (VPN), информацию на флеш-накопителях и выполнять шифрование данных. Также с помощью подобных устройств можно выполнять квалифицированную или усиленную неквалифицированную электронную подпись в рамках ЭДО.


Антон Бугрин


– Пандемия закончится – «дистанционка» останется. Бизнес уже успел оценить эффективность этой модели и вряд ли когда-нибудь откажется от нее.

В настоящее время даже такие крупные компании как Twitter и Reddit, по сути, поощряют удаленную работу, используя «географически независимые» принципы оплаты труда. Это позволяет им привлекать к собственным проектам высококвалифицированных специалистов, не вынуждая их менять место жительства.

Согласно результатам исследования «Wind of change: новые реалии цифрового взимодействия», организованного нетворкинг-платформой Digital Leader при поддержке компаний Logitech и КРОК, более половины сотрудников различных предприятий уверены в эффективности онлайн-коммуникаций. Скептиков же значительно меньше – всего 12 %, причем эти люди признались, что не имеют личного опыта дистанционной работы.

Что касается корпоративного духа, то около 45 % опрошенных считают, что для его поддержания на должном уровне достаточно проводить очные встречи не чаще 1-2 раз в месяц. А 10 % специалистов уверены, что вообще можно обойтись без коллективных посиделок.

В то же время опрошенные отмечали ряд проблем, которые снижают эффективность онлайн-коммуникаций и представляют серьезную угрозу для бизнеса, ориентированного на дистанционную и гибридную модели работы. Вопреки расхожему мнению они не имеют ничего общего с человеческой психологией и корпоративным управлением, а носят исключительно технический характер. В частности, 46 % опрошенных отмечают плохое качество звука, а 26 % – плохое качество изображения.

Все эти проблемы успешно решаются не только выбором сервиса, но и приобретением специального оборудования для видеоконференций. В общем случае компании необходимы следующие решения для совместной работы и управления ИТ-инфраструктурой:

  • веб-камеры, микрофоны, колонки и контроллеры, которыми оснащаются комнаты для проведения конференций;
  • веб-камеры и гарнитуры, которыми комплектуются рабочие места сотрудников;
  • инструментарий для управления, мониторинга и удаленного доступа к оборудованию.

Каждая из составляющих требует собственного подхода, позволяющего достичь максимальной эффективности бизнес-процессов. Так, в переговорной комнате целесообразно использовать сенсорные контроллеры и камеры для вайтбордов со встроенным ИИ, обеспечить совместимость со всеми популярными ВКС-решениями, а также обратить особое внимание на качество звука. Удаленных сотрудников следует обеспечить специальным оборудованием бизнес-класса, сертифицированным крупными поставщиками ПО для видеоконференций. Для удаленного управления всеми устройствами необходима единая консоль, при помощи которой ИТ-специалисты смогут дистанционно решать большинство возникающих проблем.

При массовом переходе на удаленный формат работы выросла популярность облачных сервисов, их аудитория увеличилась в разы буквально за несколько месяцев. При таком стремительном развитии выявлялись некоторые сложности с безопасностью сервисов. На сегодняшний день у ведущих компаний, предлагающих облачные решения, проблемы с безопасностью решены. Данной теме разработчики сейчас уделяют намного больше внимания, чем 2 года назад, быстрее реагируя на возникающие проблемы и оперативно их решая.

Безусловно, современные технические решения потребует определенных расходов. Но только модернизация ИТ-оборудования позволит получить максимальный эффект от применения дистанционной модели, одновременно с этим минимизируя все связанные с ней риски.


Сергей Вихорев


– Что русскому здорово, то немцу – смерть. Выбор наиболее подходящих средств защиты зависит от многих условий: масштаба сети, применяемых технологий обработки информации, состава самой информации и еще многих других параметров.

Это, конечно же, решения класса CASB (Cloud Access Security Broker), разработанные в целях отслеживания, обеспечения соответствия требованиям, защиты данных и противодействия угрозам, решения типа EDR (Endpoint Detection and Response), предназначенные для защиты удаленных компьютеров (конечных точек) от сложных угроз (обнаружение и предотвращение скрытых процессов, полный мониторинг компьютера, управление рабочим местом), уже упоминаемое решение MDM (Mobile device management) по управлению мобильными устройствами и еще целый ряд различных решений. Но в любом случае крайне необходимо организовать тщательный мониторинг состояния удаленных рабочих мест.

Сейчас на рынке имеются средства мониторинга состояния безопасности информации. Но это, как правило, достаточно большие и дорогие комплексы, имеющие очень большой и, зачастую, избыточный перечень функций. Для их настройки и эксплуатации требуются высококвалифицированные специалисты и постоянное обращение к специализированным мониторинговым фирмам, способным правильно выработать правила обнаружения инцидентов безопасности информации. Это не всегда по карману бизнесу, особенно если он входит в SMB-сегмент. Но есть на рынке и недорогие, простые в обслуживании и не требующие специально обученных людей системы, которые имеют гибкую настройку параметров контроля и создания правил контроля для каждого компьютера, что позволяет визуализировать динамику результатов мониторинга.


Александр Горячев


– Наиболее простым решением будет предоставить сотруднику корпоративное устройство, настроенное так, чтобы максимально соответствовать политике безопасности организации. Если же такой возможности всё же нет, помочь могут установленный лицензионный антивирус (а еще лучше – комплексное решение, включающее помимо антивируса антиспам, веб-антивирус, фаервол и другие компоненты), а также использование корпоративного VPN с защищенным соединением.

Кроме того, использовать публичные сети для доступа в Интернет – не самая хорошая идея, ведь злоумышленники могут целенаправленно прослушивать такие каналы связи, пытаясь перехватить важные данные. Да и случайные утечки в таких случаях исключать тоже нельзя. Необходимо также периодически проводить с сотрудниками инструктаж, разъясняя им правила информационной безопасности и знакомя их с актуальными рисками, с которыми те могут столкнуться в цифровой среде.


Дмитрий Пятунин


– Для виртуального рабочего стола домашнее устройство служит лишь экраном и клавиатурой, а также может быть практически полностью изолировано от корпоративной среды. Двухфакторная аутентификация снижает риски дискредитации пароля пользователя. Система противодействия утечкам информации (DLP) незаменима для компаний с действующим режимом коммерческой тайны.

Необходимо и корпоративное антивирусное ПО с сервером администрирования: современные антивирусные решения давно вышли за рамки вирусной защиты, система предоставляет функции аудита, контроля устройств, удаленного администрирования и изменения системных настроек. Шифрование дисков как встроенными средствами операционной системы, так и с применением отдельных специализированных продуктов позволят избежать утечки критичных к раскрытию данных в пользу третьих лиц в случае утери или изъятия корпоративного устройства. Межсегментное сетевое экранирование значительно снизит ущерб в случае успешной атаки на корпоративную сеть. Подобно переборкам морского судна, сегментация сети позволит оставить бизнес на плаву.


Дмитрий Ковалев


– Удаленный формат, а вслед за ним и гибридный формат работы, окончательно размывает понятие периметра компании и внутренней корпоративной сети. Важно защитить канал связи для удаленных пользователей, например, с помощью VPN-клиента.

Чтобы предотвратить утечку конфиденциальной информации, можно использовать инструменты для мониторинга действий сотрудника на рабочем компьютере и систему многофакторной аутентификации. Так у компании будет хоть какая-то гарантия, что в корпоративной среде залогинился конкретный человек, а не тот, кому удалось узнать пароль. Организовать защиту не сложно: это могут быть физические токены, пуш-уведомления, отдельные бизнес-приложения, СМС, звонки – вариантов на рынке довольно много.

Должны быть подсистемы контроля за привилегированными пользователями с правами администратора. К ним ни в коем случае не должны попадать конечные логины и пароли от критически важных для работы компании приложений. Современные PAM-системы (Privileged Access Management, контроль привилегированных пользователей) ведут запись действий администраторов и позволяют в случае инцидента проверить кто, в какое время и для чего заходил в корпоративную сеть.

Доступ к корпоративной сети можно дополнительно защитить с помощью подсистем NAC (Network Access Control, контроль доступа к сети). Они не пустят устройство в корпоративную сеть, если обнаружат несоответствия заданным параметрам политики ИБ: например, старую версию приложения, отключенный сервис, подозрительную активность и т. д.


Филипп Хюмо


– Что делать, чтобы создать безопасную гибридную рабочую среду:

  • используйте только проверенные, предоставляемые и управляемые компанией устройства для подключения к любым корпоративным ресурсам;
  • убедитесь, что решения для обеспечения безопасности установлены на всех конечных устройствах;
  • убедитесь, что сотрудники должным образом обучены и хорошо ориентируются в ландшафте угроз, относящихся к компании, в которой они работают, а также хорошо понимают особенности удаленной работы;
  • при необходимости внедрите многофакторную аутентификацию (MFA); если ваша компания использует VPN для удаленного подключения к корпоративным ресурсам, убедитесь, что такие ресурсы защищены MFA, – для аутентификации пользователя должен использоваться дополнительный код из приложения на смартфоне либо физический ключ безопасности, совместимый с FIDO;
  • если все ресурсы компании размещены в облачных сервисах, таких как Google Workplace или Microsoft Office 365, обязательно используйте «единый вход» (SSO) (на самом деле, это универсальный совет) и MFA;
  • убедитесь, что все учетные записи администраторов защищены MFA.


Михаил Кондрашин


– При удаленной работе наиболее удобными являются облачные информационные системы и облачные же системы безопасности. Подобные системы не различают сотрудников, работающих внутри сети и удаленно, и ко всем относятся с высоким уровнем подозрительности, проверяя и перепроверяя получаемые данные.


Павел Коростелев


– Для гибридного формата работы предприятиям стоит выдавать сотрудникам рабочие ноутбуки. Они уже должны быть настроены таким образом, чтобы выявлять и блокировать потенциально опасное поведение пользователей: установку стороннего ПО, перехода на явно фишинговые сайты и т. д. Необходимо установить систему обнаружения аномалий и проверки ноутбука перед подключением к корпоративной сети предприятия. Обязательно повторять работникам правила кибергигиены и по возможности контролировать их выполнение. Это позволит снизить риски от удаленной работы.


Ключевые слова: гибридный формат, удаленная работа, кибербезопасность, пользователь, фишинг, данные, защита, компьютер

 

 

 


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru