Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Как организована удаленная работа в России и странах СНГ

Как организована удаленная работа в России и странах СНГ

Дата публикации 30 апреля 2020
  • Корпоративная инфраструктура

Ключевые результаты исследования

В апреле мы провели анонимный опрос среди специалистов ИТ и ИБ. Цель исследования — узнать, как организована удаленная работа в компаниях в России и странах СНГ. Эта информация нужна нам как вендору, чтобы понять, какие угрозы сейчас наиболее актуальны и выбрать приоритеты для разработки способов их обнаружения.

Опрос проводился с 7 по 14 апреля 2020 года. Мы разместили его на официальном сайте Positive Technologies, интернет-порталах, посвященных ИБ, социальных сетях, в тематических чатах и каналах в Телеграме. Мы получили 776 заполненных анкет.

Результаты:

  • Только 11% респондентов отметили, что в их компании удаленный доступ организовали в связи с карантином.
  • 80% респондентов рассказали, что в их компаниях часть сотрудников или все из них используют для работы домашние компьютеры или ноутбуки.
  • OpenVPN, Cisco VPN и Remote Desktop Gateway — самые популярные способы организации удаленной работы среди всех компаний.
  • В крупных компаниях чаще всего используют Cisco VPN, OpenVPN и Сheck Point VPN.
  • 57% респондентов отметили, что не планируют менять способы организации удаленного доступа в ближайшее время.
  • Каждая пятая компания вывела на периметр корпоративные порталы.

Профиль респондентов

Отрасль

В опросе участвовали в основном специалисты по ИБ и ИТ из сферы информационных технологий, промышленности, финансов и госсектора. Вероятно, IT-сектор лидирует потому, что больше всего на вопросы отвечали представители компаний-интеграторов.

В опросе участвовали в основном специалисты по ИБ и ИТ из сферы информационных технологий, промышленности, финансов и госсектора

Размер компании

Больше половины респондентов представляют крупный бизнес, остальные 42% — малый и средний бизнес (до 250 работников).

Размер компании

Как организован удаленный доступ сотрудников к локальной сети

Удаленка была до карантина

Оказалось, что полный или частичный удаленный доступ был организован в большинстве компаний еще до карантина. Однако более чем половина респондентов отметила, что его пришлось экстренно организовывать с нуля (11%) или масштабировать на большее количество сотрудников (41%).

В вашей компании был организован удаленный доступ до карантина?

В вашей компании был организован удаленный доступ до карантина?

IT-компании — лидер среди отраслей по готовности к переходу на удаленку: в 63% компаний удаленный режим работы был организован еще до карантина. Для сравнения в телекоммуникационной сфере доля таких компаний составляет 54%, в финансовой — 46%, в промышленности — 32%, в ТЭК — 26%, в госструктурах — 24%.

Один из рисков безопасности при быстром переходе на удаленный режим работы — это увеличение нагрузки на IT-мощности и отсутствие внимательного мониторинга обновленной инфраструктуры. Желательно, чтобы сотрудники работали с доменных устройств, настроенных по всем стандартам безопасности. На них как минимум должны быть установлены антивирусные средства защиты и все актуальные обновления для ПО и ОС.

Работа с домашних устройств

Однако корпоративные ноутбуки выдали далеко не всем. Сотрудники 20% компаний работают с рабочих устройств, в остальных 80% организаций часть или все сотрудники используют домашние компьютеры или ноутбуки.

С каких компьютеров (ноутбуков) ваши сотрудники работают удаленно?

С каких компьютеров (ноутбуков) ваши сотрудники работают удаленно?

Наиболее безопасный вариант работы на удаленке — использовать выделенные рабочие устройства. Самая большая доля компаний, где все сотрудники работают с доменных устройств, в IT-отрасли — 26%. Немного отстает финансовая отрасль — это число составляет 23%. Самый низкий показатель — в промышленности (11%).

Если в вашей компании сотрудники работают с домашних устройств, мы рекомендуем распространить на их девайсы средства антивирусной защиты. Это можно сделать так:

  1. Организовать доступ к серверу управления корпоративными антивирусами на конечных узлах через интернет.
  2. Настоять, чтобы сотрудники установили у себя корпоративный антивирус и подключились к серверу управления.

Это может потребовать больше лицензий, но позволит проще распространить корпоративную политику безопасности на домашние устройства. Также это позволит сравнивать доменные адреса и проще выявлять нарушителей и подозрительную активность.

Если в вашей компании удаленная работа организована с помощью VPN (как показал опрос, VPN пользуется популярностью), запретите раздельное туннелирование (split tunneling): заверните весь пользовательский трафик во внутрь инфраструктуры через периметровые средства защиты, например прокси и NGFW. Иначе, если устройство сотрудника взломано и контролируется через интернет, службе ИБ будет сложно это выявить.

Пропускать трафик всех пользователей через периметр вряд ли получится — это большая нагрузка на каналы. Поэтому мы рекомендуем сегментировать сети и доступ к ним, а через запрет раздельного туннелирования обязательно пропускать трафик сотрудников, которые работают с конфиденциальными данными.

Если запретить раздельное туннелирование не получается, то для обеспечения безопасности внутренней сети пригодится поведенческий анализ. Например, можно настроить уведомления на случаи подключения сотрудника с IP-адресов из других стран или в нерабочее время. Такие случаи можно покрыть с помощью SIEM-систем — данные в них обогащаются из дополнительных источников: GeoIP-сервиса и системы анализа трафика (NTA).

Популярное ПО для организации удаленного доступа

Самые популярные способы организации удаленной работы: OpenVPN, Cisco VPN и Remote Desktop Gateway. 40% пользователей OpenVPN — компании малого и среднего бизнеса.

Какими способами организована удаленная работа в вашей компании?

Какими способами организована удаленная работа в вашей компании?

Картина меняется, если смотреть на ответы компаний с количеством сотрудников свыше 250 человек: в тройку лидеров врывается Check Point. А вот OpenVPN, RDG, TeamViewer значительно меньше популярны среди крупного бизнеса.

MaxPatrol SIEM выявляет сетевые аномалии с использованием OpenVPN, Cisco ASA, RDG и межсетевого экрана Check Point. Для этого в продукт добавлен пакет экспертизы, разработанный специально под удаленную работу.

Подробнее

Какими способами организована удаленная работа в компаниях размером 250+ сотрудников

Какими способами организована удаленная работа в компаниях размером 250+ сотрудников

В отраслях список лидеров практически не меняется. Единственное заметное отличие — в ПО, которое используют государственные компании и структуры: среди них появились отечественные игроки. В тройку лидеров вошел VPN «Кода Безопасности» (15%) вместе с Cisco (20%) и OpenVPN (12%). Это можно объяснить требованиями регуляторов и переходом на отечественное ПО.

Мы проверили базу NIST: OpenVPN, Check Point и RDG содержат критически опасные уязвимости. Рекомендуем обязательно проверить версии используемых систем и обновиться до самых новых, а также установить обновления.

Список актуальных уязвимостей для популярного ПО

OpenVPN

В OpenVPN Access Server версии 2.8.0 есть критически опасная уязвимость: возможен обход LDAP-аутентификации, за исключением случаев, когда пользователь использует двухфакторную аутентификацию (CVE-2020-8953). 

Еще одна уязвимость, актуальная для OpenVPN, позволяет атакующему похищать активные VPN-подключения (CVE-2019-14899).

Cisco

Уязвимость в компоненте установщика Cisco AnyConnect Secure Mobility Client для Windows может позволить аутентифицированному злоумышленнику копировать предоставленные пользователем файлы в каталоги системного уровня с привилегиями системного уровня (CVE-2020-3153).

Уязвимость в межсервисном взаимодействии Cisco AnyConnect Secure Mobility Client для Android может позволить злоумышленнику, не прошедшему аутентификацию, получить контроль над сервисом или вызвать отказ в обслуживании (DoS) (CVE-2019-16007).

Remote Desktop Gateway

Уязвимости с высоким уровнем опасности: возможность удаленного выполнения кода из-за уязвимостей в клиенте удаленного рабочего стола, когда пользователь подключается к вредоносному серверу (CVE-2020-0817, CVE-2020-0734, CVE-2020-0681, CVE-2020-0611, CVE-2019-1333, CVE-2019-1291, CVE-2019-1290, CVE-2019-0788, CVE-2019-0787).

В службах удаленных рабочих столов, ранее известных как службы терминалов, есть опасная уязвимость удаленного выполнения кода: злоумышленник, прошедший аутентификацию, злоупотребляет перенаправлением буфера обмена (CVE-2020-0655).

Критически опасные уязвимости удаленного выполнения кода есть в шлюзе удаленных рабочих столов Windows (RD Gateway): злоумышленник, не прошедший аутентификацию, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы (CVE-2020-0610, CVE-2020-0609).

Check Point

Check Point IKEv2 IPsec VPN версий ниже R80.30 может позволить злоумышленнику со знанием внутренней конфигурации успешно подключиться к VPN-серверу «сайт—сайт» (CVE-2019-8456).

Критически опасная уязвимость есть в клиенте Check Point Endpoint Security для Windows версии E80.83 с блейдом VPN. Он запускает процесс без использования кавычек в пути. Это может вызвать загрузку ранее размещенного исполняемого файла с именем, похожим на части пути, вместо намеченного (CVE-2019-8459).

Еще одна уязвимость клиента Check Point Endpoint Security под Windows, но уже для версий ниже E81.30. Он пытается загрузить отсутствующий файл DLL из разных каталогов переменной окружения %PATH%. Атакующие могут использовать это для повышения привилегий, используя специально созданную библиотеку DLL, расположенную в любом месте %PATH%, доступном для пользователя с правами на запись (CVE-2019-8461).

TeamViewer

Опасная уязвимость обнаружена в TeamViewer 14.2.2558. Она позволяет перехватывать учетные данные в открытом виде из памяти процессов (CVE-2019-11769). Еще одна уязвимость позволяет не только расшифровать пароль пользователя, но и повысить привилегии до системных (CVE-2019-18988).

Что изменится в ближайшее время

Больше половины компаний не планируют менять способы организации удаленки в ближайшие месяцы. Вероятно, их все устраивает, либо они надеются, что удаленная работа скоро закончится, и поэтому не готовы вкладываться в организацию безопасного удаленного доступа. Только каждая десятая организация будет вводить двухфакторную аутентификацию.

Планируете что-то менять в организации удаленки в ближайшие месяцы?

Планируете что-то менять в организации удаленки в ближайшие месяцы?

Мы рекомендуем всем компаниям использовать двухфакторную аутентификацию с помощью аппаратных токенов. Это поможет снизить риск компрометации сети компании в случае подбора словарного пароля сотрудника.

Какие сервисы выведены на периметр

43% респондентов отметили, что в их компаниях выведены какие-либо сервисы на периметр. 34% компаний вывели на периметр электронную почту, каждая пятая компания — корпоративные порталы, 16% — внутренние веб-приложения. Вместе с удобством пользования это влечет риски безопасности.

Какие дополнительные сервисы вашей компании выведены на периметр в связи с карантином и удаленной работой?

Какие дополнительные сервисы вашей компании выведены на периметр в связи с карантином и удаленной работой?

Зачастую IT-подразделение выводит сервисы на периметр без уведомления службы ИБ: они узнают об этом с помощью сервисов по мониторингу периметра или уже во время расследования инцидента. Если в вашей компании на периметре теперь доступна только почта, то вы можете быть спокойны при условии, что у вас строгая парольная политика и она соблюдается сотрудниками.

Но если вы среди тех, кто вывел корпоративные порталы или внутренние веб-приложения, то обеспечьте их защиту: в среднем на одно веб-приложение приходятся 22 уязвимости, четыре из которых имеют высокий уровень риска. Уязвимое приложение на периметре может стать открытой дверью для злоумышленников.

Чтоб снизить риск возникновения инцидентов:

  • используйте WAF — они хорошо справляются с защитой и выявлением атак на опубликованные сервисы под тонкие клиенты;
  • следите за соблюдением парольной политики;
  • не забывайте про двухфакторную аутентификацию.

Общие рекомендации

Если ранее для компаний более актуальной была защита от внешних угроз, то сейчас сами пользователи систем становятся внешней угрозой. Здесь как с коронавирусом — вышел за дверь, можешь вернуться зараженным и заразить других. Пользователи перестают быть доверенной стороной при подключении к инфраструктуре.

Как сделать бизнес более защищенным при удаленной работе:

  • Проверьте версию ПО, через которое в вашей компании организован удаленный доступ. Если она имеет критически опасную уязвимость, срочно обновитесь до последней версии. Регулярно проверять защищенность инфраструктуры помогут сканеры уязвимостей.
  • Проверьте, какие сервисы опубликованы на периметре. Найти их можно с помощью сервиса по мониторингу сетевого периметра Advanced Border Control от PT Expert Security Center. Так вы узнаете, если на узлах сетевого периметра появились новые сервисы и уязвимости, которые могут быть использованы потенциальным нарушителем для проведения атак со стороны сети Интернет.
  • Если в вашей компании на периметр выведены корпоративные порталы или внутренние веб-приложения, используйте web application firewall для защиты их от атак (лучше в режиме «в разрыв») и проверьте их на наличие уязвимостей и ошибок в коде с помощью анализатора защищенности приложений.
  • Следите за аномалиями в подключениях и в сетевом трафике. Для этого потребуется SIEM-система как информационный центр мониторинга, который собирает информацию о происходящем со всех узлов защищаемой сети. В связке с SIEM решение NTA позволит определять пользователей, которые авторизуются на VPN-сервере, и отслеживать их действия внутри сети. Подробно про выявление сетевых аномалий во время удаленной работы мы рассказали на вебинаре.
  • Запретите раздельное туннелирование. Это позволит оперативно выявлять ситуации, когда сотрудники «ловят» на устройство, с которого они подключаются во внутреннюю сеть, вредоносное ПО на просторах интернета.

О других важных рекомендациях по защите IT-инфраструктуры при удаленном режиме работы мы рассказали в отдельной статье.

Скачать PDF
Статьи по теме
  • 16 ноября 2022 Итоги пентестов — 2022
  • 29 ноября 2021 Бизнес под прицелом: анализируем сценарии атак
  • 30 марта 2007 Атаки на клиентов WEP
Поделиться:
Ссылка скопирована
Статьи по теме
10 февраля 2020

Распространенные угрозы ИБ в корпоративных сетях

3 июня 2020

Итоги внутренних пентестов — 2020

7 февраля 2019

Уязвимости корпоративных информационных систем, 2019

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта