В период общей обеспокоенности распространением вируса COVID-19 многие компании переводят сотрудников на удаленный режим работы. Такие меры разумны, ведь это позволяет снизить вероятность заражения работников коронавирусом, но нельзя забывать о рисках для бизнеса, связанных с информационной безопасностью. Речь идет о появлении дополнительных точек проникновения нарушителя в локальную сеть.
Перед службами ИТ и ИБ встает сложная задача: как сохранить непрерывность бизнеса и не открыть двери преступникам к защищаемым системам. Чтобы помочь в этом вопросе, рассмотрим основные угрозы, которые важно учесть при переходе «на удаленку», и составим чек-лист, который позволит проверить, все ли рекомендации по защите учтены.
Безопасность рабочего места
В первую очередь нужно понять, как будет осуществляться работа сотрудника из дома — на корпоративном ноутбуке, принесенном из офиса рабочем компьютере или через удаленное подключение в сеть организации с личного устройства (концепция BYOD, bring your own device). От этого зависят меры безопасности, которые стоит предусмотреть.
Наиболее безопасным вариантом можно считать работу на корпоративном ноутбуке. Для него можно заранее обеспечить выполнение всех требований организации к безопасности удаленного рабочего места (например, установить корпоративный антивирус, необходимое для работы ПО, обеспечить двухфакторную аутентификацию, шифрование диска, должный уровень журналирования событий, а также своевременное автоматическое обновление всех систем). В случае с личным устройством такие меры организовать сложно, а контролировать их соблюдение практически невозможно. Появляется угроза компрометации личного устройства работника в результате заражения вредоносным ПО или хищения учетной записи вследствие фишинговой атаки.
Концепция BYOD практически не применяется в России, и в компаниях нет ни практики, ни регламентов по обеспечению защищенности личных устройств. Если организации начнут разрешать работникам использовать свои собственные ноутбуки бесконтрольно, угроза проникновения нарушителя в сеть организации станет как никогда актуальной. Рекомендуем запретить подключение с таких устройств, если на них как минимум отсутствует антивирусная защита и не установлены все актуальные обновления для ПО и ОС. Если личное устройство сотрудника не удовлетворяет условиям для безопасной удаленной работы, рекомендуем предоставить ему корпоративный ноутбук.
Безопасность сетевого периметра
Необходимо отдавать предпочтение наиболее защищенным вариантам удаленного доступа. Например, технологии виртуальных частных сетей (VPN). В случае с VPN рекомендуем использовать безопасные реализации (например, L2TP с применением IPSec). Кроме того, широко распространен вариант удаленного подключения по протоколу удаленного рабочего стола (RDP).
По нашей статистике число хостов российских компаний с доступным для подключения RDP всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 тыс. Причем более 10% таких ресурсов уязвимы для BlueKeep (CVE-2019-0708).
Если рассмотреть статистику по федеральным округам России, то получится следующая картина:
Таким образом, на сетевом периметре российских компаний, независимо от региона, начинает увеличиваться число ресурсов, атака на которые позволит злоумышленникам получить контроль над сервером и проникнуть в локальную сеть. Мы связываем это в том числе с поспешным переводом части сотрудников таких компаний на удаленную работу.
Независимо от выбранного варианта удаленного подключения, разумным решением будет обеспечить удаленный доступ через специальный шлюз. Для RDP-подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать не рекомендуется.
Отдельно необходимо обозначить угрозу появления каналов удаленного доступа к критически важным для бизнеса сетям и системам (например, технологические сети на производстве и в энергетике, сети управления банкоматами или карточным процессингом в банках, серверы 1C, конфиденциального документооборота). Такие сети обычно изолированы от интернета и даже от корпоративного сегмента, а доступ к ним строго контролируется. Однако при переходе на удаленную работу администраторы могут упростить себе задачи управления и конфигурации для таких сегментов и настроить отдельное подключение.
Соблюдение регламентов ИБ администраторами необходимо строго контролировать. Обеспечить контроль можно с помощью постоянного мониторинга периметра сети организации, особенно ключевых ее сегментов. Кроме того, необходимо строго регламентировать использование ПО для удаленного администрирования (например, RAdmin или TeamViewer) и отслеживать случаи их нелегального применения (можно отследить по артефактам в трафике).
Ввиду невозможности физического присутствия сторонних специалистов на объектах из-за карантина для подрядных организаций и интеграторов будут создаваться дополнительные каналы удаленного подключения, а значит и ландшафт угроз существенно расширится. Рекомендуем уделить особое внимание мониторингу таких подключений, ведь атаки через доверенные каналы — один из наиболее вероятных способов проникновения в сети крупных корпораций.
Сегментация сетей
Организация VPN-доступа может быть связана с различными проблемами. Обычно VPN пробрасывается до определенного сетевого сегмента в локальной сети, а доступность других сегментов в данном случае не гарантирована. IT-подразделение может просто не успеть в короткие сроки перенастроить оборудование и обеспечить всех пользователей VPN необходимым именно им доступом, не нарушая правила разграничения. В результате для обеспечения непрерывности бизнеса IT-специалистам придется выбрать наиболее быстрый и простой вариант — открыть доступ в требуемую подсеть не одному сотруднику, а сразу всем пользователям VPN. Такой подход существенно снижает безопасность и открывает возможности не только для атак внешнего злоумышленника (если он сможет проникнуть), но и существенно повышает риск атаки со стороны инсайдера. Рекомендуем IT-специалистам заранее продумать план действий для сохранения сегментации сетей и выделить необходимое число VPN-пулов.
Безопасность учетных записей
Результаты тестирований на проникновение показывают, что словарные пароли используются как минимум в 75% компаний для доступа к различным внешним сервисам (в том числе к веб-сайтам, порталам, базам данных, системам телеконференций). Опасность существенно повышается, когда слабые пароли применяются для удаленного подключения в локальную сеть. Ведь злоумышленники могут подобрать учетную запись и напрямую атаковать внутренние ресурсы.
Крайне важно повысить строгость парольной политики в период удаленной работы, как минимум в части длины и сложности паролей. Мы рекомендуем для удаленного подключения использовать пароли длиной не менее 12 символов для непривилегированных учетных записей и не менее 15 символов для административных. Следует использовать одновременно разные типы символов (малые и заглавные буквы, спецсимволы, цифры) и исключить использование легко угадываемых паролей. К примеру, в рамках тестирований на проникновение финансовых организаций в 2019 году 48% всех подобранных паролей были составлены из комбинации слова, обозначающего время года либо месяц, и четырех цифр, обозначающих год (Сентябрь2019 или в английской раскладке клавиатуры Ctynz,hm2019). Такие пароли подбираются по словарям за считанные минуты, хотя формально соответствуют парольной политике.
Риск проникновения в локальную сеть повышается и за счет большого количества сотрудников, которым ранее не предоставлялся удаленный доступ в виду критической важности выполняемых ими задач. Такие сотрудники (например, бухгалтеры, инженеры, технологи и даже топ-менеджеры) зачастую плохо обучены тому, как защититься от кибератаки и какие меры предосторожности необходимо соблюдать при работе в интернете. Необходимо быть готовым к резкому увеличению числа учетных записей с простыми паролями на периметре сети. Значительное ужесточение требований к длине пароля может стать эффективной мерой со стороны IT-департамента. Проверить сложность паролей тоже возможно: для этого достаточно выгрузить базу хешей с контроллера домена (файл ntds.dit) и попытаться подобрать пароли по этим хешам с применением словарей.
Использование двухфакторной аутентификации с помощью аппаратных токенов поможет снизить риск компрометации сети компании в случае подбора словарного пароля сотрудника.
Кибергигиена
Преступники уже сегодня активно используют тему пандемии и рассылают фишинговые письма с текстом о защите от коронавируса, создают фэйковые сайты, распространяют трояны под видом мобильных приложений. Профессиональные APT-группировки (в том числе SongXY, Gamaredon, Higaisa) быстро подстроились под переход компаний на удаленную работу и атакуют личные электронные адреса сотрудников. Фишинговая рассылка была проведена неизвестными злоумышленниками и в адрес нашей компании: преступники пытались украсть учетные данные.
Сотрудники должны понимать серьезность угрозы и быть готовыми отличить легитимную почту от фишинга. Для этого необходимо провести разъяснительные беседы, распространить краткие наглядные обучающие материалы и памятки на тему информационной безопасности и социальной инженерии. Кроме того, важно обеспечить динамическую проверку всех файлов, получаемых по корпоративной почте с помощью систем класса sandbox.
Чек-лист безопасника
Чтобы учесть основные факторы, влияющие на защищенность организации при переводе сотрудников на удаленный режим работы, мы составили небольшой чек-лист. Рекомендуем использовать его для самопроверки.
| Чего опасаться | Что делать |
|---|---|
| Подбор паролей и проникновение злоумышленника в сеть организации |
|
| Хищение конфиденциальной информации |
|
| Заражение устройств сотрудников и распространение ВПО на ресурсы компании |
|
| Атака через появившиеся на периметре незащищенные сервисы удаленного доступа |
|
| Невозможность выявить и среагировать на нелегитимные действия сотрудников и атаки |
|
| Несвоевременное реагирование на инциденты, невозможность оперативно остановить атаку |
|
| Компрометация ключевых бизнес-систем организации в результате атаки |
|
| Нарушение непрерывности бизнес-процессов из-за сбоев при удаленном подключении сотрудников к внутренним ресурсам |
|
| Отказ бизнес-систем из-за повышенной нагрузки или в результате атаки на отказ в обслуживании |
|
К чему готовиться
Тема распространения коронавируса находится на пике популярности, преступники будут активно использовать ее в фишинговых рассылках не только на организации, но и на личные адреса сотрудников, их страницы в социальных сетях. Перевод сотрудников на удаленную работу создаст дополнительные сложности в обеспечении безопасности, а значит повысит шанс на успешное проникновение. Мы прогнозируем существенное увеличение количества атак на сетевой периметр организаций и на удаленные рабочие места сотрудников.
В России существует множество компаний, в которых удаленная работа не применялась никогда (например, различные государственные организации, НИИ). Эти организации находятся в зоне повышенного риска. Поспешный перевод сотрудников «на удаленку» неизбежно приведет к ошибкам администрирования и появлению незащищенных систем. Сотрудники, привыкшие работать только в офисе, не осведомленные в вопросах ИБ, являются еще более уязвимым звеном в защите. К тому же, возрастает вероятность утечки информации по вине инсайдера. Преступники осознают это и будут активно использовать. Последствия для компании могут быть катастрофическими. Мы рекомендуем организациям, не готовым к быстрому переходу в удаленный режим работы, отказаться от поспешных действий и выстроить процесс максимально ответственно и последовательно, с учетом всех возможных угроз ИБ.
Усиленный контроль действий сотрудников в сети и всех удаленных подключений, мониторинг событий безопасности на ключевых бизнес-системах, контроль защищенности сетевого периметра и мобильного рабочего места сотрудника позволят существенно снизить риски проникновения внешнего злоумышленника. Готовность сотрудников противостоять фишингу окажется не менее важным условием эффективной защиты.
