Период самоизоляции и удаленной работы рано или поздно закончится. Компании начнут возвращать сотрудников обратно в офисы. Скорее всего, этот процесс будет постепенным, ведь особой спешки, как при переходе на удаленку, уже не будет.
Непрерывность бизнеса, как и всегда, будет в приоритете. На первый взгляд кажется, что обеспечить ее окажется проще — достаточно будет восстановить те процессы, которые существовали ранее. Но как быть с информационной безопасностью? Какие угрозы необходимо учесть, чтобы не впустить злоумышленников в инфраструктуру?
Ответим на эти вопросы и рассмотрим основные угрозы, которые станут актуальны в момент возвращения сотрудников в офис. И конечно, дадим рекомендации, как сделать такое возвращение максимально безопасным.
Ноуты с начинкой
Рассмотрим случай, когда сотруднику для удаленной работы был выдан корпоративный ноутбук или он забрал домой свою рабочую станцию из офиса. Первая и самая очевидная угроза, которую стоит учесть, — наличие вредоносного ПО на таких устройствах.
В домашних условиях сотрудники предоставлены сами себе, и обеспечить контроль их действий в интернете не получится. Проверить безопасность домашней беспроводной сети практически невозможно. В условиях столь срочного перехода на удаленную работу обеспеченные меры контроля за действиями сотрудника на корпоративном ноутбуке могли оказаться недостаточными, чтобы минимизировать риск заражения устройства. Сотрудник мог и сам не заметить, как произошло заражение вредоносным ПО после посещения им фишинговых сайтов или после открытия очередного письма якобы от клиента или партнера компании.
Поэтому ни в коем случае не следует подключать возвращенные после удаленной работы устройства в сеть организации без предварительной проверки. Каждое такое устройство несет потенциальный риск заражения всей инфраструктуры компании. Поэтому первым делом необходимо просканировать устройства корпоративным антивирусом. И мы рекомендуем проводить дополнительные динамические проверки подозрительных файлов в системах класса sandbox, ведь современное вредоносное ПО далеко не всегда можно обнаружить по сигнатурам.
Утекшие пароли
Не секрет, что сотрудники используют простые пароли. Они стараются выбрать такой пароль, который им проще запомнить. К сожалению, их учетные записи становятся добычей злоумышленников, например в результате подбора. Кроме того, есть риск фишинговой атаки, а значит, даже сложный пароль может утечь к преступнику.
Согласно нашему исследованию по результатам внешних тестирований на проникновение (пентестов) за 2019 год, 30% всех успешных атак на компании были связаны с подбором учетных данных.
Мы рекомендуем сбросить все пароли сотрудников при возвращении с удаленки. Это позволит минимизировать риск взлома ресурсов компании с использованием уже утекших учетных записей.
Кроме того, стоит пересмотреть парольную политику. Если при удаленной работе вводились поблажки в виде увеличенного числа попыток ввода пароля, стоит ужесточить это требование для локальных подключений из офиса.
Конфиденциальные данные на личных устройствах
Ранее мы провели в российских компаниях специальный опрос на тему организации удаленного доступа в российских компаниях. Четверо из каждых пяти респондентов отметили, что в их организации для удаленной работы применяются, среди прочего, личные устройства сотрудников. Очевидно, такой подход несет в себе риск утечки конфиденциальной информации. Работодатель не сможет проконтролировать, какие файлы были сохранены на личном устройстве, какие документы были скопированы на флешки. В случае злонамеренного хищения файлов инсайдером остается только принять этот риск. Но ведь не всегда причиной утечки является нелояльный сотрудник. Многие работники могут не придавать значения важности скопированных файлов или не понимать, какие угрозы несет в себе хранение рабочих файлов на личном устройстве.
Мы рекомендуем разослать всем сотрудникам памятки о том, что опасно хранить конфиденциальные документы на личных устройствах, с объяснением, как гарантированно удалить такие файлы с личного компьютера.
С сотрудниками, которые выполняют наиболее важные для бизнеса задачи и имеют доступ к чувствительной для бизнеса информации, рекомендуем провести отдельные разъяснительные беседы. Важно помочь сотрудникам, ведь они могут просто не суметь самостоятельно очистить свои компьютеры от корпоративной информации.
Периметр уже не тот
Крайне важно взять под контроль все ресурсы, которые были выведены на периметре сети организации на время удаленной работы. В упомянутом выше опросе каждый третий респондент подтвердил вывод на периметр сервиса корпоративной электронной почты, каждый пятый отметил открытие доступа к корпоративным порталам и еще 16% респондентов упомянули возможность подключения из интернета к внутренним веб-приложениям.
Регулярный мониторинг безопасности сетевого периметра необходим вне зависимости от условий работы сотрудников. Однако в период массовой удаленной работы само понятие периметра становится сильно размытым. Множество внутренних ресурсов стали доступны из-за пределов компании. Сервисы, доступ к которым был ранее запрещен из интернета, пришлось открыть вовне. Все это приводит к потере контроля.
Мы рекомендуем провести инвентаризацию систем, к которым возможно подключение из интернета. Определить необходимость удаленного доступа к каждой такой системе после возвращения сотрудников в офис. Реализовать фильтрацию трафика таким образом, чтобы закрыть внешний доступ к ресурсам, которые должны быть доступны только из локальной сети. Для систем, которые решено оставить на периметре, провести анализ защищенности, установить все актуальные обновления, организовать постоянный мониторинг удаленных подключений.
Если ранее не существовало такой практики, рекомендуем организовать процесс постоянного контроля за появлением новых сервисов на периметре сети, а также регулярные проверки таких сервисов на безопасность.
Наше исследование по результатам внешних пентестов за 2019 год показало, что в 77% успешных проникновений в локальную сеть использовались уязвимости веб-ресурсов. Веб-приложения необходимо защищать, а для этого следует использовать межсетевой экран уровня приложения (web application firewall) в режиме противодействия атакам.
Журналы событий
Во время удаленной работы с использованием корпоративных устройств сотрудники могут устанавливать различное нерегламентированное ПО, в том числе нелицензионное или предназначенное для развлечения. Такое ПО может содержать вредоносный код и различные бэкдоры, которые могут быть использованы злоумышленником для компрометации не только самой мобильной рабочей станции, но и впоследствии других ресурсов компании.
Рекомендуем после возвращения сотрудников с удаленки собрать журналы событий со всех мобильных рабочих станций. Это позволит не только проверить, какие действия сотрудник совершал в системе и какое неразрешенное ПО устанавливал, но и при возникновении подозрений о компрометации устройств провести ретроспективный анализ, восстановить всю цепочку событий, повлекшую возникновение инцидента.
При отсутствии журналов событий расследование киберинцидентов может оказаться невозможным.
Сегментация сетей
Для обеспечения непрерывности бизнес-процессов при удаленной работе IT-служба могла пойти на корректировку привычной сегментации сетей. Фильтрация трафика между некоторыми сетями могла быть существенно изменена или вовсе отсутствовала. При возвращении в привычный режим работы из офиса важно пересмотреть сегментацию. Там, где ее не было вовсе, следует ее организовать. Где она была нарушена — восстановить.
Это сделано, что дальше
Перед тем как восстанавливать процессы ИБ, стоит убедиться, что эти процессы не строятся на базе уже скомпрометированной инфраструктуры. Если злоумышленник уже проник, выстраивать новый «забор» нет никакого смысла. Рекомендуем провести ретроспективный анализ событий безопасности. Только убедившись, что системы не были ранее скомпрометированы, следует предпринимать следующие шаги.
Вернутся не все
Период самоизоляции привнес в рабочие будни сотрудников не только ограничения, многим такой опыт понравился. Для кого-то плюсом стала возможность работы в комфортной домашней обстановке, а кто-то перестал тратить несколько часов на дорогу. В любом случае не все захотят возвращаться, а некоторые захотят чередовать удаленку с работой из офиса. Для бизнеса это тоже может оказаться выгодно, можно сократить бюджет на аренду помещений, создать новые распределенные команды.
Компаниям, рассматривающим дальнейшую удаленную работу сотрудников, важно учесть возможные риски. Без должного контроля за мобильными рабочими местами, без достаточного мониторинга событий безопасности, без надежной комплексной защиты сетевого периметра риск утечки конфиденциальной информации и кибератак через устройства таких работников окажется существенным. Рекомендуем оставить удаленный доступ только тем сотрудникам, которым такой доступ необходим в рабочих процессах. При этом важно обеспечить весь комплекс мер информационной безопасности для удаленных рабочих мест.
Не стоит забывать и о каналах удаленного подключения со стороны подрядчиков и интеграторов, которым такой доступ был предоставлен на время. Рекомендуем закрыть те каналы, необходимость в которых отпала. В случае дальнейшего использования — обеспечить должный уровень мониторинга и защиты.
Мир не будет прежним
Опыт, полученный организациями во время эпидемии коронавируса, может быть использован в работе над ошибками. Стоит определить, какие процессы были ранее недостаточно гибки и что не позволило быстро среагировать на внешние факторы и оперативно обеспечить безопасный переход компании в удаленный режим работы. Важно оценить, является ли устоявшийся ранее подход к обеспечению ИБ эффективным в новых реалиях.
Если снова случится что-то подобное коронавирусу, рабочие станции сотрудников снова окажутся в недоверенной среде вне контролируемой зоны организации. Злоумышленники снова получат ничем не защищенные входы в корпоративную сеть. Мы рекомендуем переключить внимание с защиты конечных точек на защиту ключевых систем внутри инфраструктуры, на их мониторинг, контроль доступа, сегментацию сетей. Чем более гибкими станут новые процессы ИБ, тем меньше окажутся финансовые потери из-за непредвиденных внешних факторов.
