Журнал "Information Security/ Информационная безопасность" #1, 2021

По причине большой спешки при орга- низации удаленной работы, ограниченно- сти бюджетов и времени игнорировались многие актуальные угрозы безопасности. Со временем система защиты информа- ции и ее документальное обеспечение были доработаны с учетом большего числа актуальных угроз, но злоумышлен- ники продолжают находить и использовать лазейки для нанесения ущерба. Угрозы нарушения конфиденциальности учетных данных Перехват вводимых учетных данных в изолированной среде Одной из мер защиты информации при организации удаленной работы в случае, если сотрудник использует лич- ное устройство, является виртуализация рабочих мест и публикация приложений на терминальном сервере с последую- щей изоляцией среды. Действительно, если на личном устройстве сотрудника будет установ- лено вредоносное ПО, оно не сможет воздействовать на рабочую среду или рабочие приложения. Однако даже если и для самого уда- ленного подключения используется аль- тернативная аутентификация, в случае подключения к виртуализированному рабочему месту (VDI) и терминальному приложению (например, по RemoteApp) высока вероятность того, что приложе- ние потребует авторизации с помощью логина и пароля. В таком случае вредо- носное ПО может перехватить нажатия клавиш, вычислить корректное сочета- ние "логин – пароль", и злоумышленник уже по другому каналу сможет получить доступ к конфиденциальным данным. Для нейтрализации этой угрозы рекомендуется использовать решения класса Single Sign-On (SSO) совместно с решениями для альтернативной усиленной аутентификации. Решение SSO должно быть установлено на офисных рабочих местах, к которым сотрудник подключается по VDI, либо на терминальном сервере. Далее для подтверждения аутентификации в корпоративных приложениях система потребует предъявления альтернативного фактора аутентификации, после чего SSO самостоятельно предоставит ресурсу необходимые учетные данные. Таким образом, на личной рабочей станции даже при наличии кейлоггера не перехватываются вводимые логины- пароли. Клонирование генератора одноразовых паролей Безусловно, методы усиленной (двух- факторной) аутентификации значительно повышают стойкость к угрозам при уда- ленном доступе. Однако разные техно- логии усиленной аутентификации имеют существенные различия как с точки зре- ния применимости, так и с точки зрения безопасности. Популярные сегодня методы двух- факторной аутентификации с помо- щью одноразовых кодов, генерируе- мых на устройстве или присылаемых в мессенджерах, имеют существенные уязвимости: если злоумышленник получит однократный продолжитель- ный доступ к смартфону, то он может попытаться получить повышенные при- вилегии на смартфоне (jailbreak для iOS-устройств, root-права для Android- устройств). И если это удастся, он сможет клонировать ключи генератора одноразовых паролей либо настроить себе получение сообщений в мессенд- жерах на личном компьютере. Если описанный риск имеет высокую вероятность, рекомендуется вместо одноразовых паролей использовать push- аутентификацию, которая явно привязана к устройству и не будет работать на девайсе злоумышленника. Угрозы нарушения доступности корпоративных ресурсов Удаленная блокировка учетных данных Зачастую для доступа к корпора- тивным ресурсам используются пуб- личные веб-сервисы, доступные через Интернет, например веб-клиент почты. Часто имя почтового ящика совпадает с именем доменной учетной записи. Злоумышленник может попытаться раз- гадать пароль методом подбора. Для нейтрализации этой угрозы включается блокировка учетной записи после нескольких неудачных попыток ввода пароля. Однако злоумышленник может пере- бирать пароли для последующей целе- направленной блокировки доменной учетной записи. Такая атака способна привести к частичному параличу неко- торых бизнес-процессов. С целью частичной нейтрализации данной угрозы можно воспользоваться специализированным решением для двухфакторной аутентификации (2FA), например одноразовыми паролями. При этом, даже если осуществляется попытка перебора, будет заблокирован второй аутентификатор, а не учетная запись. Таким образом, сотрудник сохранит возможность получения доступа к корпоративным ресурсам, правда только через альтернативное соединение или при локальной работе. Утеря или поломка защищенного носителя ключевой информации Исполняя рабочие обязанности, уда- ленные сотрудники могут пользоваться цифровыми сертификатами для подписи документов, подключения к сторонним веб-сервисам или для иных задач. При этом в случае утери или поломки устрой- ства появляется задача его оперативной замены, которая не сможет быть реали- зована в разумные сроки, особенно если сотрудник территориально удален от офиса. Для нейтрализации угрозы можно воспользоваться специализированными решениями, реализующими виртуальную смарт-карту (то есть без хранения ключевой информации на съемном защищенном устройстве). 22 • ТЕХНОЛОГИИ Нейтрализация неочевидных угроз безопасности при удаленной работе конце I квартала 2020 г. государственные и коммерческие компании по всему миру были вынуждены оперативно переводить многих сотрудников на удаленную работу. Из-за этого вопросы проектирования новой системы информационной безопасности были отложены, а вместо них приняли наиболее очевидные на тот момент меры защиты, к примеру межсетевое экранирование и двухфакторную аутентификацию. В Ярослав Голеусов, руководитель технологического консалтинга, компания “Индид"