Журнал "Системы Безопасности" № 5‘2021

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 52 Олег Ассур, НИИ СОКБ угрозы, связанные с перехватом данных в кана- лах общего пользования, можно минимизиро- вать с помощью использования VPN. От угроз, реализуемых на клиентских устрой- ствах, защищаются иначе. Очевидной кажется потребность в антивирус- ном ПО, чтобы не допустить попадания в кор- поративную сеть файлов, которые могут навре- дить ей или данным, которые в ней находятся. но и здесь есть нюансы. например, для iOS антивирусного ПО нет. Его просто нельзя разработать, потому что Apple не дает приложениям доступа к файлам на устрой- стве. В этом случае нужно ограничить перечень приложений, которым разрешен доступ в кор- поративную сеть. Это делается с помощью настройки Per-App VPN, которая доступна при использовании систем управления мобиль- ностью (Enterprise Mobility Management, EMM). EMM-системы, или UEM-системы (Unified End- point Management), как их принято называть после того, как с их помощью стало возможным управлять ПК и ноутбуками, могут минимизи- ровать следующие угрозы: 1. Потеря или кража устройства. устройство можно дистанционно стереть или заблокировать и попытаться найти по данным GPS/ГлОнаСС. 2. Разглашение конфиденциальной информа- ции. на устройстве можно заблокировать личные сервисы или изолировать их от корпоративных. Можно ограничить передачу конфиденциальной информации с помощью различных интерфей- сов передачи данных – USB, Bluetooth и др. 3. Программный взлом устройств (Root, Jailbre- ak). При выявлении первых признаков взлома с устройства должна быть удалена чувствитель- ная информация и доступ устройства в корпо- ративную сеть должен быть заблокирован. Дарья Орешкина, Web Control Если администратор пароль от целевой системы не знает, сетевой доступ организован так, что под- ключиться можно только через точку контроля, а именно РаМ-систему, то владельцу системы это дает широкие возможности контроля действий как администраторов, так и бизнес-пользователей. Никита Семенов, ТАЛМЕР наш опыт и опыт наших заказчиков говорит о том, что для минимизации угроз безопасности, связанных с удаленным доступом, необходим комплексный подход. Прежде всего, абсолют- ному большинству компаний требуется понять, что RA VPN с личного устройства не панацея. необходимо использовать целый комплекс средств защиты – EDR и антивирусные системы для защиты конечных точек, PAM для защиты административного доступа, IdM для управле- ния идентификационными данными, EMM- решения для обеспечения BYOD и, конечно, VDI для исключения вывода чувствительных данных за контур безопасности. Иными словами, требу- ется максимально разделить рабочую и личную зоны, а также обеспечить безопасность обеих. Крайне немаловажно не забыть о повышении осведомленности пользователей, это поможет избежать простых, но крайне опасных атак. Михаил Кадер, CISCO здесь можно говорить о ряде стандартных методов, позволяющих эффективно защититься от таких угроз. Вообще весь комплекс решений укладывается в современный подход обеспече- ния безопасности в рамках модели с нулевым доверием – Zero Trust. В его рамках есть три подраздела: защита пользователя, защита при- ложений и защита сети. В рамках защиты пользователя можно говорить о многофакторной аутентификации, проверке и приведении рабочего места пользователя в соответствие с корпоративными требованиями по информационной безопасности, контроле доступа к внешним интернет-ресурсам, а также локальной защите от вредоносного программ- ного обеспечения. защита приложений – это борьба с уязвимостя- ми, мониторинг, контроль взаимодействия сер- висов и их компонент, также программно- управляемая микросегментация и использова- ние минимально необходимого набора приви- легий пользователя. Говоря о защите сети, в первую очередь мы имеем в виду программно-управляемую сег- ментацию для снижения поверхности возмож- ной атаки, ограничения доступа пользователей только к необходимым им ресурсам, а также необходимость сбора и анализа сетевой теле- метрии для оперативного обнаружения широ- кого класса атак, начиная от эпидемии вредо- носного программного обеспечения и заканчи- вая хищением информации. Игорь Собецкий, МОНТ для минимизации угроз безопасности следует использовать комплекс мер, как минимум орга- низационных: a) запретить сотрудникам использовать для удаленного доступа в сеть компании личные устройства либо поставить такие устройства под контроль отдела информационной безопасно- сти компании; b) сформировать схему строгой аутентификации всех работающих удаленно сотрудников компа- нии, например вменить в обязанность специали- сту по технической поддержке обязательно пере- званивать обратившемуся сотруднику на мобильный телефон, указанный в справочнике; c) категорически запретить работающим уда- ленно сотрудникам допускать к работе с або- нентскими устройствами других лиц, даже чле- нов семьи. Технические меры: 1. на устройствах, используемых для удаленно- го доступа в сеть компании, установить средства для шифрования всего жесткого диска на слу- чай утери или кражи устройства. 2. установить на таких устройствах программ- ные средства типа "антивор", обеспечивающие контроль местонахождения устройства, а при необходимости – его блокирование и уничто- жение информации на жестком диске. 3. Предусмотреть либо двухфакторную аутенти- фикацию при удаленном доступе в корпоратив- ную сеть (код доступа направляется на мобиль- ный телефон сотрудника), либо аутентификацию на основе криптографических методов, исклю- чающую возможность подмены или использова- ния украденного абонентского устройства. Леонид Чуриков, СёрчИнформ Проблемы с трафиком решаются за счет обес- печения возможности удаленного подключения к корпоративным ресурсам по VPN-каналу с двухфакторной аутентификацией. При этом каналы передачи данных нужно протестировать на предмет работы в условиях дополнительной нагрузки и наладить резервные. Желательно обеспечить сотрудников компьюте- рами для работы из дома. на этих ПК должны стоять средства защиты (антивирус и настроен- ный файрвол) и актуальные версии ОС, с запре- том на доступ сотрудников к BIOS, чтобы исклю- чить возможность загрузки другой версии опе- рационки с флешки. Жесткие диски требуется зашифровать и настроить резервное копирование содержимого в корпоративное облако. Так компания не потеряет данные, даже если диски извлекут или повредят. Если возможности выдать корпоративную тех- нику нет, то следует обеспечить терминальный доступ к корпоративному оборудованию по двухфакторной авторизации. Тогда личные ПК сотрудников будут работать только для ввода и вывода информации, как удаленный монитор, клавиатура и мышь. Важно установить системы контроля на те кор- поративные серверы и ПК, к которым удален- ные пользователи будут подключаться в режиме терминального доступа, а также на все корпо- ративные ноутбуки, которые сотрудники будут использовать вне офиса. Только так работода- тель сможет получать объективную картину происходящего и быть в курсе любых наруше- ний со стороны удаленного персонала. Это не отменяет традиционных методов конт- роля продуктивности, таких как регулярные (желательно ежедневные) отчеты, контрольные звонки и видеоконференции, таск-трекеры для отслеживания этапов выполнения задач. для того чтобы иметь возможность пресекать мошеннические действия и другие внутренние инциденты ИБ на разных стадиях (от запроса к Бд до хранения и пересылки файла с конфиденци- альной информацией), рекомендуется использо- вать как минимум четыре класса решений: 1. SIEM-системы для мониторинга оборудова- ния, ПО и активности учетных записей пользо- вателей. 2. DAM-решения (Database Activity Monitoring) для контроля данных в СуБд и бизнес-прило- жениях. 3. DCAP-решения (Data-Centric Audit and Protec- tion) для мониторинга файловых хранилищ. 4. DLP-системы (Data Leak Prevention) для конт- роля каналов передачи информации и дей- ствий пользователей за ПК. Вышеперечисленные процессы и до пандемии уже были выстроены и использовались в неко- торых компаниях для контроля за работой сотрудников в командировках. Командировоч- ный – это, по сути, и есть сотрудник на удален- ке. другое дело, что к командировке компании могут подготовиться, а к вынужденному пере- воду всего персонала на удаленку – не всегда. октябрь – ноябрь 2021 www.secuteck.ru СПЕЦПРОЕКТ БЕзОПаСный удалЕнный дОСТуП Как минимизировать перечисленные угрозы безопасности?