Журнал "Системы Безопасности" № 5‘2021

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 53 www.secuteck.ru октябрь – ноябрь 2021 СПЕЦПРОЕКТ БЕЗОПАСНый УДАлЕННый ДОСТУП Олег Ассур, НИИ СОКБ Наибольшие трудности вызывает защита досту- па с личных устройств. Ее реализация – это сложное и дорогое удовольствие. Сложное, потому что устройства и операцион- ные системы разные. Windows отличается от macOS. iOS отличается от Android и т.д. Кроме того, сборки Android разных производителей отличаются друг от друга. Унификация доступа и технологий защиты в данном случае вряд ли возможна. Придется или мириться с ограничениями, которые могут быть разными на каждой новой модели устройств, или усложнять порядок и технологии доступа, снижая эффективность работы сотрудников. Дорогое, потому что разработка корпоративно- го софта для ограниченного набора устройств стоит на порядок дешевле разработки софта для любых устройств, у которых могут быть раз- ные экраны, разные версии прошивки и т.д. Когда речь идет о приложениях Facebook с мил- лионами пользователей, то их работу обеспечи- вают тысячи разработчиков по всему миру. Софт для B2B редко может похвастаться такими цифрами. Поэтому увеличение числа разновид- ностей устройств ведет к увеличению числа ошибок и уязвимостей. Еще одна типовая сложность – это выполнение требований регуляторов в области ИБ. В случае с защитой ПК и ноутбуков набор требований и типовых средств защиты уже не вызывает вопросов, чего нельзя сказать про защиту смартфонов и планшетов. Может сложиться впечатление, что защитить мобильные устройства таким образом, чтобы с них можно было получать доступ, например, к государственным информационным системам (ГИС), нельзя. Но это не так, и тому есть много примеров. Аналогично при защите ПК и ноутбуков нужно руководствоваться следующим прави- лом: если операционная система не содержит сертифицированные механизмы защиты, то актуальные угрозы должны минимизировать- ся с помощью наложенных средств защиты информации, таких как VPN, EMM/UEM и антивирус. Комплект из набора этих средств защитил уже не один смартфон и планшет, получающие доступ к ГИС и другим критиче- ским информационным системам как в B2G, так и в B2B. Дарья Орешкина, Web Control Из трудностей организации удаленных под- ключений всегда отмечается большое количе- ство различных типов систем, для которых тре- буется кастомизировать сценарии подключения. Никита Семенов, ТАЛМЕР Самый большой вызов – человеческий фактор. Даже при работе из офиса бывает сложно объ- яснить бизнесу необходимость средств защиты и правильно использовать ROSI. Вдвойне сложно объяснить это пользователям. И в 10 раз слож- нее это сделать, если все работают удаленно. Михаил Кадер, CISCO Самая большая сложность, как обычно, – это пользователи. Помимо поэтапного внедрения тех технологий, которые мы обсуждали выше, необходимо внедрять технологии обучения и самообслуживания пользователей. Технические средства – это понятно и внедряемо, а вот изме- нение менталитета пользователей в сторону того, что они тоже отвечают за защиту своей органи- зации, на мой взгляд, самая сложная задача. Игорь Собецкий, МОНТ Основные трудности: a) упрямство сотрудников бизнес-подразделе- ний при вводе новых мер безопасности, поскольку использование этих мер обычно тре- бует от сотрудников дополнительных действий или ограничивает их "свободу"; b) в ряде случаев трудности с финансировани- ем, поскольку массовый переход сотрудников на удаленную работу не был запланирован при формировании бюджета; c) привычка ряда сотрудников к решению всех вопросов обходным путем, в том числе давле- ние на специалистов по безопасности через руководство компании и тайное создание несанкционированных точек входа в корпора- тивную сеть, позволяющих избегать строгой аутентификации на входе. Леонид Чуриков, СёрчИнформ В прошлом году мы опросили ИБ-специалистов о проблемах, с которыми пришлось столкнуться при миграции на удаленку. Более половины опрошенных (53%) пожаловались, что органи- зации безопасных удаленных рабочих мест помешала нехватка корпоративных ноутбуков. Даже компании, имевшие свободные средства, не смогли купить и завезти эту технику: компью- терное производство встало вместе с логистикой. На втором месте оказалась проблема с отсут- ствием регламентов построения безопасной ИТ- инфраструктуры и бизнес-процессов. От этого пострадали 39% компаний. Следующей по значимости стала нехватка ИТ- и ИБ-специали- стов, затронувшая 28% организаций. 19% рес- пондентов столкнулись с нехваткой программ- ных средств (в том числе лицензий на системы контроля). Замыкает пятерку проблем сервер- ное оборудование, которого не хватило в 14% опрошенных компаний. В новых условиях специалистам стало сложно не только обеспечивать безопасность, но и оцени- вать обстановку. В 90% компаний ИТ-инфра- структуру, включающую в себя рабочие места сотрудников на удаленке, признали менее без- опасной. При этом выявить точное количество инцидентов и оценить их динамику в 2020 г. смогли на 20%меньше специалистов, чем в год, предшествовавший пандемии и самоизоляции. С какими трудностями обычно сталкиваются специалисты служб безопасности при обеспечении безопасности удаленных рабочих мест? Как выбрать оптимальный набор технологий для оперативного налаживания удаленной работы? От чего зависят критерии этого выбора? Олег Ассур, НИИ СОКБ Два основных критерия выбора инструментов для работы – это удобство и безопасность. Если инструменты удобны, сотрудникам проще работать эффективно. При этом удобство не может быть единственным критерием. Напри- мер, сложно себе представить сотрудника неф- тяной компании, который готовит проект бюд- жета в Google-таблицах. Баланс можно найти следующим образом. Зафиксировать требования ИБ. Определить, какие из них можно реализовать наложенными средствами защиты. Оставшиеся требования ИБ принять как ограничения при выборе приклад- ного ПО. Чем больше требований можно реа- лизовать наложенными средствами защиты, тем больше пространство выбора прикладных сер- висов. Дарья Орешкина, Web Control В любой, даже небольшой, компании очень много разнотипных и специфических систем. Крайне важно, чтобы ваша РАМ-система была не просто гибкой в настройках, но и произво- дитель активно дорабатывал сценарии интег- рации согласно вашим потребностям. Никита Семенов, ТАЛМЕР Оптимальный набор для оперативного налажи- вания удаленной работы, назовем его "джентль- менский набор", состоит из VDI, IdM, EMM, PAM и EDR, причем зачастую первые три средства защиты можно объединить. Нет критериев выбора этих технологий: они вам нужны для того, чтобы назвать свой удаленный доступ не только оперативно налаженным, но и безопас- ным. Для этого вы должны иметь платформу и защищенные каналы, управлять идентификаци- ей, конечными точками, административным доступом и защитой конечных точек. Критерии выбора того или иного вендора данных реше- ний обусловлены обычно бюджетом и опытом работы, а также обеспечиваемыми сценариями удаленного доступа. Но нельзя, как мы говорили ранее, внедрить решение, добавить всех поль- зователей в группу VPN в AD и сказать "Все гото- во". Вот возможный сценарий компрометации: пользователь на личном незащищенном устрой-