Журнал "Системы Безопасности" № 5‘2021

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 54 стве устанавливает клиент RA VPN, "ловит" из личной почты или с неблагонадежного сайта троян keylogger, злоумышленник крадет инфор- мацию о средстве удаленного доступа и необхо- димую аутентификационную информацию. Михаил Кадер, CISCO Понятно, что стоит задача максимально быстро обеспечить подключение, а потом поэтапно дорабатывать его эффективность и защищен- ность. Поэтому ниже список части решений с учетом приоритетности их внедрения: l ограниченный удаленный доступ по техноло- гии SSL VPN с контролем всего трафика поль- зователей с помощью решений класса межсе- тевых экранов нового поколения; l управление сегментацией; l многофакторная аутентификация; l проверка и приведение пользователей в соответ- ствие с корпоративными политиками безопасно- сти, включая требования по защите рабочих мест и контроль прямой работы с Интернетом; l сбор и анализ событий и телеметрии; l внедрение микросегментации. А вот до какого уровня дойдет или, скорее, под- нимется внедрение удаленного доступа в кон- кретной организации, зависит и от степени ее ИТ- /ИБ-зрелости, наличия необходимого персонала, бюджета на самостоятельное внедрение или при- влечение внешних компаний и многого другого. Игорь Собецкий, МОНТ Если в компании уже есть опыт удаленной работы сотрудников, лучше постараться расши- рить его, а не создавать что-то новое. Критерии выбора зависят от объема финансирования, уровня ИТ-подготовки сотрудников бизнес- подразделений, требований к обеспечению конфиденциальности и непрерывности работы. Леонид Чуриков, СёрчИнформ При выборе технологий следует исходить из тех задач, которые нужно решать. Основных пять: 1. Настройка соединения удаленных пользова- телей с внутренними сервисами по VPN-каналу, защищенному двухфакторной аутентификацией. 2. Проверка изначальной работоспособности сервисов и оценка пропускной ширины каналов Интернета и резервных каналов связи. 3. установка системы мониторинга работоспо- собности сервисов для оповещения ИТ-службы о сбоях и нарушениях бизнес-процессов. 4. Обеспечение безопасной дистанционной работы конечных пользовательских устройств, как корпоративных, так и личных, если нет воз- можности выделить корпоративную технику. Во втором случае личные ПК используются, по сути, как клавиатура, мышь и экран, а настрой- ки задаются на офисной технике, к которой идет подключение. 5. И наконец, последняя важная задача – уста- новка и настройка агентов DLP-системы для контроля пользователей на удаленке. Без этого не будет возможности пресекать инциденты и расследовать те, что не удалось предотвра- тить. На корпоративных устройствах агенты DLP можно устанавливать непосредственно, на лич- ных ПК – нет. Целесообразно контролировать офисную технику, через которую работает поль- зователь в режиме терминального подключе- ния. Таким образом, критерии выбора оптимальных решений зависят от условий, в которых нахо- дится компания. Есть это корпоративные ПК – идем по одному пути, нет – по-другому. Есть DLP – задействуем ее. Нет – прибегаем к услуге ИБ-аутсорсинга, поскольку откладывать без- опасность на потом нельзя. октябрь – ноябрь 2021 www.secuteck.ru СПЕЦПРОЕКТ БЕЗОПАСНый удАлЕННый дОСТуП Какие методы аутентификации при удаленной работе вы считаете самыми надежными и почему? Олег Ассур, НИИ СОКБ При удаленной работе важны даже на мето- ды, а количество факторов. Рекомендую использовать многофакторную аутентифика- цию при удаленной работе с чувствительной информацией. Типовые факторы – "я знаю" логин и пароль, "я имею" номер телефона или устройство для приема СМС-/рush-уве- домлений. Кажется, что работа с банк-кли- ентами нас уже приучила, что по-другому быть не может:). Дарья Орешкина, Web Control Наиболее надежные те методы аутентифика- ции, которые исполнить "правильно" – самый простой путь для пользователя, чтобы сделать "не так" (как задумано безопасниками) было затруднительно. Мультифакторная аутентифи- кация с применением средств мобильных устройств для большинства задач выглядит как оптимальный вариант. Никита Семенов, ТАЛМЕР На наш взгляд, самые надежные методы аутентификации – это неэкспортируемые сер- тификаты устройств, программные или аппа- ратные генераторы одноразовых токенов, так как их наиболее сложно компрометировать. Если вы применяете оба этих метода одновре- менно, злоумышленник должен украсть ваши авторизационные данные, устройство, с кото- рого вы получаете удаленный доступ, логин и пароль от этого устройства, ваше устройство генерации токенов (телефон или аппаратный генератор), код-пароль телефона и быстро этим воспользоваться (то есть знать вашу инфраструктуру), так как все эти устройства в современном мире могут быть заблокированы в считанные минуты. Выбор именно генераторов токенов вместо OTP через СМС обусловлен тем, что протокол SS7 (ОКС-7) имеет фундаментальную уязвимость, позволяющую злоумышленнику перехватить СМС. Михаил Кадер, CISCO Этот вопрос касается современных техноло- гий многофакторной аутентификации. Инте- ресно, что именно в связи с активным раз- витием технологий удаленного доступа пошел и рост атак на эту самую многофак- торную аутентификацию. И как следствие, она тоже начала активно развиваться, при- чем не только в сторону надежности, но и в сторону удобства использования. Именно поэтому рассылка однократных паролей заменилась на рush-уведомления и идет активное внедрение технологий беспароль- ной аутентификации, потому что именно пароли – самый слабый и плохо управляе- мый метод защиты. Игорь Собецкий, МОНТ Наиболее надежными считаю два метода. Первый – биометрическая аутентификация с проверкой биометрических данных на сервере доступа компании. Второй – двухфакторная аутентификация с направлением кода доступа на мобильный телефон сотрудника. В обоих случаях получить несанкционированный доступ в систему значительно сложнее: нельзя выманить пароль путем фишинга, нельзя работать на краденом устройстве, нельзя под- менить устройство. Леонид Чуриков, СёрчИнформ Здесь надо разделить процесс на аутентифика- цию при подключении пользовательского устройства и на дополнительную верификацию сотрудника при работе с конфиденциальными данными. В первом случае наиболее распространенной является двухфакторная аутентификация с помощью СМС. Но она не исключает того, что устройство для вторичной аутентификации, например смартфон, на который придет под- тверждающая СМС, будет утеряно или попадет в третьи руки. В этом случае человек, узнав- ший логин и пароль, теоретически может войти в систему с несанкционированного ком- пьютера. Подстраховаться можно за счет сер- тификата, который выдается компанией, при- вязан к конкретному ноутбуку и автоматически проверяется при подключении к корпоратив- ной сети. Альтернативным СМС-уведомлению вторым фактором аутентификации является ЭЦП-токен. Это может быть и флешка, и смарт-карта, и про- пуск на работу, если он выпущен в виде смарт- карты и запрограммирован соответствующим образом. Без подобного устройства компьютер в принципе не активируется. Этот вариант рабо- тает очень эффективно, но только в том случае, когда пользователи соблюдают правила без- опасности и не хранят токен в одном месте с охраняемым им ноутбуком. Наконец, для дополнительного контроля поль- зователя уже в процессе его работы с чувстви- тельной информацией необходимо использо- вать соответствующий функционал DLP-систем – видеофиксацию через веб-камеру. Если в DLP доступно распознавание лиц, ее можно исполь- зовать для дополнительной идентификации.