Чек-лист: как компаниям организовать безопасную удаленную работу

Сегодня многие компании просят своих сотрудников продолжить работать в удаленном формате. В результате нагрузка на ИТ- и ИБ-отделы резко возрастет. И от того, насколько успешно они примут вызов, будет зависеть финансовое и репутационное благополучие предприятий.

Аналитики AngaraCyber Resilience Center  уже отследили явные тенденции установки пользователями некорпоративного ПО, зачастую скачанного из сомнительных источников. Возрастает количество инцидентов, связанных с заражением ВПО вследствии подобных действий пользователей. Вредоносные файлы попадают на рабочие станции пользователей под видом игр, офисного ПО, мессенджеров и т.д.

По мнению экспертов группы компаний Angara, критично важные задачи для  ИБ в процессе организации стабильной и безопасной удаленной работы включают: 

  • обеспечение безопасной и гарантированной передача данных по открытым каналам, 

  • обеспечение доступа к данным для авторизованных сотрудников и запрет доступа для нелегитимных пользователей,

  • защиту корпоративной среды от интернет-угроз и утечек данных в условии использования неконтролируемых ПК (личные устройства пользователей), 

  • обеспечение доступности сервисов для сотрудников в условиях непривычного объема трафика, 

  • качественный мониторинг и своевременное детектирование проблем.

Чтобы помочь коллегам реализовать работу с наибольшей эффективностью и наименьшим набором рисков, эксперты группы компаний Angara предлагают использовать следующий список рекомендаций.

Рекомендация 1

Рассмотреть вариант, когда на работу с подключением VPN переходит не весь штат сотрудников. Некоторые рабочие обязанности могут выполняться с подключением только почты или других подобных облачных сервисов.

Рекомендация 2

Для обмена документами рекомендуется реализовать внутреннее или облачное файловое хранилище, доступ к которому защищен средствами защиты канала связи, строгой аутентификации и авторизации, желательно DLP-решением.

Рекомендация 3

Ограничения канала связи: нет смысла туннелировать весь трафик пользователей внутрь VPN-туннеля. Это создаст лишнюю нагрузку на шлюз и внешний канал связи. Туннелировать весь трафик нужно лишь в определенных случаях с определенным типом пользователей (это могут быть аттестационные требования к ИС, технические особенности работы определенного ПО, и т.д.). Для остальных пользователей можно применить политики узкой маршрутизации и дать следующие рекомендации по работе в удаленном режиме: не просматривать без необходимости мультимедиа-контент, отключаться явно от VPN после окончания работы.

Рекомендация 4

Запретить на уровне межсетевых экранов обмен лишним трафиком с корпоративной средой, например, SMB и Netbios трафиком. Если это единственно возможный вариант, строго ограничить его до конкретного шлюза, размещенного в отдельном сегменте сети, из которого обмен трафиком с другими сегментами контролируется. В таком случае, в варианте заражения, например, SMB-червем удаленного пользовательского ПК, даже попав через VPN туннель в корпоративную сеть он не распространится далее и заразит только единственный доступный сервер. Причем встроенный межсетевой экран имеют практически все клиенты удаленного доступа.

Рекомендация 5

Если для работы сотрудники используют рабочие ноутбуки, то вполне реально реализовать политики соответствия политикам (compliance) при подключении устройства к сети: актуальность антивирусной защиты, установку необходимых пакетов обновлений, контроль реестра процессов и автозапуска и другие. Но в случае с домашними ПК эта задача становится более сложной, так как сложно гарантировать выполнение пунктов политики на многообразии пользовательских устройств. В таком варианте можно порекомендовать проверку наличия минимальной защиты (антивирусное ПО, сканирование на известные вредоносные процессы) и дать пользователю простую инструкцию как их выполнить: некоторые VPN клиенты имеют «на борту» средства защиты, которым надо подтвердить действия, или использовать встроенные механизмы Microsoft (Microsoft Security Essentials).

Рекомендация 6

Если есть возможность, лучше организовать работу конфиденциальных ИС через средства терминального доступа. Таким образом серверы защищаются от проникновения заражения, и возможно даже применение политик контроля утечек (DLP).

Рекомендация 7

Очень важно сразу реализовать достаточный мониторинг работоспособности систем и событий ИБ для систем, использующихся при удаленном доступе, сбор событий доменной инфраструктуры, и подключение их к системам SOC и SIEM, если возможно SOAR.

Рекомендация 8

Реализация систем класса User Behavioral Analytic (UBA) поможет в превентивной защите от нерадивых пользователей, попыток кражи информации и эксплуатации других неправомерных действий. Современные аналитические системы могут детектировать мошеннические действия, связанные с кражей данных в режиме real-time используя алгоритмы Data Mining и/или Machine Learning. Доступ пользователя к данным может быть проверен на мошенничество алгоритмами, построенными на анализе аномальных запросов и затем сопоставлен с общей базой знаний для подтверждения вердикта и более точной классификации инцидента.

Рекомендация 9

Для решения проблемы утечек информации можно использовать DLP-системы в варианте удаленной работы и быстрого развертывания. Производители идут на встречу в виду мировой обстановки: компания Device Lock объявила о доступности бесплатного периода лицензий на месяц (или более по запросу). Для развертывания не обязательно наличие серверных ресурсов.

Материал опубликован на сайте “ИКС-Медиа”.


Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах