Партнер группы компаний Angara разработчик Positive Technologies провел крупномасштабный опрос среди ИТ- и ИБ- специалистов об организации удаленной работы в компаниях в связи с пандемией.
Опрос показывает срез информации на апрель 2020 года и включает мнения предприятий крупного, малого и среднего бизнеса различных секторов экономики: ИТ, промышленность, финансы, госсектор, телекоммуникации, ТЭК, образование, здравоохранение, СМИ и др.
Так, из исследования следует:
-
Более 50% компаний подтвердили, что им действительно пришлось экстренно организовывать (11%) или масштабировать (41%) систему удаленного доступа для работников компании.
-
80% опрошенных указали, что часть сотрудников компании использует для удаленной работы домашние ПК.
-
54% компаний вывели за защищенный периметр корпоративные порталы для доступа к ним сотрудников из внешней сети. При этом 34% компаний вывели за периметр OWA (Outlook Web Access) шлюз.
Для обеспечения наиболее полной киберзащищенности инфраструктуры удаленного доступа в озвученных условиях эксперты группы компаний Angara рекомендуют следующее:
-
Произвести настройки для направления всего трафика ПК пользователя внутрь туннеля. Таким образом можно будет выявить паразитный трафик (C&C) и попытки непродуманных или случайных утечек данных. Но надо учитывать потенциальный рост нагрузки на каналы связи и шлюз доступа. Для этого рекомендуем организовать отказоустойчивость шлюзов доступа и продумать варианты подключения к сервисам защиты от DDoS-атак для эффективной фильтрации трафика в случае атаки.
-
Настроить геофильтрацию трафика. Как правило, ее можно настроить на пограничном межсетевом экране, и часто она уже используется для ненадежных с точки зрения ИБ стран, плюс в текущей ситуации ее можно временно ужесточить.
-
Обеспечить принудительную установку корпоративных антивирусных агентов на домашние ПК пользователей. Если такой вариант реален, то он значительно поднимет уровень защищенности образовавшегося цифрового периметра. Альтернатива данному решению представлена ниже в тексте.
-
Обеспечивать своевременное обновление и содержание в актуальной версии всех систем периметровой защиты: МЭ и криптошлюзов, VPN-агентов и т.д.
-
Подключить к системе удаленного доступа двухфакторную аутентификацию (согласно опросу, порядка 10% компаний уже планируют эти действия). Даже в случае сложностей по вводу в эксплуатацию и передаче сотрудникам аппаратных токенов, множество вариантов реализации OTP-решений (One Time Password) предлагают использовать программные токены.
-
Использовать WAF для защиты опубликованных в сети Интернет корпоративных порталов.
-
Использовать внешнее сканирование на уязвимости по всему пулу белой IP-адресации компании для поиска и анализа всех открытых в сети Интернет сервисов.
-
Использовать системы мониторинга событий (SIEM) и статуса работы сервисов, мониторинга сетевых аномалий (Network Traffic Analyzer).
Также эксперты группы компаний Angara обращают внимание на более комплексные подходы к повышению уровня защищенности и доступности цифровых сервисов в условиях измененной киберсреды:
-
Организация гранулированной сегментации внутри сетевого периметра, отделение систем, использующихся пользователями напрямую от внутренних систем, и четкая фильтрация сетевого трафика между ними, особенно небезопасного трафика (SMB, FTP, и др.). Настройка фильтрации трафика от VPN-агентов – практически все современные решения позволяют это сделать. Таким образом возможно остановить распространение заражения или утечку данных только на сервисах первого эшелона работы пользователей.
-
Использование решений для защиты от утечек конфиденциальных данных (DLP), например:
o Infowatch,
o Гарда Предприятие,
o Forcepoint DLP
-
Организация работы через PAM-решение – как альтернатива терминальному удаленному доступу. Этот вариант позволит значительно поднять уровень защищенности корпоративных ресурсов без необходимости разворачивания сложных агентов у пользователей. Он достаточно быстр в развертывании и дает массу преимуществ, включая (но не ограничиваясь):
o Управление привилегиями и разрешениями удаленного пользователя, в том числе с домашних ПК.
o Управление паролями и организация защищенного хранилища учетных данных, предоставление единой точки входа с многофакторной аутентификацией.
o Контейнерирование сеанса удаленного доступа и адаптивная настройка привилегий внутри него до минимально необходимых для работы пользователя.
o Оперативное развертывание системы, в том числе с виртуальными вариантами.
o Отслеживание всех сеансов удаленного доступа в режиме реального времени, оперативный анализ аномальной активности пользователей, выявление действий, которые могут нести угрозу информационной безопасности, и их блокировке.
o Рекомендуемые РАМ-решения: CyberArk: Secure Privileged Access и Krontech Single Connect.
