В условиях пандемии инициатива, связанная с переходом российских компаний на удаленку, исходила непосредственно от бизнеса. Для него просто не было иного способа выжить в этих обстоятельствах. Зато для корпоративных безопасников сложилась уникальные ситуация, когда не они обратились к бизнес-руководству с очередной ИБ-инициативой, а сами топ-менеджеры проявили интерес к ИБ и поставили перед ними задачу оперативно обеспечить безопасность удаленного доступа для сотрудников. Компания Cisco, подводя итоги своей инициативы по предоставлению заказчикам временных бесплатных лицензий на ИБ-решения, подсчитала, что за время карантина число сотрудников российских компаний, которые могли бы воспользоваться удаленным доступом за счет предоставленных лицензий, превысило 3,5 млн. человек.
Для подразделений ИТ задачи организации удаленного доступа были не в новинку: как минимум этого давно требовало руководство для ключевых сотрудников. В нем также нуждались и специалисты, для которых командировки составляли обязательную часть рабочих обязанностей, да и сами айтишники были заинтересованы в удаленном доступе к корпоративной ИКТ-инфраструктуре для себя.
Поскольку обеспечивающая непрерывность бизнеса задача массовых и ограниченных по времени удаленных подключений персонала была поставлена бизнес-руководством, ИТ- и ИБ-службы оказались вынуждены забыть о традиционных разногласиях между собой, ибо ни одна из них не была в состоянии решить поставленную задачу только своими силами. Известны случаи, когда с проявившими во время пандемии косность и избыточную «строгость» безопасниками бизнес решительно расставался.
Новые уязвимости и обострение старых
Далеко не все компании смогли обеспечить сотрудников корпоративными устройствами для удаленного доступа, поэтому многие из них вынуждены были рассчитывать на использование на удаленке личных устройств работников, к которым зачастую имеют доступ все домочадцы. По этой причине удаленка остро актуализировала задачу организации безопасности домашних компьютеров сотрудников, особенно с учетом того, что решать ее пришлось в авральном режиме.
Как показывает практика, в лучшем случае на домашних устройствах из средств защиты бывает установлен только антивирус. Для злоумышленников это открыло новые лазейки в корпоративные ИКТ-инфраструктуры и облачные среды, предоставляющие сервисы для удаленной работы (востребованность которых резко возросла в условиях пандемии).
Обострились риски, связанные с использованием протокола удалённого рабочего стола (RDP) и терминального доступа в целом, которые стали популярными. Возросло количество DDoS-атак на шлюзы удаленного доступа, и если архитектура этих шлюзов была разработана неверно (например, включала лишь одно устройство без резервирования или один канал подключения к Интернету), то и не самая сильная DDoS-атка легко могла нарушить их работоспособность.
«К счастью, за месяцы пандемии не было выявлено применения киберпреступниками каких-либо новых оригинальных технологий, — комментирует эксперт по информационной безопасности компании Cisco Алексей Лукацкий. — Зато они не без успеха использовали хорошо отработанные известные приемы, активно эксплуатируя тему коронавируса в своих спамерских рассылках, фишинговых атаках, которые провоцировали пользователей Интернета на посещение зараженных интернет-ресурсов (например, для того, чтобы убедиться в достоверности публикуемых официальными СМИ данных о ходе пандемии, пройти бесплатное обучение и т. д.). Исследовательское подразделение Cisco Talos, которое является крупнейшей в мире частной группой по изучению угроз, регулярно выявляло такие ресурсы и помогало вносить знания о них в решения Cisco по безопасности».
Повлияла пандемия и на выбор потенциальных жертв киберпреступности: был отмечен рост интереса со стороны злоумышленников к медицинским учреждениям, в числе которых оказались и разработчики средств защиты от коронавируса (скорее всего, киберпреступники преследовали цель хищения результатов их исследований).
Обязательные меры для обеспечения безопасной удаленной работы. Для обеспечения безопасности удаленной работы компании использовали ранее известные и хорошо зарекомендовавшие себя средства. Наиболее распространенным стало подключение по технологии VPN. Однако, как указывают специалисты, правильно выбранное VPN-решение должно не только позволять шифровать трафик, но и поддерживать видео- и голосовую связь, телеконференции, т. е. быть оптимизированным под мультимедийный трафик, причем с учетом использования низкоскоростных каналов связи, включая мобильные (которые нередко встречаются в домашних подключениях к Интернету).
Из наиболее актуальных обязательных мер следует выделить контроль подлинности удаленных подключений. Для его организации следует активно использовать технологии контроля удаленного доступа (Network Admission Control или Network Access Control), реализацию стандарта IEEE 802.1X, либо другие подобные инструменты, позволяющие проверять подключаемые к корпоративной сети устройства и их пользователей. Идеально, если такая проверка будет прозрачная для удаленного пользователя, который может быть неискушенным в ИТ и не сможет выполнять непонятные и сложные для него действия. Защитный клиент Cisco AnyConnect и средство контроля доступа Cisco ISE как раз и позволяли организовать такую проверку подлинности.
Все чаще для контроля подключений применяется многофакторная аутентификация. В современном виде она, как правило, выстраивается как облачный сервис, что позволяет на ее базе обеспечивать за счет интеграции со службой Active Directory доступ не только к корпоративной ИКТ-среде, но и к используемым компанией внешним облачным ресурсам.
Когда пользователь пытается подключиться, например, к Office 365 или к шлюзу удаленного доступа для проникновения внутрь корпоративного периметра, за счет специального протокола его запрос на подключение направляется на сервис идентификации и аутентификации, при необходимости запрос может перенаправляться на корпоративный Active Directory, после чего могут использоваться дополнительные факторы проверки (полученный по SMS или технологии PUSH одноразовый код, биометрия, контрольный звонок по телефону, — вариантов много). Важно отметить, что современные средства идентификации и аутентификации, например Cisco Duo, проверяют подлинность подключений не разово, в момент подключения, а непрерывно, контролируя состояния устройств и пользователей на предмет выявления в них аномалий и осложняя тем самым возможность их подмены со стороны злоумышленников.
Важно отметить возникновение новой ИБ-задачи — идентификации и аутентификации сотрудников служб ИТ и ИБ самими пользователями. Если раньше сотрудники компаний общались со специалистами этих служб либо очно, либо по доверенным корпоративным каналам связи, то на удаленной работе, когда специалисты связываются с пользователями тоже со своих личных устройств, нужна дополнительная проверка этих устройств самими пользователями. Для этого применяют ту же многофакторную аутентификацию или простые и заранее определенные заранее парольные фразы, который выбираются, например, с помощью обычных карт с одноразовыми кодами, напечатанными на принтере (недорогое, но эффективное средство защиты).
Пользовательские устройства, применяемые для удаленного доступа, должны позволять загрузку хотя бы основного арсенала средств защиты, таких как агенты корпоративного антивируса и систем DLP, решений класса Endpoint Detection and Response (EDR), которые постепенно вытесняют антивирусы с рабочих мест и т. п. Нужно учитывать, что выполнить это требование для личных устройств пользователей (на которые компании вынужденно переходят в авральных условиях самоизоляции) может оказаться технически, а иногда и юридически проблематично.
Задачи мониторинга устройств подобного рода на стороне компании позволяют решать подходы, аналогичные тем, что реализованы в решении Cisco Umbrella, основу которых составляет мониторинг DNS-трафика. Оно позволяет поменять в веб-браузере домашнего компьютера или в маршрутизаторе пользователя адреса DNS-сервисов с обычных на предоставляемые Cisco. Тем самым достигается решение двух задач одновременно — не требуется установка никаких сложных защитных агентов и существенно повышается защищенность домашних устройств. Актуальность такого мониторинга доказывают данные исследований Cisco Talos: более 90% всех кибератак задействуют именно через систему доменных имен (DNS) — для кражи информации, удаленного управления и получения команд, загрузки обновлений и т. п.
Для безопасности удаленного доступа на стороне корпоративной ИКТ-инфраструктуры тоже нужно принять дополнительные меры: установить отказоустойчивый шлюз удаленного доступа (например, Cisco Firepower), средства контроля доступа, а также мониторинга сетевых аномалий с помощью, например, Cisco Stealthwatch. Если в качестве архитектуры удаленного доступа выбран схема с терминальным доступом или VDI, то в месте «приземления» терминальных сессий необходимо обеспечить их защиту и непрерывно отслеживать любые аномалии, которые могут характеризовать как компрометации удаленных компьютеров, так и виртуальные «прогулы» сотрудников. В обоих случаях может быть применено решение Cisco Tetration, которое позволяет отслеживать работу приложений в корпоративных ЦОДах с точки зрения безопасности и т. п.
Если при переходе на удаленку компания решила воспользоваться облачными приложениями (облачными офисными программами, хранилищами, почтой, сервисами CRM, концепцией Desktop-as-a-Service и т. д.), нужно убедиться в достаточной защищенности этих ресурсов на стороне облачных провайдеров. Если используется модель «безопасность как услуга» (SaaS), следует применять инструменты типа Cloud Access Security Broker, например, Cisco Umbrella CloudLock, которые позволяют, за счет анализа логов облачного сервиса через API, выявлять в них угрозы и аномалии, например утечку данных, подбор пароля, злоупотребления сотрудников, нарушение законодательства и т. п. При использовании же моделей облачных вычислений IaaS или PaaS, для них можно использовать как традиционные решения по безопасности, реализованные в виде виртуальных решений, так и специализированные средства для мониторинга облаков, например, Cisco Stealthwatch Cloud.
Нужно учесть, что российские облачные провайдеры, даже из числа лидеров, пока рассматривают для себя задачи обеспечения кибербезопасности как вторичные и в лучшем случае реализуют только базовые функции защиты, поскольку перед ними сегодня стоит задача выживания или захвата рынка. Они не предусматривают интеграции своих сервисов на стороне клиентов в корпоративные системы мониторинга безопасности. Так, практически невозможно забрать логи из российских облаков, чтобы завести их в корпоративную систему управления событиями безопасности (SIEM), передать в корпоративный центр мониторинга и реагирования на инциденты информационной безопасности (SOC), чтобы контролировать состояние корпоративной ИБ. Зато у лидеров иностранных облачных вычислений (Amazon, Google, Microsoft) дела с обеспечением ИБ клиентов обстоят гораздо лучше.
На удаленке актуализировалась задача резервирования системных администраторов и vip-пользователей, что обусловлено резким увеличением рисков, связанных с невозможностью выполнения ими своих рабочих функций — эксклюзивном доступе к ИКТ-ресурсам, реализации vip-полномочий в отношении оформления документов, руководящих действий и пр. Стратегия обеспечения непрерывности бизнеса должна предусматривать возможности замены ставших недоступными администраторов систем или наличие способа связи с генеральным директором, если у него вдруг перестали работать традиционные каналы связи, либо возможности получить подпись попавшего в карантин главного бухгалтера, у которого осталась флешка с ключами электронной подписи.
Очевидно, что объем мер обеспечения безопасности удаленного доступа (в точке удаленного доступа, на корпоративном периметре, в облаке) зависит от того, как он выстраивается в целом.
Все выше упомянутые методы обеспечения ИБ удаленного доступа относятся к реализации получающей все большее распространение концепции «нулевого доверия» (Zero Trust), подразумевающей организацию эшелонированной проверки подключений и отказа от каких-либо доверенных соединений и пользователей, которые и могут стать первой мишенью для злоумышленников.
Если у компании есть возможность раздать сотрудникам корпоративные ноутбуки или домашние компьютеры сотрудников достаточно мощные, то, создав один виртуальный образ с необходимым программным обеспечением, его можно развернуть на всех удаленных рабочих местах за несколько дней.
В целом развертывание базовых средств обеспечения безопасного рабочего места может занять в большой компании несколько дней. Если же речь идет о продвинутых технологиях защиты, то процесс может затянуться на недели.
Соблюдение правил ИБ пользователями в условиях удаленки
С переходом на удаленку в отношении к соблюдению правил ИБ со стороны сотрудников мало что изменилось — они как были довольно беспечны, так и остались, продолжая попадаться на уловки злоумышленников, использующих приемы социальной инженерии. Кроме того, если компании не внедрили инструменты мониторинга результатов работы сотрудников на дому, на продуктивности работников сказывается расслабленность, обусловленная домашней обстановкой. Когда российские компании только переходили на удаленку , возникало большое число вопросов о том, можно ли средства защиты периметра (например, Cisco Firepower), средства защиты домашних ПК (например, AnyConnect или Cisco AMP for Endpoint), средства анализа сетевой аномалий (Cisco Stealthwatch) использовать не только по их прямому назначению, но и для выявления «виртуальных прогулов». Да, это возможно сделать, что лишний раз показывает, что служба ИБ может решать не только свои основные, но и смежные задачи, в интересах других подразделений.
Для контроля результатов работы в условиях удаленки могут использоваться системы DLP (подходящий набор функций есть в российских разработках), устройства сетевой безопасности (инструменты мониторинга сетевых аномалий, межсетевые экраны и т. п.), позволяющие отслеживать запускаемые пользователями приложения и режимы работы с ними. Но этот тип решений возможно установить (и то с оговорками) только на корпоративные устройства — на домашние компьютеры, которые делятся работниками с другими членами семьи, поставить средства негласного мониторинга будет невозможно. Поэтому стоит задумываться о немного другом инструментарии, который позволяет, с одной стороны, не вторгаться в личную жизнь сотрудников и не нарушать тайну переписки, а с другой — выявлять нарушения политик безопасности. Уже упомянутые решения Cisco Stealthwatch, Cisco AnyConnect, Cisco Umbrella обладаю рядом функций для этого, хотя и не относятся к классическим DLP-средствам.
В авральных условиях перехода к удаленке у компаний не оставалось времени на повышение осведомленности в области ИБ в изменившихся обстоятельствах. Если у компании действовала программа повышения ИБ-осведомленности персонала, то в течение недели она записывала курс с «говорящей головой», в котором объяснялась последовательность действий пользователей для реализации безопасного доступа с удаленных рабочих мест. Сотрудников обязывали пройти этот курс, после чего проверяли усвоение полученной информации.
Если таковой программы не было, то практиковалась подготовка ускоренными темпами инструкции на пару страниц или презентации в несколько слайдов, в которых объяснялась последовательность действий для поддержки безопасного использования удаленного доступа, в том числе с указанием каналов связи для получения консультаций по горячей линии.
Так случайно получилось (и в этом не надо искать никаких совпадений), что Cisco именно в это время выпустила на рынок новое решение — Cisco Security Awareness Tool, которое не только позволяет проводить повышение осведомленности сотрудников за счет нескольких десятков курсов по кибербезопасности на русском языке, но и организовывать проверку полученных знаний в результате фишинговых симуляций, рассылаемых специалистами по ИБ, маскируясь под хакеров.
Роль регулирования ИБ в пору пандемии
В условиях пандемии регуляторы пошли по пути самоустранения и не смогли адекватно отреагировать на произошедшие в стране изменения. Так, ФСТЭК ограничилась краткой инструкцией для владельцев критической инфраструктуры, описывающей для них порядок действий в условиях пандемии при удаленном доступе. В этих рекомендациях нет ничего существенного, и экспертами в них даже были отмечены ошибки, связанные с тем, что сам регулятор, видимо, до начала самоизоляции не сталкивался с удаленным режимом работы. Бизнес не получил ответы на насущные вопросы, связанные с отсрочкой проверок, необходимостью проведения аттестации в удаленном режиме, порядком проведения сертификации средств защиты информации при пандемии (в условиях самоизоляции аттестационные лаборатории не принимали посетителей), определением границ информационных систем в условиях размытия их периметров и т. п.
К ФСБ у бизнеса тоже возникло немало вопросов, например, как обеспечить юридическую значимость электронного документооборота, связанного с электронной подписью при удаленной работе из помещений, не аттестованных в соответствии с требованиями ФСБ; или как проводить работы, связанные с использованием криптографических решений в личном жилье пользователей, не включенном в лицензию (по действующим требованиям ФСБ места работы со средствами криптографии должны быть в лицензии указаны). Все, что сделала ФСБ, это выпустила через свое подразделение, НКЦКИ, рекомендации по борьбе с киберугрозами, эксплуатирующими тему коронавируса.
Вероятно, прошедшие несколько месяцев самоизоляции позволили регуляторам понять, насколько их требования и нормативные документы удовлетворяли той ситуации, в которую мы все попали. И если правда, что нас ждет еще одна волна коронавируса, то у регуляторов есть возможность учесть полученные уроки в своих нормативных правовых актах.
Трансформация ИБ-бюджета с переходом на удаленку
Общемировая тенденция сегодня такова: ИБ-бюджеты замораживаются или даже сокращаются. Замораживаются сложные, долгосрочные, дорогостоящие или неочевидные с позиции выгод для бизнеса ИБ-проекты, поскольку в условиях пандемии практически все отрасли экономики просели и бизнес не в состоянии выделять средства на то, что не приносит быстрой отдачи. До выхода компаний на докризисный уровень перемен не предвидится. Но даже при общем сокращении ИБ-бюджетов они перераспределяются в пользу поддержки удаленного доступа. Cisco же в свою очередь отмечает рост интереса к финансовым продуктам своего подразделения Cisco Capital, которое может предложить различные схемы финансирования проектов заказчиков, например, кредитование или лизинг.
Обучение специалистов
Надо отметить, что авральный переход на удаленную работу заставил понервничать многих заказчиков, которые раньше в столь сжатые сроки никогда не реализовывали столь масштабные проекты. Поэтому Cisco взяла на себя обязательства по бесплатному обучению клиентов тому, как правильно, безопасно и с наименьшими усилиями и затратами перейти на удаленный доступ. Если штаб-квартира Cisco приняла решение о переносе своего основного мероприятия Cisco Live в онлайн и сделала его бесплатным для всех желающих (а это сотни часов обучающих материалов), то российский офис провел несколько бесплатных марафонов по всем технологиям компании, включая и кибербезопасность, в рамках которого поделился своим опытом организации безопасного удаленного доступа. Ведь Cisco живет в таком режиме уже два десятилетия, и компании есть, чем поделиться с заказчиками!
СПЕЦПРОЕКТ КОМПАНИИ CISCO