Сегодня, когда большинство бизнес-процессов осуществляется в электронном виде, актуален вопрос об обеспечении доступа сотрудников компании к корпоративным электронным сервисам.
В связи с пандемией коронавирусной инфекции COVID-19 и продлением срока карантина вопрос организации удаленных рабочих мест для многих компаний встал особенно остро. Ведущие специалисты по информационнй безопасности РАССЭ (группа компаний АйТеко) назвали основные угрозы безопасности при организации удаленного доступа сотрудников к корпоративным электронным сервисам:
1) Использование личных (домашних) устройств:
· хранение конфиденциальной информации на личных устройствах (локальные диски, флешки и пр.)
· использование слабых паролей, а зачастую их отсутствие
· отсутствие автоматической блокировки устройств
· отсутствие последних обновлений безопасности как ОС, так и прикладного ПО
· отсутствие антивирусных систем
2) Использование незащищенных каналов связи.
К незащищенным каналам можно отнести как публичные, так и домашние сети. Общие для них особенности:
· при использовании беспроводных сетей — недостаточное шифрование (или полное его отсутствие)
· уязвимости маршрутизирующих устройств (слабые пароли, уязвимые прошивки, ненастроенный файервол и т.п.)
· использование уязвимых протоколов
3) Использование публичных сервисов для обмена файлами:
· к таким сервисам можно отнести: Google Диск, Облако Mail.ru, Яндекс Диск и т.п.
· если файл доступен всем, у кого есть ссылка, то он может быть проиндексирован поисковыми машинами, после чего документ станет доступен в поиске, что, в свою очередь, может привести к его утечке.
В вышеперечисленных условиях инженеры РАССЭ рекомендуют технологию виртуальных рабочих станций/виртуальных рабочих столов (VDI) как наиболее удобный и безопасный способ организации работы сотрудников с корпоративными электронными сервисами.
Эта технология основана на создании защищенного корпоративного центра обработки данных (или аренде такого центра) и разворачивании разветвленной сети оконечных пользовательских устройств (в том числе и мобильных), с которых организуется защищенный удаленный.
При создании ЦОД мы рекомендуем следующие решения:
- межсетевые экраны Check Point, Fortinet;
- средства контроля утечки информации на базе DLP-систем (Date Leakage Prevention). Например, отечественное решение InfoWatch. Оно может устанавливать на удалённые рабочие станции агенты, контролирующие работу с ключевыми файлами: запись на съёмные носители, отправку их по электронной почте за пределы корпоративной сети, копирование информации в другие документы.
Есть и другие механизмы контроля рабочих машин сотрудников.
1. Средства защиты каналов передачи данных за счет построения VPN
Основа любой удаленной работы — шифрование канала связи, которое поможет защитить внутрикорпоративный трафик от постороннего прослушивания, скажем, недобросовестного сотрудника провайдера. Если в организации уже развернуты межсетевые экраны Check Point, Fortinet – основную часть работ можно считать готовой. У таких компаний есть возможность относительно легко настроить подключение к шлюзам безопасности с помощью фирменных VPN-клиентов, устанавливаемых как на ПК, так и на мобильные устройства.
Компании, занимающиеся обработкой персональных данных, скорее всего, уже работают с отечественными VPN-средствами и могут использовать для удалённой работы ViPNet Client или «Континент-АП».
Если нет уже внедренного готового решения, будет целесообразно использовать opensourсe-решения, к примеру, самый популярный клиент — OpenVPN. Одна из самых простых схем внедрения – использование готового образа PfSense, в составе которого есть VPN-сервер. Установка и конфигурация такого решения займут не более 1-2 дней.
2. Средства антивирусной защиты информации
Очень хорошо зарекомендовал себя комплекс продуктов от Лаборатории Касперского.
Помимо перечисленных средств защиты, можно дополнительно усилить защиту почтовых сервисов для защиты от фишинговых атак. Защиту почты обеспечивают как NGFW с возможностью перехвата и проверки писем, так и специализированные решения. Для проверки вложений необходимо подключить «песочницу» — защищенную изолированную виртуальную машину, в которой вложения открываются, и анализируется их активность. Отличную защиту предоставляют такие решения как Check Point SandBlast, FortiSandBox.
К специализированным средствам защиты почты относится, к примеру, Kaspersky Secure Mail Gateway, который может защищать от спама, проверять письма, ссылки и вложения на предмет фишинга, и, разумеется, осуществлять антивирусную проверку, в том числе и в облачной «песочнице».
Что же ещё требуется для безопасности удалённой работы?
3. Защита не только ЦОД и каналов передачи данных, но и клиентских устройств
Обязательно организуйте защищенный доступ через VPN и установите на клиентские устройства необходимые приложения.
Сотрудники могут работать либо с корпоративного устройства, либо с собственного. Если антивирус уже установлен, убедитесь, что антивирусные базы актуальны. Для собственных устройств сотрудников следует порекомендовать установить либо корпоративный антивирус (если есть возможность выделить для этого дополнительные лицензии), либо хотя бы пробную лицензию. Кроме того, сейчас тот же Check Point предоставляет временную двухмесячную лицензию SandBlast Agent – систему защиты в том числе от угроз «нулевого дня».
Существуют и другие механизмы контроля и защиты клиентских устройств сотрудников.
К сожалению, нет единого «рецепта» организации безопасного удаленного доступа, который подошёл бы всем – у каждой компании есть своя специфика, инфраструктурные особенности, требования и пр. Привлекайте высококвалифицированных специалистов с опытом реализации подобных проектов, способных учесть все особенности работы организации.
Оставьте заявку на консультацию по организации безопасных рабочих мест [email protected]