Непридуманная история из жизни сисадмина
Как защитить корпоративную сеть от хакерских атак, когда все сотрудники работают на удаленке?
Карантин
Виктор работает сисадмином в логистической компании с большим количеством филиалов, расположенных от Калининграда до Якутска. До кризиса он отвечал за работу только головного офиса. Но случился карантин. На него упала часть работы по настройке удаленки для сотрудников из других филиалов.
Отступать некуда: и днем, и ночью он должен разгребать форс-мажоры, чтобы работа логистов не прерывалась. Все шло хорошо, пока вдруг не разразился скандал. В корпорации всплыла утечка прайсов. Конкурент, монополист рынка, получил доступ к еще не афишированному прайсу компании, в которой работает Виктор, и уронил цены на рынке.
Пандемия коронавируса привела к взрывному росту хакерских атак на рынке ИБ. Среди самых массовых угроз 55% экспертов выделяют фишинг, 32% - увеличение числа доменов и сайтов с информацией о коронавирусе, 28% - вредоносные программы в целом, и 19% - шифровальщиков в частности. Новости о Covid-19 – в топе всевозможных рассылок. Теневые спамеры от лица UNICEF, ВОЗ и благотворительных фондов используют массовые рассылки для сбора персональных данных. В начале апреля даркнет пополнился базой из 2300 логинов и паролей сервиса Zoom.
Кто слил информацию? Аномалий трафика в офисе нет. Тогда это кто-то из сотрудников? На выявление «слабого звена» Виктор потратил три ночи, иначе ему бы грозил штраф, ведь генеральный директор во всем винил IT-отдел. Методом исключения Виктор все-таки нашел виновного.
Многие люди устанавливают на домашние рабочие станции пиратское программное обеспечение, что тоже увеличивает риски для хакерских атак. Злоумышленники стараются подключиться к локальным сетям и получить контроль над сервером. На сетевом периметре компаний число ресурсов, через которые возможно проводить такие атаки, увеличивается.
По данным компании «Айдеко», 76% активности вымогателей приходятся на нерабочие часы. 49% атак совершается вечером или ночью в будние дни, а 27% — в выходные.
Что можно было сделать?
В нашем примере Григорий - честнейший человек, который не собирался сливать прайсы, должен был использоваться для работы только VPN-доступ. Тогда его файлы были бы защищены дополнительным шифрованием виртуальной сети. Но он совершил ошибку: начал рабочий день, включил-выключил VPN, не смог подключиться, но не стал писать в техподдержку. Просто зашел через свое подключение, невзирая на все инструкции. А зря.
Ему стоило бы просто написать письмо в техподдержку Виктору и немного подождать. Виктор создал бы для него новый VPN-доступ. Данные остались бы в сохранности, и ни о какой утечке прайса не могло бы быть и речи. Можно было дополнительно подключить ноутбук к wi-fi через VPN, чтобы снизить риски. Здесь можно посмотреть, как это делается:
Уровни защиты безопасности
Основные сложности, с которыми сталкиваются компании - экстренное обеспечение удаленного доступа и масштабирование необходимых решений. В связи с этим IT-специалистам сейчас важно реализовывать Open System Interconnection, модель из семи уровней защиты ИБ (физический, уровень канала, сетевой, транспортный, уровень сеанса, уровень представления данных и прикладной).
Постоянный мониторинг периметра сети компании, четкие регламенты ПО для удаленного управления, настройка корреляций в системах мониторинга и защиты, сегментация сетей – эффективные инструменты, которыми не должны пренебрегать ИТ-специалисты.
Подключение из вне
Правильная настройка шлюзов прикладного уровня повышает защиту компьютера, т.к. взаимодействие с внешним миром происходит через программы-посредники, контролирующие входящий и выходящий трафик. Минимальный набор функций универсального шлюза – межсетевой экран, система обнаружения и защиты от вторжений (IDS/IPS), защита удаленного доступа по VPN, антивирус.
Более современные шлюзы обеспечивают контроль приложений, контент-фильтр (протокол HTTP и HTTPS), Web Application Firewall, защиту от DoS и брутфорс-атак. В отличие от антивирусов, которые блокируют лишь известные вирусы, модуль контентной фильтрации защищает пользователей от более широкого спектра сайтов с опасным содержанием.
По данным компании «Айдеко», количество сетевых узлов в России, доступных по RDP, выросло с конца февраля по март 2020 года на 9% и составило более 112 тыс. 10% из них уязвимы для ошибки безопасности Bluekeep (CVE-2019-0708). Одним из важных инструментов для обеспечения удаленной работы сейчас становится подключение через специальный шлюз.
Тонкие настройки: протоколы подключения
Настройка безопасного соединения в шлюзе для корпоративной сети позволяет защитить ее на 90% от хакерских атак.
VPN - это фундамент безопасности в сети. Если злоумышленники путем перебора паролей или сбросом портов могут подключиться, например, к системам домашнего видеонаблюдения, то произойдет это благодаря тому, что эта система была подключена по самому популярному протоколу PPTP. Злоумышленнику достаточно найти вашу точку доступа и получить доступ к DNS-настройкам.
PPTP – один из самых старых VPN-протоколов. Некоторые новые системы его не используют, так как его уже нельзя считать полностью безопасным. IKeV2 – протокол семейства IPSEC и позволяет админам тратить меньше времени на создание удаленного доступа каждому пользователю. Так, если в компании 50 человек, можно создать для каждого отдельный ярлык с доступом к рабочему столу. Но если сотрудников больше 500 – процесс превратится в рутину длиной в месяц. В этом случае достаточно создать ключ шифрования и раздать его внутри компании, чтобы каждый сотрудник мог подключиться.
Весьма часты случаи brute force, когда пароль подбирается путем перебора. IPsec поддерживают все ОС, однако эти протоколы легче блокируются провайдерами. С SSTP как раз такая блокировка не пройдет, но коробочное решение этого протокола поддерживает только ОС Vista SP1. Также он использует TCP, что часто вызывает задержки при передаче пакетов.
Шлюз безопасности позволяет использовать все современные протоколы, в том числе IKeV2/l2tp. Но при этом, его защита значительно шире любого стационарного антивируса.
Если стандартный антивирус не дает защиты и контроля над приложениями (и устройствами), то шлюз безопасности позволяет вам полностью контролировать, кто, где и как может подключаться к вашей виртуальной сети; шлюз безопасности также помогает защитить корпоративную почту. Даже при установке на личном ноутбуке можно запретить отправку и прием файлов.
Важно: Если вы хотите убедиться, что ваши данные на домашнем ноутбуке в безопасности, рекомендуем проверить сперва роутер, а затем сетевые подключения. Лучше подключаться к устройствам по OpenVPN или IKeV2.Условно безопасным ваше подключение будет по протоколам L2TP/IPsec.PPTP протокол мы не рекомендуем использовать. Хотя он поддерживается повсеместно, но был неоднократно скомпрометирован, и официально считается небезопасным.
Вывод: Из-за аврального режима, в котором многим компаниям приходилось развертывать дистанционный формат работы, уязвимость рабочих станций возросла в несколько раз. Впереди - новые недели работы в удаленном формате. Сейчас самое подходящее время, чтобы организовать системную работу и наладить спокойное администрирование с помощью проверенных решений.