Чем хорош VDR и почему бесполезны токены: информационная безопасность на удаленке
Как обеспечить безопасность корпоративных данных в условиях массового перехода на удаленку, каким требованиям должны отвечать личные устройства пользователей, как управлять правами доступа, контролировать персонал и как часто сканировать корпоративный периметр на предмет новых уязвимостей. Об этом этом ведущие специалисты по защите информации Группы ЧТПЗ и банка «Санкт-Петербург» рассказали на специализированном вебинаре, организованном компанией MSB Events. Клуб ОЦО выделил для своих читателей самые важные моменты.
Перед профессиональным сообществом выступили начальник управления защиты информационных ресурсов Группы ЧТПЗ Георгий Гусляев и начальник управления по обеспечению информационной безопасности банка «Санкт-Петербург» Анатолий Скородумов.
Оба спикера поделились опытом быстрого перевода на удаленку тысяч сотрудников: в Группе ЧТПЗ сегодня на домашнем режиме работает свыше 6000, в банке «Санкт-Петербург» – около 2500 человек.
Практически все компании и раньше использовали те или иные инструменты удаленного доступа, но в условиях карантина удаленка превратилась из дополнительного решения в основное. Сегодня в дистанционном режиме должны быть доступны все системы и все операции в течение всего рабочего времени. Кроме того, резко выросло число устройств, которые пользователи используют для работы в корпоративных сетях, и часто к этим устройствам имеют доступ другие пользователи. А соблюдать требования безопасности необходимо на прежнем, закрепленном в законодательстве и внутренних регламентах уровне. Нагрузка на специалистов по ИТ-безопасности в связи с новым режимом работы резко выросла, но со своими задачами они справляются.
Георгий Гусляев поделился с участниками вебинара рекомендациями по обеспечению безопасности данных на удаленном режиме. По мнению эксперта, обязательными инструментами являются:
- межсетевой экран нового поколения NGFW (Next Generation Fire Wall) – для защиты корпоративного периметра. У новейших NGFW есть возможность строить VPN-тоннели, через которые пользователи могут подключаться к корпоративной сети и работать так, как будто они находятся на своем рабочем месте
- установленные, настроенные и активно используемые системы SIEM (Security Information and Event Management) и DLP (Data Leak Prevention), которые есть во многих организациях, но часто не используются и потому не приносят пользы.
В Группе ЧТПЗ типы устройств, с которых пользователи заходят в корпоративные сети, разделили на четыре категории: корпоративные настроенные, личные настроенные, личные не настроенные, личные настраиваемые пользователями устройства. Три последних относятся к классу BYOD (Bring Your Own Device) и для обеспечения должного уровня безопасности требуют использования систем VDI (Virtual Desktop Infrastructure) или UEM (Unified Endpoint Management).
VDI – это инфраструктура виртуальных рабочих столов, которая дает корпорации возможность полностью управлять контентом и использованием информации, рассказал участникам вебинара Георгий Гусляев. При этом пользователь подключается к виртуальному рабочему столу из любой точки и начинает работу с того места, на котором остановился. Доступ извне в такую систему запрещен. В среде VDI доступны Skype, почта, SAP, терминальные серверы. Здесь же устанавливаются средства антивирусной защиты и DLP. Все процессы обрабатываются на сервере, пользователю передается только изображение рабочего стола. Админы имеют возможность мгновенно отключать отдельных пользователей или целые группы и устанавливать единые правила безопасности для групп пользователей.
Контролировать передачу корпоративной информации и обеспечивать безопасность при использовании мобильных устройств позволяют решения класса Mobile Device Management (MDM). На смартфон или планшет устанавливается программа, которая формирует «контейнер» для корпоративной информации, в котором и проходит вся работа с корпоративной информацией.
Еще одна проблема, на которую указал Георгий Гусляев – невозможность адекватно оценивать важность информации в условиях интенсивного обмена данными. В Группе ЧТПЗ применяется система, которая снижает риски при внутреннем и внешнем обмене данными. Разные виды маркировки документов помогают управлять сроками доступа, правами и отслеживать несанкционированное копирование. Решения классов VDR (Virtual Data Room) и DRM (Data Room Management) дают возможность:
- точно знать, кто именно в каждый конкретный момент времени получил доступ к информации и что с ней делал
- устанавливать и контролировать права на использование документов (в том числе ограничивать сроки доступа к файлам)
- размещать водяные знаки на документах с целью дальнейшего отслеживания их копирования и распространения
- резко сократить число инцидентов утечки и компрометации корпоративных данных.
Георгий Гусляев отметил, что системы DLP (Data Leak Prevention) позволяют не только контролировать риски утечки информации с помощью программы, установленной на устройство пользователя, но и помогают кадровым службам контролировать реальную загрузку сотрудников. Также он рассказал об использовании РАМ-систем (Privileged Access Management) для контроля привилегированных пользователей. В завершение своего выступления начальник управления защиты информационных ресурсов Группы ЧТПЗ рассказал о проблемных моментах при переходе на удаленку и поделился опытом их решения.
Продолжая вебинар, начальник управления по обеспечению информационной безопасности банка «Санкт-Петербург» Анатолий Скородумов рассказал, что банку пришлось закупить порядка 300 ноутбуков для сотрудников, работающих из дома, а сам перевод 90% операций головного офиса и 50% филиальной сети на домашний режим был успешно осуществлен за две недели.
Основные риски для ИТ-безопасности при работе на удаленке, с точки зрения эксперта, это:
- Утечка данных (в результате действий злоумышленников или самих сотрудников)
- Атаки на корпоративные системы через пользовательские устройства
- Заражение корпоративных систем вредоносным ПО
- Возможные сбои из-за недоступности сервера удаленного доступа
- Мошеннические действия лиц, которые убеждают сотрудников установить потенциально вредоносное ПО или разглашать данные.
В обычное время службам ИТ-безопасности почти не приходится заниматься личными устройствами пользователей, а требования к корпоративным устройствам таковы:
- ОС в актуальной версии
- Антивирус с актуальными данными +EDR+DLP
- Шифрование жесткого диска
- Ограничение доступа в Интернет
- Отсутствие у пользователя административных прав доступа
В условиях массовой удаленной работы успехом службы ИТ-безопасности можно считать, если на личных устройствах удается добиться выполнения первых двух требований из списка, уверен Анатолий Скородумов.
Эксперт напомнил участникам вебинара об основных принципах безопасного удаленного доступа:
- Двухфакторная аутентификация
- Безопасное соединение
- Проверка подключаемого устройства на соответствие политике ИТ-безопасности
- Запрет на файловую передачу данных, использование буфера обмена, присоединения дисков удаленного компьютера и т.п.
- Контроль за подключениями и действиями удаленных пользователей
Начальник управления по обеспечению информационной безопасности банка «Санкт-Петербург» также рассказал участникам вебинара, почему токены бесполезны при работе с домашних компьютеров, и привел перечень необходимых мер для обеспечения ИТ-безопасности в условиях удаленной работы:
- Антивирус для установки на личные устройства пользователей
- Сервер удаленного доступа с функцией NAC
- Решение PAM для удаленного доступа критичных работников
- SIEM для корреляции событий и выявления инцидентов
- DLP с хостовым агентом для контроля видеоконференций
- Антивирус + EDR на пользовательских компах внутри организации
- Внешний сканер безопасности.
- WAF, если используете WEB-публикацию приложений
- Защита от DDOS узлов удаленного доступа
- Плюс все средства обеспечения ИТ-безопасности в корпоративной сети
Анатолий Скородумов настоятельно рекомендовал участникам вебинара минимум раз в неделю искать уязвимости или недокументированные пути доступа в корпоративную сеть. А в завершение вебинара напомнил, что использование общедоступных систем видеоконференцсвязи может свести на нет все усилия службы ИТ-безопасности. По сообщениям газеты The Washington Post, напомнил эксперт, порядка 15 000 записей личных видеозвонков пользователей сервиса видеоконференций Zoom утекли в Сеть и появились в открытом доступе на платформах YouTube и Vimeo.