— Пользователь работает из дома на персональном компьютере. Обслуживает его сам. Ставит то ПО, которое ему больше нравится, не имея квалификации или опыта, чтобы проверить на безопасность. В результате его рабочее место открывает брешь в корпоративной защите. Либо пользователь заражает корпоративную сеть вирусами, либо легкомысленным поведением упрощает проведение взлома. Что делать?
Важно всегда помнить, что защита должна быть комплексной. То есть для обеспечения информационной безопасности предприятия надо одновременно защищать корпоративную среду от атак, вирусов, хищения, утечек и несанкционированного доступа.
Одним из инструментов для предотвращения кражи логинов-паролей и несанкционированного доступа к корпоративной сети может быть настройка двухфакторной аутентификации c помощью токенов и смарт-карт. Как она работает? Для входа в сеть предприятия сотруднику необходимо подключить к своему ПК токен или смарт-карту, а затем ввести PIN-код устройства. Владение устройством является первым фактором аутентификации, знание PIN-кода — вторым. Украв только токен или только PIN-код, злоумышленник все равно не сможет подключиться к корпоративной сети. А обнаружив пропажу токена, сотрудник сразу уведомит системного администратора, чтобы тот заблокировал доступ.
Двухфакторная аутентификация поддерживается большинством VPN-клиентов решений для доступа к удаленным рабочим столам (VDI).
Применение для безопасного доступа к корпоративным ресурсам двухфакторной аутентификации и электронной подписи гарантирует удостоверение личности пользователя, поскольку аутентификационные данные лежат в специальной защищенной PIN-кодом памяти устройства. Таким образом работают, например, продукты Рутокен, защищенные от несанкционированного доступа и копирования.
— Ваш сотрудник возвращается на работу в компанию, но без ноутбука, который ему выдали для работы на удаленном доступе. Объясняет, что где-то потерял его, или его украли… вместе со всеми корпоративными доступами и данными, настройками VPN, которые теперь находятся неизвестно где и у кого. Как застраховаться от угроз при потере корпоративного ноутбука?
Я бы не рекомендовал защищать доступ к корпоративным ресурсам только паролем. Хорошие пароли трудно запомнить, слабые пароли не защищают. Кроме того, пользователь не узнает о краже или подборе пароля, даже если злоумышленник начнет его использовать.
Для того, чтобы не позволить злоумышленнику, укравшему ноутбук, получить доступ к ИТ-инфраструктуре компании, необходимо добавить в процесс аутентификации ее сотрудников дополнительный фактор.
При использовании паролей используется фактор знания, выраженный в том, что пользователь знает пароль. Чтобы добавить к нему второй фактор, нужно сделать так, чтобы пользователь обладал неким физическим устройством (токеном или смарт-картой), который перед аутентификацией необходимо подключить к компьютеру. Для большей безопасности, возможна настройка автоматической блокировки компьютера при извлечении токена или смарт-карты.
Сочетание факторов обладания устройством и знания PIN-кода обеспечивает надежную двухфакторную аутентификацию при входе в учетные записи на ОС Windows, Linux и macOS рабочих компьютеров.
— Пользователь использует для работы публичные облачные системы. Все его данные для удобства выгружены в облако, безопасность которого может быть отнюдь не безоблачной. Аналогичная ситуация с облачными бесплатными почтовыми системами и другими сервисами. Что можно посоветовать сотруднику, кроме запрета на пользование облачными сервисами?
Наиболее безопасный вариант в данной ситуации — использовать частное (in-house) облако, настроив доступ к нему через VPN и обеспечив двухфакторную аутентификацию. Если у компании своего облака нет, то я бы рекомендовал:
- Приобрести систему мониторинга интернет-трафика облака. Мониторить его можно, перенаправляя весь трафик на корпоративный периметр либо на специальный облачный защитный шлюз;
- Настроить двухфакторную аутентификацию к внешнему сервису. При этом следует избегать использования одноразовых паролей в SMS/PUSH-уведомлениях, поскольку данные SMS легко перехватить. Эту точку зрения поддерживают специалисты Минцифры и зарубежные эксперты из Национального института стандартов и технологий США (NIST). Они не рекомендуют использовать СМС для доступа к корпоративным ресурсам. Разделяют опасения и банковские аналитики, которые также пришли к выводу, что SMS- и PUSH-уведомления не безопасны. Apple не только предупреждает о незащищенности канала передачи между Apple Push Notification Service сервером и приложением пользователя, но и берет обязательство с разработчика не передавать через PUSH-уведомления персональную или конфиденциальную, в том числе транзакционную, информацию, к которой̆, безусловно, относятся и одноразовые коды.
Рекомендую, если вы работаете в облаке, защитить наиболее важные аккаунты (скажем, аккаунт электронной почты) по максимуму — запереть на «железный» U2F-токен/USB-токен или смарт-карту, запретив любые другие опции двухфакторной аутентификации.
— Какие из программно-аппаратных средств защиты вам кажутся наиболее подходящими для гибридного формата работы? Почему?
Гибридный режим работы сотрудников подразумевает частичную удаленную работу вне офиса, а значит и связанный с этим целый ряд угроз:
- пароли пользователей могут быть украдены, что дает возможность злоумышленникам бесконтрольно подключаться к сети и ИТ-ресурсам предприятия;
- данные передаются по публичным каналам, а значит могут быть перехвачены и изменены;
- важная корпоративная информация хранится на ноутбуках, домашних ПК и флэш-накопителях вне файловых ресурсов и информационных систем предприятия и становится уязвимой.
Впрочем, даже когда сотрудник приезжает работать в офис, опасности для корпоративной информационной системы продолжают существовать. Пароль от учетной записи может быть записан прямо на мониторе, подсмотрен через плечо или перехвачен вредоносной программой. Или же, в случае, когда сотрудник берет конфиденциальную информацию в командировку на обычной флешке, она может быть утеряна.
Надежным решением обозначенных проблем может стать применение специальных устройств – токенов или смарт-карт, использующих криптографические алгоритмы. С их помощью можно выполнять двухфакторную аутентификацию пользователей офисных ПК, web-приложений, удаленных рабочих столов RDP/VDI и VPN. Кроме того, они могут защищать данные, передаваемые с помощью виртуальной частной сети (VPN), информацию на флэш-накопителях и выполнять шифрование данных. Также с помощью подобных устройств можно выполнять квалифицированную или усиленную неквалифицированную электронную подпись в рамках ЭДО.