Удаленная работа требует усиленной защиты

Ярослав Голеусов, руководитель технологического консалтинга Компании «Индид», рассказал читателям журнала Information Security о неочевидных угрозах информационной безопасности, возникающих в случае удаленной работы сотрудников компаний и предложил варианты их нейтрализации.

В статье угрозы классифицированы по трем типам:

• Нарушение конфиденциальности учетных данных
• Нарушение доступности корпоративных ресурсов
• Отказ от авторства несанкционированных действий

Угрозы нарушения конфиденциальности учетных данных

Перехват вводимых учетных данных в изолированной среде

Одной из мер защиты информации при организации удаленной работы в случае, если сотрудник использует личное устройство, является виртуализация рабочих мест и публикация приложений на терминальном сервере с последующей изоляцией среды.

Действительно, если на личном устройстве сотрудника будет установлено вредоносное ПО, оно не сможет воздействовать на рабочую среду или рабочие приложения.

Однако даже если и для самого удаленного подключения используется альтернативная аутентификация, в случае подключения к виртуализированному рабочему месту (VDI) и терминальному приложению (например, по RemoteApp) высока вероятность того, что приложение потребует авторизации с помощью логина и пароля. В таком случае вредоносное ПО может перехватить нажатия клавиш, вычислить корректное сочетание «логин – пароль», и злоумышленник уже по другому каналу сможет получить доступ к конфиденциальным данным.

Для нейтрализации этой угрозы рекомендуется использовать решения класса Single Sign-On (SSO) совместно с решениями для альтернативной усиленной аутентификации. Решение SSO должно быть установлено на офисных рабочих местах, к которым сотрудник подключается по VDI, либо на терминальном сервере. Далее для подтверждения аутентификации в корпоративных приложениях система потребует предъявления альтернативного фактора аутентификации, после чего SSO самостоятельно предоставит ресурсу необходимые учетные данные. Таким образом, на личной рабочей станции даже при наличии кейлоггера не перехватываются вводимые логины-пароли.

Клонирование генератора одноразовых паролей

Безусловно, методы усиленной (двухфакторной) аутентификации значительно повышают стойкость к угрозам при удаленном доступе. Однако разные технологии усиленной аутентификации имеют существенные различия как с точки зрения применимости, так и с точки зрения безопасности.

Популярные сегодня методы двухфакторной аутентификации с помощью одноразовых кодов, генерируемых на устройстве или присылаемых в мессенджерах, имеют существенные уязвимости: если злоумышленник получит однократный продолжительный доступ к смартфону, то он может попытаться получить повышенные привилегии на смартфоне (jailbreak для iOS-устройств, root-права для Android-устройств). И если это удастся, он сможет клонировать ключи генератора одноразовых паролей либо настроить себе получение сообщений в мессенджерах на личном компьютере.

Если описанный риск имеет высокую вероятность, рекомендуется вместо одноразовых паролей использовать push-аутентификацию, которая явно привязана к устройству и не будет работать на девайсе злоумышленника.

Угрозы нарушения доступности корпоративных ресурсов

Удаленная блокировка учетных данных

Зачастую для доступа к корпоративным ресурсам используются публичные веб-сервисы, доступные через Интернет, например веб-клиент почты.

Часто имя почтового ящика совпадает с именем доменной учетной записи. Злоумышленник может попытаться разгадать пароль методом подбора. Для нейтрализации этой угрозы включается блокировка учетной записи после нескольких неудачных попыток ввода пароля.

Однако злоумышленник может перебирать пароли для последующей целенаправленной блокировки доменной учетной записи. Такая атака способна привести к частичному параличу некоторых бизнес-процессов.

С целью частичной нейтрализации данной угрозы можно воспользоваться специализированным решением для двухфакторной аутентификации (2FA), например одноразовыми паролями. При этом, даже если осуществляется попытка перебора, будет заблокирован второй аутентификатор, а не учетная запись. Таким образом, сотрудник сохранит возможность получения доступа к корпоративным ресурсам, правда только через альтернативное соединение или при локальной работе.

Утеря или поломка защищенного носителя ключевой информации

Исполняя рабочие обязанности, удаленные сотрудники могут пользоваться цифровыми сертификатами для подписи документов, подключения к сторонним веб-сервисам или для иных задач. При этом в случае утери или поломки устройства появляется задача его оперативной замены, которая не сможет быть реализована в разумные сроки, особенно если сотрудник территориально удален от офиса.

Для нейтрализации угрозы можно воспользоваться специализированными решениями, реализующими виртуальную смарт-карту (то есть без хранения ключевой информации на съемном защищенном устройстве).

В таком случае хранение ключевой информации будет осуществляться в следующих контейнерах:

• на серверной стороне, все операции с ключами выполняются на сервере;
• контейнер в специализированном модуле внутри устройства – Trusted Platform Module.

Использование подобных решений считается менее безопасным, чем съемные аппаратные защищенные носители, однако эти решения наиболее гибкие и подходят для описанной нештатной ситуации.

После замены ключевого носителя виртуальную смарт-карту можно отключить. Таким образом, даже в случае утери или поломки ключевого носителя простоя в бизнес-процессах компании не будет.

Угрозы отказа от авторства действий, приведших к инциденту

Спорные ситуации в случае сбоя критичного ресурса

При любой работе с ИТ-ресурсами со стороны привилегированных пользователей всегда существует риск ошибок из-за человеческого фактора. Сами действия при этом могут привести к сбою критичного ресурса.

Даже при работе непосредственно в помещении организации бывает сложно разобраться, что же произошло и кто является ответственным за сбой. В случае удаленного доступа ситуация усложняется многократно. Подобные разборы инцидентов не только негативно сказываются на рабочей атмосфере, когда происходят попытки обвинить невиновных, но и тратят много времени специалистов на непродуктивные действия.

Использование SIEM, вероятно, позволит узнать, кто подключался к ресурсу, но вряд ли позволит точно определить ответственного, не говоря уже об отсут ствии данных о последовательности действий, которые привели к сбою.

Однако при использовании решений класса Privileged Access Management (PAM) все подключения привилегированных пользователей к критичным ресурсам фиксируются в различных форматах (видео- и текстовая запись, снимки экрана, нажатия клавиш, переданные файлы). Далее, используя записи действий, всегда можно оперативно определить, какая последовательность действий привела к сбою, выявить ответственного за инцидент и определить фактор преднамеренности.

Попытка уйти от ответственности

Бывают ситуации, когда в компании работает инсайдер – внутренний злоумышленник, который целенаправленно осуществил действия, приведшие к сбою или нарушению работы критического ресурса. Сама по себе задача выявления ответственного уже является сложной, однако с помощью решения класса PAM можно оперативно найти виновного.

При попытке привлечь сотрудника к ответственности он может сказать, что у него были украдены соответствующие данные для доступа к его учетной записи. Ни для кого не секрет, что парольная аутентификация очень уязвима для угрозы разглашения, а сам факт разглашения может быть выявлен уже после инцидента.

Очевидно, что в такой ситуации любой руководитель может задуматься о том, что сотрудник действительно невиновен, а произошедшее – просто неудачное стечение обстоятельств.

Для нейтрализации данной угрозы рекомендуется совместно с решением PAM использовать решения для 2FA сотрудников. Тогда, если сотрудник действительно является инсайдером и имел место инцидент, ему будет тяжело уйти от ответственности. Если все-таки сотрудник заявит, что у него украли телефон, на котором стоит генератор одноразовых паролей, ему будет задан логичный вопрос: «Почему вы оперативно не уведомили об этом службу безопасности?»

В заключении Ярослав Голеусов отметил:

Угрозы информационной безопасности эволюционируют с развитием ИТ-технологий и способов их применения. Злоумышленники адаптируются и всегда ищут новые способы нелегального заработка. Пока системы защиты полностью не перестроены под новые реалии, киберпреступники могут воспользоваться вашими слабостями и «лазейками» в своих целях.

Следовательно, у специалистов по информационной безопасности есть еще одна возможность вдумчиво и без спешки оценить, насколько имеющаяся система защиты готова противостоять современным вызовам.

Компания «Индид» предлагает внедрить программные комплексы Indeed Access Manager и Indeed Privileged Access Manager в вашей компании, чтобы организовать защищенный доступ сотрудников корпоративные ИТ-системы.