Green-sell.info

Новые технологии
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Безопасный удаленный доступ к корпоративной сети

Чем опасны удаленные подключения к корпоративной среде

Крупнейшие российские банковские и финансовые организации уже несколько лет проявляют интерес к практической возможности использования DLP-технологий в виртуальных и терминальных средах. Предоставление доступа к информационным активам компании через удаленное подключение, в частности, с использованием тонких клиентов является одним из наиболее динамично развивающихся направлений в информационных технологиях. Помимо целого ряда общеизвестных преимуществ такого подхода, очевидны также и проблемные зоны с точки зрения информационной безопасности.

Предоставление пользователю стерильной рабочей среды, созданной ИТ-подразделением исключительно для выполнения бизнес-задач сотрудников, является, пожалуй, самым идеальным вариантом со многих точек зрения. Такая среда содержит те и только те бизнес-инструменты, которые необходимы пользователю для его задач – от полноценной Windows-среды в форме виртуальной машины (рабочего стола) до отдельного опубликованного приложения, например, в среде Citrix Virtual Apps (ранее XenApp), доступ к которым пользователь получает через терминальную сессию. Кроме того, централизация систем обработки данных с использованием сред виртуализации Citrix позволяет убрать избыточную инфраструктуру рабочих мест – что существенно повышает экономичность содержания ИТ-инфраструктуры, в то же время позволяя сотрудникам использовать корпоративные данные и приложения в любом месте с любого устройства в режиме реального времени. Уже сегодня многие организации используют схему с дистанционной занятостью, когда работодатель не создает стационарные рабочие места, но вступает в трудовые отношения с работником для реализации целей и задач бизнеса, а также для организации труда мобильных сотрудников.

Ключевым преимуществом виртуализации и терминального доступа является то, что пользователь может получить защищенный доступ к корпоративной среде с помощью любого типа компьютеров и персональных устройств – тонкий клиент, лэптоп, планшет, смартфон. Все, что нужно для организации работы сотрудника – это любое устройство, на которое устанавливается клиент для удаленного доступа по протоколу RDP или ICA(например, Citrix Receiver). Также в качестве терминального клиента может использоваться любой веб-браузер, поддерживающий HTML5.

Как известно, у любой палки два конца, а значит, найдутся и недостатки. Главный риск виртуализации – потеря контроля за корпоративными данными, попавшими в личную зону пользователя. Сама по себе терминальная среда ограничивает доступ пользователей к данным на серверах, сужая их ровно до той части, которая нужна для выполнения своих задач. Но такой подход не гарантирует их безопасности на конечном устройстве. Пользователь может скопировать их из терминальной сессии на личное устройство через буфер обмена данными или перенести на подключенные к нему другие устройства – накопители, принтеры и др.

Это означает, что служба информационной безопасности вынуждена решать задачу обеспечения безопасности и сохранности данных, доступ к которым пользователь имеет с удаленного устройства, а также защиты серверной части виртуализованной среды от попадания в нее вредоносного ПО.

Среды терминального доступа позволяют в какой-то степени ограничить использование перенаправленных устройств и буфера обмена, однако решают эту задачу довольно грубо, без гибкости по отношению к пользователям и без учета содержимого потоков данных внутри терминальной сессии. Внедрение средств безопасности и предотвращения утечек данных непосредственно на удаленных рабочих местах, конечно же, в теории возможно. Однако практически эта возможность сводится к нулю, если речь идет о тонких клиентах, мобильных устройствах или домашних либо личных компьютерах и ноутбуках. Причиной тому сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие гарантий предоставления личного устройства службе ИТ, избыточная уязвимость самих решений и т.д.

Единственным существующим на сегодня решением описанной проблемы является установка специализированного DLP-решения на стороне терминального сервера, а не удаленного клиентского устройства, с поддержкой контроля перенаправленных в терминальную сессию устройств и буфера обмена данными между терминальным сервером (виртуальной средой или приложением) и клиентским устройством. Такие функциональные возможности в той или иной степени представлены в ряде DLP-решений, а самые широкие возможности предлагает DLP-комплекс DeviceLock DLP Suite и реализованная в нем технология DeviceLock Virtual DLP.

Технология DeviceLock Virtual DLP включает средства контекстного контроля и методы фильтрации содержимого данных, передаваемых в терминальных сессиях. Суть этой технологии заключается в контроле потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными. Это позволяет создать изолированную защищенную рабочую среду. Более того, сетевые коммуникации пользователей внутри терминальной сессии также контролируются DLP-механизмами программного комплекса DeviceLock. Также обеспечиваются централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных.

В типичном сценарии использования среды виртуализации сотруднику предоставляется терминальный доступ к набору опубликованных в среде Citrix XenApp приложений, которые в совокупности составляют набор бизнес-инструментов сотрудника. Для сохранения эффективности работы сотрудников на их рабочих местах локальный принтер и буфер обмена перенаправляются в терминальную сессию. При этом для предотвращения переноса данных на съемные накопители, которые сотрудник может использовать на своем рабочем месте, перенаправление их в терминальную сессию ставится под запрет для определенной группы пользователей. Факты использования принтера и буфера обмена, содержимое распечатанных документов и переданных в буфере обмена данных, а также попытки скопировать данные на схемные накопители пользователями, которым их использование запрещено, регистрируются.

Схема работы Devicelock Virtual DLP

В рамках такого сценария DeviceLock, будучи установленным на сервере виртуализации, доступ к которому пользователь получает через терминальную сессию, перехватывает обращения к перенаправленным в терминальную сессию устройствам и блокирует их использование только для предопределенной администратором группы пользователей, не вмешиваясь, но протоколируя при этом печать документов и доступ к буферу обмена данными. Все события, связанные с этими устройствами, записываются вместе с теневыми копиями в централизованный архив DeviceLock DLP.

Конечно же, рамками вышеописанногосценария , одного их самых простых, возможности DeviceLock Virtual DLP не исчерпываются – можно описать десятки других вариантов и возможности их решения. Например, на официальном сайте Citrix в качестве одного из наиболее эффективных примеров использования Citrix Virtual Apps приводится перенос в виртуальную среду приложения Skype for Business – Citrix позволяет опубликовать Skype в качестве виртуализированного приложения или в составе виртуального десктопа с такой же производительностью, как при установке локального приложения. Однако, эффективность использования Skype в среде виртуализации, как и других каналов сетевых коммуникаций, никак не обеспечивается средствами защиты с точки зрения противодействия утечкам конфиденциальных данных. Если же взять на вооружение DeviceLock DLP, то открываются возможности ограничить передачу файлов в виртуализированном приложении Skype, сохранив возможность звонков и переписки, а также фиксировать содержимое переписки и переданных файлов. Более того, нет необходимости грубо запрещать передачу файлов в виртуализированных каналах сетевых коммуникаций – DeviceLock DLP позволяет анализировать содержимое файлов, писем, переписки и других передаваемых данных и принимает решение о возможности их передачи на основании применения заданных контентных фильтров. В случае выявления данных ограниченного доступа, утечка которых недопустима, операция передачи данных прерывается, при этом в централизованном архиве событий и теневых копий создается соответствующая запись и теневая копия данных, которые пользователь пытался передать через контролируемые устройства в терминальной сессии, а также существует возможность отправки тревожного оповещения и передачи событий в SIEM-систему.

Точно та же логика и функциональный арсенал предлагаются для контроля перенаправленных в терминальную сессию устройств, канала печати и буфера обмена данными. Технология DeviceLock Virtual DLP гарантирует, что передача данных пользователем находится строго внутри границ виртуальной терминальной среды (терминальной сессии), а данные ограниченного доступа, утечка которых недопустима, будут защищены от переноса в неконтролируемую организацией зону, оставаясь при этом доступными для эффективного выполнения бизнес-задач.

Контроль сред виртуализации с помощью DeviceLock DLP позволяет организациям обеспечить полный контроль любых вариантов использования удаленных рабочих мест и персональных мобильных устройств в различных моделях использования решений виртуализации, построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей. При этом немаловажно, что организации не приходится тратить время и силы на управление персональными устройствами во всем их разнообразии, благодаря чему сценарий предоставления терминального доступа к корпоративным ресурсам, защищенного с помощью DLP-технологий, становится популярным в корпоративной среде.

Сергей Вахонин, директор по решениям DeviceLock, Inc. (Смарт Лайн Инк)

VII Международная студенческая научная конференция Студенческий научный форум — 2015

БЕЗОПАСНЫЙ УДАЛЕННЫЙ ДОСТУП: СУЩЕСТВУЮЩИЕ КОНЦЕПЦИИ И РЕШЕНИЯ

В современном обществе сложно даже представить, как можно работать без удаленного доступа (УД) к локальной сети.

Мы соединяемся с сетью организации из гостиницы, из дома, или в каких-то экстренных случаях понадобится получить доступ к своему корпоративному аккаунту или компьютеру.

В первую очередь, УД к локальной сети применяется администраторами. Часто, управление сетевым оборудованием (серверы, маршрутизаторы), компьютерами можно организовать дистанционно, с помощью специальных аппаратных или программных решений. Не всегда это удобно, но зачастую выгодно: можно снизить расходы на обслуживание, позволяет экономить время), Иногда это необходимо (в случае обслуживания оборудования филиала организации – в таком случае администратору не требуется выезжать на место для проведения обслуживания или устранения возникших проблем [1].

Кроме того, может потребоваться удаленная работа мобильным сотрудникам, часто бывающим в командировках, рекламным агентам, специалистам отдела маркетинга и продаж с предоставлением им ресурсов локальной сети предприятия из любого места, где есть доступ в Интернет [2].

Также удаленный доступ применяется с целью сокращения затрат на содержание производственных площадей, доступ к локальной сети предприятия можно разными способами.

Чаще всего применяют самую доступную, но не безопасную среду – сеть Интернет. Очевидно – никакая компания не будет предоставлять все свои сетевые ресурсы в сеть общего пользования, но в этом нет нужды: при помощи технологии VPN и туннелирования можно обойти указанную проблему, используя глобальную сеть как средство доставки и передавая по ней шифрованную информацию.

Когда технология удаленного доступа начала распространяться, больше всего ей заинтересовались компании, работа которых связана с частыми выездами сотрудников на территорию клиентов (аудиторы, консультанты, интеграторы),а сейчас – многие организации рассматривают возможность сократить свои расходы благодаря удаленной работе сотрудников.

Но и злоумышленники могут воспользоваться удобством удаленного доступа, поэтому нужно понимать и предугадывать их действия, чтобы быть защищенным от угроз [3].

Риски удаленного доступа:

Риск воровства данных – информация может быть перехвачена;

Упрощенные методы аутентификации;

Сложно применить какую-то конкретную политику безопасности;

Физический неконтролируемый доступ к удаленным компьютерам – можно установить шпионское ПО;

Пользователь может быть доверенным а на устройстве может быть шпионское ПО;

Доступ с неуправляемых удаленных устройств;

Важная информация может случайно или умышленно остаться на чужом устройстве;

Однако, все эти риски можно свести к минимуму, используя защищенные протоколы [4].

Организация УД к корпоративным информационным ресурсам, как правило, связана с использованием виртуальных частных сетей (Virtual Private Network – VPN) на основе протоколов IPSec и SSL (рисунок 1).

Читать еще:  Антивирус не видит телефон

Рисунок 1 – Сравнение IPSec и SSL

VPN обладает свойствами, характерными для выделенной линии, однако развертывается она в пределах общедоступной сети, например Интернета. С помощью туннелирования, пакеты данных транслируются через общедоступную сеть как по обычному соединению «точка-точка». Между каждой парой «отправитель-получатель данных» устанавливается так называемый туннель – безопасное виртуальное (логическое) соединение, позволяющее встраивать (инкапсулировать) данные одного протокола в пакеты другого [5].

Схема соединения для связи проста: пользователь выходит в Интернет через точку доступа (Wi-Fi или WiMAX), после чего активирует VPN-соединение с сервером предприятия. Созданный канал шифруется, происходит аутентификация абонента, и в случае подтверждения подлиннсти и прав доступа предоставляется доступ требуемого уровня. При этом локальный компьютер получает внутрисетевой адрес и становится частью локальной сети.

Очень важным свойством туннелей является возможность дифференциации различных типов трафика и назначения им необходимых приоритетов обслуживания. В простейшем случае при помощи VPN соединяют удаленных пользователей или удаленный офис/филиал с сетью предприятия [6].

Туннелирование также позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. Наиболее распространенный метод создания туннелей VPN – инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т. д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Каналы VPN защищены специализированными алгоритмами шифрования, созданными на базе стандартов протокола безопасности Internet Protocol Security (IPSec). Этот протокол обеспечивает безопасность на сетевом уровне и требует поддержки стандарта IPSec от устройств по обе стороны соединения.

Использование IPSec VPN у пользователя вызывает такое ощущение, будто он находится у себя на работе: работа ведется с теми же сетевыми программами, что и у себя в корпоративном компьютере, а если использовать SSL VPN понадобится браузер, через который будет осуществляться доступ к системе организации.

В первом случае, сотрудник, как правило, будет использовать свой корпоративный ноутбук и сеть, которая позволит обращаться к портам VPN-шлюза, а во втором – надо будет только найти устройство с выходом в Интернет [7].

По большому счёту, обе технологии являются дополнением друг друга, нежели конкурируют, и многие компании используют их совместно.

Появление сервиса удаленного доступа, с точки зрения информационной безопасности тянет за собой появление новых рисков, которые необходимо будет минимизировать внедрением как организационных, так и технических мер.

Рассмотрим наиболее популярные механизмы атаки на ресурсы компании посредством удаленного доступа:

Нацеленные непосредственно на корпоративную сеть компании.

Нацеленные на пользователя системы удаленного доступа для дальнейшего проникновения в корпоративную сеть;

Кража данных. Внутренний сотрудник или внешнее лицо, которое каким-то об разом смогло получить доступ к корпоративной сети через систему удаленного доступа, может нанести серьезный ущерб своими действиями. Для минимизации подобного риска необходимо разграничение уровней доступа для удаленных пользователей. Каждая группа пользователей должна иметь доступ только к тем ресурсам, которые реально требуются для уда- ленной работы (принцип «минимальных привилегий»). Компании обычно закрепляют такие правила предоставления удаленного доступа в формализованной процедуре. Ну и конечно, защитой от такого сценария должен стать весь набор мер информационной безопасности, принятых в компании.

Перехват паролей пользователей. В большинстве случаев, для получения доступа к сети, пользователь вводит имя своей учетной записи и пароль. Эти данные являются главной целью злоумышленников при применении технологии SSL VPN.

Самым простым и доступным способом получения такой информации является использование программ типа «кейлоггер», перехватывающих все введенные пользователями строки, а также осуществление фишинговых атак на пользователя.

В первом случае пароль и имя учетной записи сотрудника могут быть похищены, например, в кафе, где он воспользовался бесплатной точкой доступа или общественным компьютером для доступа в корпоративную сеть.

Во втором случае злоумышленники запускают web-сервер со страницей «Смена пароля», дизайн которой идентичен страницам вашего VPN-шлюза. Сотрудникам рассылается письмо от имени ИТ-отдела с просьбой пройти по ссылке и сменить пароль. Пользователи сами «сдают» свои пароли, вводя их на странице подставного ресурса. Для защиты от реализации подобного сценария компании:

1. Внедряют уже упоминавшуюся двухфакторную аутентификацию для того, чтобы перехваченным паролем злоумышленник уже не смог воспользоваться через короткий промежуток времени;

2. Внедряют виртуальную клавиатуру на странице аутентификации SSL VPN-шлюза;

3. Настраивают VPN-шлюзы таким образом, чтобы они предъявляли браузеру

4. Как показали последние несколько лет, основной упор злоумышленники делают именно на широкий спектр возможностей пользователя электронные сертификаты, подтверждая свою подлинность;

5. Проводят регулярное обучение сотрудников, которые должны уметь распознавать попытки обмана и угрозы информационной безопасности.

Вирусная атака через ноутбук пользователя. В случае применения технологий IPSec VPN специалистам по информационной безопасности приходится всерьез рассматривать и возможность проникновения вирусов в сеть через систему удаленного доступа. Ведь пользователь не всегда использует свой корпоративный ноутбук для работы [8].

Для защиты от такой угрозы очень часто используют клиентское ПО для удаленного VPN-доступа, которое не позволяет подключиться к корпоративной сети, например, если отключен персональный меж- сетевой экран или антивирус (что, как правило, является характерным признаком активности компьютерного вируса). В подобных случаях пользователю на помощь приходит SSL VPN, который позволяет ему получить доступ, например, к электронной почте через web-сервис, но в то же время существенно затруднит распространение вируса. Стоит отметить, что и шлюзы SSL VPN можно сконфигурировать таким образом, что специальный Java-апплет (или ActiveX-компонент) будет загружаться в браузер клиента и выполнять проверки безопасности, но этой функцией не всегда пользуются, поскольку она создает ограничения, которые могут быть не приемлемы для бизнеса.

Рассмотрев возможные сценарии атак на систему УД и меры по защите, можно прийти к выводу, что обеспечение безопасности удаленного доступа заключается не только во внедрении и грамотной настройке какого-либо современного VPN-решения, но и в реализации компанией необходимых процедур и регулярном обучении сотрудников, причем как технических специалистов, так и обычных пользователей.

Библиографический список

С. В. Глушаков. И.О. Космачевский. «Компьютеры, программы, сети». 2009 г., 458 с.

Кулаков Ю. «Компьютерные сети» Киев: 2009 г., 600 с.

Джон Парк, Стив Маккей, Эдвин Райт. «Ппередача данных в системах контроля и управления». 2007 г., 208 с.

Джеймс Трулав. «Сети. Технологии, прокладка, обслуживание». 2009 г.150 с.

Марк Миллер. «Удаленный доступ. Просто, как никогда»,2013 г., 95 с.

Организация корпоративных сетей на основе VPN: построение, управление, безопасность

VPN представляет собой технологию, обеспечивающую сетевые соединения поверх других сетей, например, Интернет. Коммуникация внутри виртуальной сети осуществляется по базовым каналам с низким уровнем доверия, а использование средств шифрования позволяет обеспечить максимальную безопасность передачи данных. Эта относительно недорогая и простая в реализации технология в последнее время приобретает все более широкую популярность.

Что такое корпоративная локальная сеть и технологии ее построения

Корпоративные компьютерные сети являются неотъемлемой частью современных компаний. С помощью таких сетей можно оперативно и безопасно передавать и получать информацию. Они обеспечивают связь между компьютерами одного предприятия, расположенными в пределах одного здания или географически распределенными.

Существует несколько способов построения подобных сетей. До недавнего времени наибольшей популярностью пользовались системы Local Area Network (LAN), объединяющие ограниченное количество ПК. Они обеспечивают максимальную скорость обмена файлами и абсолютную безопасность информации, так как ее потоки не попадают в общий доступ. Использование структур этого типа является бесплатным. К минусам LAN можно отнести высокую стоимость и невозможность подключения удаленных пользователей.

Достойной альтернативой стали виртуальные сети — Virtual Private Network (VPN), которые строятся поверх глобальных сетей WAN (Wide Area Network), охватывающих большое количество ПК и компьютерных систем по всей планете. К их бесспорным достоинствам относятся простота (а соответственно, и невысокая стоимость) построения, возможность подключения множества абонентов, находящихся в разных концах мира, и безопасность передачи данных.

Именно благодаря гибкости и экономичности, VPN активно вытесняют LAN с рынка. Так, по результатам исследований, проведенным Forrester Research Inc. и Infonetics Research, затраты на использование и обслуживание VPN почти в три раза ниже, чем логистических структур, построенных по технологии LAN.

Преимущества и недостатки VPN

Итак, Virtual Private Network легко масштабируется и является оптимальным вариантом для предприятий, обладающих множеством филиалов, а также для фирм, чьи сотрудники часто бывают в командировках или работают из дома. Подключение нового офиса или нового удаленного сотрудника осуществляется без дополнительных затрат на коммуникации.

Кроме того, первоначальная организация виртуальной системы требует минимум денежных затрат. В дальнейшем финансовые вложения будут сводиться к оплате услуг провайдера Интернета.

Есть у Virtual Private Network и определенные недостатки. Так, фирмам, использующим их, следует позаботиться о безопасности передаваемых данных, потому что документы в процессе передачи проходят через Всемирную сеть, Интернет. Для решения этой задачи используются специальные алгоритмы шифрования данных, позволяющие защитить файлы во время передачи.

Кроме того, в виртуальной структуре скорость обмена файлами заметно ниже, чем в ее частных аналогах. Но для передачи небольших объемов информации этого может быть вполне достаточно.

Согласно сведениям, предоставленным исследовательской организацией Forrester Research Inc., 41% предприятий отдают предпочтение офисным сетям потому, что они позволяют решить проблемы с удаленным доступом, 30% компаний ценят их за экономию денежных средств, а 20% — за существенное упрощение работы.

Архитектура корпоративных сетей: варианты построения VPN

В зависимости от особенностей работы фирмы и ее конкретных задач, Virtual Private Network может быть построена по одной из следующих моделей:

  • Remote Access. В этом случае создается защищенный канал между офисом и удаленным пользователем, подключающимся к ресурсам предприятия с домашнего ПК через Интернет. Подобные системы просты в построении, но менее безопасны, чем их аналоги, они используются предприятиями с большим количеством удаленных сотрудников.
  • Intranet. Такой вариант позволяет объединить несколько филиалов организации. Передача данных осуществляется по открытым каналам. Intranet может использоваться для обычных филиалов компаний и для мобильных офисов. Но следует иметь в виду, что такой способ предусматривает установку серверов во всех подключаемых офисах.
  • Extranet. Доступ к информации предприятия предоставляется клиентам и другим внешним пользователям. При этом их возможности по использованию системы заметно ограничены. Непредназначенные для абонентов файлы надежно защищаются средствами шифрования. Это подходящее решение для фирм, которым необходимо обеспечить своим клиентам доступ к определенным сведениям.
  • Client/Server. Этот вариант позволяет обмениваться данными между несколькими узлами внутри одного сегмента. Он пользуется наибольшей популярностью у организаций, которым необходимо в рамках одной физической сети создать несколько логических (например, отдельные структуры могут быть созданы для финансового отдела, кадровой службы и др.). Для защиты трафика во время разделения используется шифрование.

Пара слов о безопасности

Как мы уже говорили, защита данных предусматривает их шифрование, подтверждение подлинности и контроль доступа. Наиболее популярными алгоритмами кодирования считаются DES, Triple DES и AES.

Читать еще:  Как сделать загрузку в безопасном режиме

Беспрецедентная безопасность обеспечивается специальными протоколами, которые упаковывают данные в единый компонент и формируют соединение (туннель), а также шифруют информацию внутри образованного туннеля. В настоящее время наиболее широко используются следующие наборы протоколов:

  1. PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол, обеспечивающий сохранение подлинности, сжатие и шифрование данных. Корпорация Microsoft предлагает для протокола PPTP использовать метод шифрования MPPE. Кроме того, информацию можно передавать в открытом, незашифрованном виде. Инкапсуляция данных осуществляется путем добавления заголовков GRE и IP.
  2. L2TP (Layer Two Tunneling Protocol) — протокол, разработанный путем объединения протоколов PPTP и L2F. Он обеспечивает более надежную защиту файлов, чем PPTP. Шифрование осуществляется посредством протокола IPSec (IP-security) или 3DES. Максимальную безопасность передачи данных обеспечивает второй вариант, но его использование приводит к снижению скорости соединения и повышению нагрузки на центральный процессор.

Подтверждение подлинности необходимо для того, чтобы информация дошла до адресата в неизмененном виде. Операция выполняется при помощи алгоритмов MD5 и SHA1 и включает проверку целостности документов, а также идентификацию объектов. Идентификация осуществляется как при помощи традиционных операций введения логина и пароля, так и с помощью более надежных средств — сертификатов и серверов для проверки их подлинности.

Что нужно для построения VPN?

Создать сеть, которая будет полностью отвечать потребностям предприятия, могут только профессионалы, поэтому первое, что нужно сделать потенциальному заказчику, — выбрать надежного провайдера и подготовить техническое задание.

В большинстве случаев провайдеры поставляют своим клиентам все необходимое оборудование на срок действия договора оказания услуг. Но по желанию заказчик может приобрести технику самостоятельно. В таком случае ему понадобится стандартное сетевое оборудование, а также специальный шлюз Virtual Private Network Gateway. Этот шлюз нужен для формирования туннелей, защиты данных, контроля трафика, а в определенных случаях — и централизованного управления. Наиболее известными производителями таких шлюзов являются корпорации Assured Digital, Cisco, Intel, Avaya, Red Creek Communications, Net Screen Technologies, 3com, Nokia, Intrusion, Watch Guard Technologies, Sonic Wall, eSoft и др. Стоимость шлюза для малых офисов в среднем составляет 700–2500 долларов.

Использование и управление корпоративной сетью на базе VPN

Сеть в офисе — это простое и удобное решение как для фирм с большим количеством филиалов и удаленных пользователей, так и для компаний, желающих иметь недорогую, легкую в управлении и гибкую систему. Эта технология позволяет добавлять новые структурные элементы, а также существенно увеличивать размеры сетей без серьезного расширения инфраструктуры. Делать это может сам заказчик без привлечения провайдера к решению этих задач. Добавление нового абонента займет всего несколько минут.

Управление такими системами не представляет труда для пользователя, так как большая часть функций администратора в Virtual Private Network автоматизирована. Специалисты провайдера инсталлируют на сервере клиентской фирмы необходимое ПО, а также создают базу субъектов и объектов VPN (для каждого субъекта генерируется ключ шифрования). Затем эта база сохраняется на съемном носителе и передается заказчику.

Пользователю необходимо будет только подключать ключ-карту к компьютеру для идентификации и получения доступа. Если в процессе работы защищенной корпоративной сети возникают какие-либо неполадки, то заказчику следует обратиться к провайдеру, и он решит эти проблемы в срок, оговоренный условиями контракта.

Таким образом, VPN — это решение, актуальное для средних и крупных компаний, имеющих в своем штате специалистов, которые работают удаленно, а также отделения в других городах и странах. Кроме того, подобные системы просто незаменимы для организаций, у которых:

  • часто меняется круг лиц и структурных подразделений, нуждающихся в доступе к конфиденциальным данным (соответственно, необходимо, чтобы структура была достаточно гибкой и легко конфигурируемой);
  • имеются абоненты, которым нужно предоставить доступ к данным различного уровня (сотрудники, клиенты, поставщики);
  • есть необходимость в создании нескольких логических сетей в рамках одной физической структуры (например, если нужно создать собственную систему для каждого подразделения предприятия).

Вы­би­рая про­вай­де­ра для по­стро­е­ния и об­слу­жи­ва­ния кор­по­ра­тив­ной IP VPN-се­ти, важ­но быть уве­рен­ным в ста­биль­ном ка­чест­ве свя­зи, без­опас­нос­ти пе­ре­да­ва­е­мых дан­ных и в ско­рос­ти ре­ше­ния тех или иных тех­ни­чес­ких про­блем. По­жа­луй, это ос­нов­ные тре­бо­ва­ния, к ко­то­рым сле­ду­ет до­ба­вить фак­тор ре­пу­та­ции. По­сколь­ку толь­ко ком­па­нии, ко­то­рым есть что те­рять, по-на­сто­я­ще­му за­бо­тят­ся о сво­их кли­ен­тах.

Чем грозит компаниям массовый перевод сотрудников на удаленную работу

Карантин, помогающий замедлить распространение коронавируса, становится проблемой с точки зрения кибербезопасности. Каналы связи сотрудников, работающих удаленно, всегда были излюбленной мишенью хакеров, а с массовым переходом на такую схему работы эксперты ожидают всплеск атак на корпоративные сети через личные компьютеры. По данным Solar JSOC, количество устройств, доступных по незащищенному протоколу удаленного доступа, выросло в России на 15% и составляет более 76 тыс. А домашние сети выведенных из офисов сотрудников страдают от слабых паролей и устаревшего софта.

Переход сотрудников на удаленную работу приводит к резкому росту рисков для бизнеса в сфере кибербезопасности, отмечают опрошенные “Ъ” эксперты. Посредством установки вредоносных программ на персональные компьютеры, ноутбуки, смартфоны уже совершается около 30% взломов информационных систем компаний, оценивает руководитель направления клиентской безопасности IT-провайдера Selectel Андрей Давид. Атаки на корпоративную сеть через удаленных сотрудников, по данным Positive Technologies, используют как минимум 14% хакерских группировок, атакующих российские компании, и популярность таких атак и без всякого карантина в последние два года только росла.

Кому на карантине жить хорошо

Форс-мажоры вроде пандемии, с которой пришлось столкнуться человечеству в этом году, приносят бизнесу не только разочарование и разорение — при остановке одних экономических секторов неизбежно развиваются другие отрасли рынка, отмечает глава NetApp в России и СНГ Татьяна Бочарникова.

Так, в середине марта аналитики Statista прогнозировали, что под влиянием пандемии выручка бизнес-сегмента «мессенджеры и софт для удаленной работы» вырастет в 2020 году на 44% год к году, он войдет в топ-5 быстрорастущих рынков, среди которых также стриминговые сервисы, сервисы доставки продуктов питания и лекарств, производство гигиенических средств и бытовой химии.

Например, продажи программы для удаленной работы Radmin выросли на 237% за последнюю неделю, подтверждает гендиректор ее разработчика «Фаматек» Дмитрий Зноско. Большинство крупных заказчиков платформы для виртуализации сети VMware планируют расширение инфраструктуры в среднем в два раза, говорит глава представительства VMware в России и СНГ Александр Василенко. В основном интерес наблюдается среди банков и телекома, так как специфика работы позволяет перевести на домашний офис до 65% сотрудников, в том числе отделы маркетинга, HR и колл-центры, отмечает он.

Обороты классических IТ-сервисов тоже растут — на 20–30% в сравнении с обычной ситуацией, отмечает директор департамента инфраструктуры и IT-сервисов Atos в России Сергей Клюев. Выросли продажи и у облачных систем: в «Облакотеке» за последнюю неделю количество заведенных подписок увеличилось на 30%, в «Яндекс.Облаке» зафиксировали рост спроса на такой же уровень в первом квартале по сравнению с четвертым кварталом 2019 года. Спрос растет со стороны компаний в сфере онлайн-торговли и услуг, отмечает директор по развитию бизнеса «Яндекс.Облака» Олег Коверзнев, объясняя это резким ростом нагрузки на онлайн-потребление. Развлекательные сервисы и сервисы дистанционного образования увеличивают объемы инфраструктуры для поддержки растущей аудитории, добавляет он.

В пять-шесть раз по сравнению с «мирным временем» выросло число запросов на проекты по созданию виртуальных рабочих машин, говорит руководитель центра проектирования вычислительных комплексов компании «Инфосистемы Джет» Илья Воронин. В Atos также наблюдают «серьезный скачок спроса» на поддержку пользователей, инфраструктуры и цифровых рабочих мест. В три раза вырос спрос на решения для централизованного управления приложениями и рабочими столами, обеспечения безопасности мобильных приложений и устройств, а также на софт для контроля подключений, отмечают в Softline. Рекордной популярностью пользуются и мобильные рабочие станции, то есть поставка ноутбуков, отмечает гендиректор Oberon Евгений Яшин. Сервис и аутсорсинг стали вторым «горячим направлением», отмечает он: заказчикам необходимы быстрые и недорогие временные руки технических специалистов.

В нынешней обстановке к обычным ключевым направлениям хакерских атак (государственные учреждения, промышленные компании, медицинские учреждения и финансовая сфера) добавятся компании, предоставляющие доступ к медиаконтенту, средства массовой информации и компании, оказывающие услуги доставки, полагает директор практики информационной безопасности компании AT Consulting Тимурбулат Султангалиев. Например, в марте немецкий сервис доставки еды Takeaway стал жертвой DDoS-атаки, за прекращение которой злоумышленники потребовали, впрочем, не слишком крупную сумму в 2 биткойна (около $11 тыс.).

С переходом на карантин киберпреступникам особенно выгодно атаковать сферы гостиничного размещения и ритейла, где хранится большой объем личных данных клиентов, в том числе данные их банковских карт, полагает старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо. Изначальная компрометация данных может происходить из-за недостаточного уровня организации удаленного доступа в случае массового перевода сотрудников на такой тип работы, уверен он.

Партнер EY Николай Самодаев: «Скорость принятия решений и разрешения инцидентов снизилась раза в два»

В зоне повышенного риска также организации, в которых удаленная работа до последних событий не применялась никогда, например, различные государственные организации, научно-исследовательские институты, добавляет директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков, отмечая, что службам информационной безопасности этих компаний придется освоить новые для себя риски в авральном режиме.

Дополнительным источником проблем при переходе на удаленную работу стала сложившаяся до карантина «эпоха экосистем»: теперь уязвимость партнера может превратиться в проблему сразу для всей такой системы, предупреждает партнер EY, руководитель группы услуг по технологическим рискам в СНГ Николай Самодаев. В рамках такой экосистемы партнеры, зачастую выполняющие сугубо нишевые задачи, не всегда могут оперативно выявить и отработать все аспекты уязвимостей и рисков своих организаций, поясняет он. От партнеров, поставщиков и вендоров в целом исходит около 40% всех угроз и нарушений информационной безопасности, сообщается в исследовании Аccenture за февраль 2020 года.

Подключение не защищено

С переходом на карантин компании стали более уязвимы для атак, прежде всего, потому что выросло количество устройств, с которых сотрудники заходят в сеть. Если в обычных условиях каждый сотрудник подключается к корпоративной сети, как правило, с помощью одного устройства — персонального компьютера, то с переходом к удаленной работе число устройств может возрасти, например, до трех — ноутбук, планшет, смартфон, указывает руководитель отдела технологической экспертизы управления информационной безопасности Softline Дмитрий Ковалев.

При этом некоторые механизмы контроля, реализованные в пределах помещения организации, отсутствуют в домашней среде, предупреждает руководитель группы по оказанию услуг в области кибербезопасности и цифровой криминалистики КПМГ в России и СНГ Илья Шаленков. «Безопасность домашней сети ложится на плечи сотрудника: возможно, его домашняя сеть скомпрометирована из-за слабого пароля от Wi-Fi или устаревшего программного обеспечения»,— поясняет он. Часто доступ к личным устройствам защищен слабым паролем, а подключение осуществляется через Wi-Fi, где сохранен заводской пароль, добавляет Тимурбулат Султангалиев.

Читать еще:  Безопасное хранение база данных

Бухгалтеры, инженеры, технологи и даже топ-менеджеры зачастую плохо обучены тому, как защититься от кибератаки, что повышает риск проникновения в локальную сеть, отмечает Алексей Новиков. Недавно в одной из компаний хакеры проникли в корпоративную сеть, так как для управления ею администратор использовала домашний компьютер, не зная, что он заражен вредоносом, рассказал партнер, руководитель практики по оказанию услуг в области кибербезопасности PwC в России Виталий Соколов.

Руководитель направления информационной безопасности КРОК Андрей Заикин: «Для злоумышленников настал «рыбный день»»

С массовым переходом на удаленку рост фишинговых рассылок почти в четыре раза зафиксировали в компаниях «Интернет-розыск» и Infosecurity (входит в Softline). Компрометация корпоративной почты считается одной из самых опасных и результативных с точки зрения выручки для хакеров атак, отмечает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Хакеры, которые получили доступ к электронной почте должностного лица, дальше могут действовать от имени сотрудника: распространять информацию и вредоносные программы, отправлять счета на оплату. В качестве примера господин Дрозд приводит атаку на белорусские медицинские организации, «реализованную, судя по всему, через фишинг»: злоумышленники получили доступ к почте медиков и рассылали с нее информацию о ситуации с эпидемией, содержащую ссылки на вредоносные программы. Ситуационный контекст всегда играет на руку хакерам, предупреждает эксперт. «Не исключено, что после объявления следующей недели нерабочей начнутся рассылки по сотрудникам от якобы коллег, мол, ознакомьтесь с графиком работы, компенсаций и прочего»,— опасается он.

Вероятность успеха фишинг-атак при удаленной работе повышает и тот факт, что в домашнем режиме человек более расслаблен и может потерять бдительность, полагает Дмитрий Ковалев. Кроме того, риски утери конфиденциальных данных повышает и то, что люди забывают мобильные устройства с открытыми корпоративными приложениями в публичных местах, используют устройства в личных целях, передают их родным и близким.

Интранет переходит в интернет

Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета, отмечают эксперты центра мониторинга и реагирования на киберугрозы Solar JSOC. Среди главных причин они называют использование «одного из самых популярных способов подключения к рабочему окружению» — применение удаленных рабочих столов по протоколу RDP, разработанному Microsoft для удаленного управления операционной системой Windows. По данным Solar JSOC, за неделю с 17 по 24 марта количество устройств, доступных из интернета по незащищенному протоколу удаленного доступа, выросло в России на 15% и составляет более 76 тыс. По данным Positive Technologies, число удаленных рабочих столов в России за три недели с конца февраля 2020 года увеличилось на 9% и превысило 112 тыс.

Если IT-служба компании не уделяет должного внимания безопасности удаленного доступа, корпоративный сервер становится крайне уязвимым для злоумышленников, предупреждает руководитель центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» Игорь Залевский. Нередки ситуации, когда удаленный сервер доступен и виден из внешнего интернета, при этом любой желающий может попробовать подключиться к нему. Злоумышленник может обмануть систему идентификации и аутентификации, подобрав пароль, осуществив подмену сертификата или использовав уязвимости RDP, говорит господин Залевский.

Одна из подобных уязвимостей известна как BlueKeep и позволяет злоумышленнику получить полный контроль над компьютером на базе Windows. Сейчас свыше 10% удаленных рабочих столов уязвимы для ошибки безопасности BlueKeep, подсчитали в Positive Technologies. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2. Эксперты рекомендуют компаниям обновить Windows и использовать VPN c двухфакторной аутентификацией для удаленного доступа к рабочему столу. В Positive Technologies предупреждают, что появление каналов удаленного доступа особенно опасно, если дело касается критически важных для бизнеса сетей и систем, таких как технологические сети на производстве и в энергетике, сети управления банкоматами или карточным процессингом в банках, серверы «1C» и конфиденциальный документооборот.

Эксперты предупредили о росте числа атак на банки из-за удаленной работы

Банки начинают переводить сотрудников на удаленный режим работы из-за вспышки коронавируса. Но меры, направленные на защиту сотрудников, несут риски для безопасности информационных систем кредитных организаций, рассказали опрошенные РБК ИT-специалисты. Еще одна проблема — рост нагрузки и нехватка серверных мощностей. Сами банки подчеркивают, что к дистанционной работе подготовились.

О чем предупреждают эксперты

Хакеры могут увеличить число кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети сотрудников, которые работают удаленно, пояснил генеральный директор и основатель Group-IB Илья Сачков: «Целью кибератак станет кража денег или персональных данных». В группе риска не только банки, но и телеком-операторы и ИT-компании.

К росту количества успешных атак на системы процессинга, SWIFT, сети банкоматов и платежные шлюзы могут привести два фактора, отметил Сачков: неправильное подключение компьютеров через VPN к внутренним банковским сервисам, при которой домашний компьютер сотрудника окажется за пределами периметровых средств защиты, а также тот факт, что сотрудники не смогут из дома оперативно и скоординированно реагировать на поступающие угрозы.

Организации, всерьез занимающиеся вопросами безопасности, разрабатывают планы действий в чрезвычайных ситуациях, отмечает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. Они должны подготовить нужное количество защищенных и предварительно настроенных компьютеров, которые в час икс будут выдаваться ключевым сотрудникам для удаленной работы, а также заранее организовать защищенный удаленный доступ к инфраструктуре компании с домашних компьютеров, установив на них специализированные средства защиты. Все подключения к корпоративной сети должны быть зашифрованы, например с использованием VPN-туннелей.

Если эта работа не будет проведена вовремя, удаленный доступ создаст крайне высокий риск самых разных угроз — от заражения инфраструктуры уже известными сетевыми вирусами до хакерских атак, предупредил Кузнецов. «Ключевое слово в обоих случаях — «заранее». Сейчас большинство компаний пытается организовать все то же самое в авральном режиме», — заключил эксперт.

При переходе на удаленный режим к корпоративной инфраструктуре будет подключаться больше потенциально зараженных устройств, отмечает старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо. Необходимо усилить двухфакторную аутентификацию сотрудника при подключении и договориться о правилах работы: «Решаются ли все вопросы в защищенных чатах, как проходят созвоны с коллегами и так далее. Более того, необходимо напомнить коллегам о базовых правилах кибербезопасности: не переходить по ссылкам в письмах от незнакомых людей, использовать надежные пароли».

В 2017 году киберпреступники смогли проникнуть в российский банк, атаковав системного администратора, который заходил на серверы банка с домашнего компьютера, привел пример Сачков. Для такой атаки злоумышленники, например, могут отправить фишинговые рассылки с использованием злободневных тем (новости и распоряжения, касающиеся коронавируса, компенсации, отмены командировок), атаковать RDP (протокол удаленного рабочего стола), скомпрометировать домашнее оборудование — маршрутизаторы или видеокамеры, пояснил он.

Кто из банков отправляет своих сотрудников домой

Сбербанк переводит на дистанционный режим работы часть сотрудников центрального аппарата и территориального банка, включая топ-менеджмент по принципу 50 на 50% (дома и в офисе), рассказал глава банка Герман Греф. У ВТБ вне офиса будет работать значительное число сотрудников, сообщили в пресс-службе банка. Газпромбанк отпустит на удаленный режим около 60% своих сотрудников: первыми начнут работать так те, кто уже дистанционно подключился к банковским системам. Альфа-банк, как отмечает его представитель, в обязательном порядке перевел на удаленную работу сотрудников из групп риска — людей старше 60 лет, беременных женщин и людей с хроническими заболеваниями. Тинькофф Банк постепенно переводит домой сотрудников из штаб-квартиры. МКБ переводит максимально возможное количество сотрудников, исключение составляют те специалисты, которым необходимо физическое присутствие в банке. Росбанк переводит на удаленный режим работы около 50% сотрудников, которые могут выполнять свою работу дистанционно. В «Открытии» отправили работать домой всех сотрудников, должностные обязанности которых могут выполняться дистанционно.

Как готовятся банки

Для обеспечения безопасного и унифицированного доступа из интернета к ИТ-ресурсам в Газпромбанке используются высокопроизводительные межсетевые экраны, терминальные решения с ролевой моделью доступа, а также технология двухфакторной аутентификации пользователей с генераторами одноразовых паролей, рассказал заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков.

Московский кредитный банк (МКБ) изначально планировал удаленный доступ таким образом, чтобы его потенциально мог использовать любой работник банка с любого авторизованного устройства без создания дополнительных существенных рисков, рассказывает директор департамента информационной безопасности МКБ Вячеслав Касимов: «При доступе извне мы даем удаленный рабочий стол, клавиатуру и мышь. Это в сочетании с двухфакторной аутентификацией концептуально позволяет говорить о том, что дополнительные риски не создаются».

Удаленная работа — это повседневная необходимость для многих сотрудников Альфа-банка, поэтому банк обеспечивает безопасность всей инфраструктуры, в том числе и инструментов удаленной работы, а в случае массового перевода сотрудников на удаленную работу новых угроз не возникнет, пояснил представитель кредитной организации. В Тинькофф Банке максимально усилена защита, и все процессы по переводу людей на дистанционную работу строятся так, чтобы не оказывать влияния на безопасность, говорит его представитель.

В Почта Банке также не видят угроз в связи с удаленной работой сотрудников. «У нас используется стандартное безопасное ПО для удаленного доступа. Массовый перевод на удаленную работу не является для нас форс-мажорным обстоятельством как с технологической точки зрения, так и с точки зрения информационной безопасности», — рассказал его представитель.

В ВТБ отметили, что значительное число рядовых сотрудников банка будут работать вне офиса с соблюдением всех необходимых процедур. Удаленные доступы Росбанка соответствуют всем требованиям безопасности, сказал представитель банка. Все необходимые меры по обеспечению безопасности такого доступа уже приняты, рассказал директор департамента информационной безопасности банка «Открытие» Владимир Журавлев: «В связи с массовым переходом сотрудников на удаленную работу повышаются риски несанкционированного доступа к компьютерам, с которых сотрудники осуществляют удаленный доступ. Для минимизации этих рисков используется комплекс решений и мероприятий — терминальный доступ, многофакторная аутентификация, контроль соединений и т.п.». Промсвязьбанк принял «все необходимые меры для обеспечения информационной безопасности и банковских процессов». Остальные крупные банки не ответили на запросы РБК.

Удаленный режим работы может привести не к проблемам с информационной защитой банка, а к недостатку серверных мощностей, которые должны обеспечивать бесперебойную работу банковской инфраструктуры в режиме удаленного доступа, рассказал РБК собеседник в одном из банков. По его словам, сейчас некоторые банки вынуждены оперативно их наращивать.

Сбербанк до конца текущей недели увеличит мощности в 2,5 раза — в связи с большим количеством дистанционной работы нагрузки на системы банка выросли примерно в 4,5 раза, но при этом не дали сбой, рассказал во время онлайн-конференции глава Сбербанка Герман Греф. Ряд банков, опрошенных РБК, сообщили, что уже закупили дополнительные мощности либо нарастят их в связи с переходом на дистанционный режим.

Ссылка на основную публикацию
Adblock
detector