Сергей Кривошеин в обзоре itWeek «COVID-19: как обеспечить безопасность удаленной работы»
Преимущества удаленной работы давно осознаны как бизнес-руководством, так и практикующими ее рядовыми сотрудниками. В связи с пандемией COVID-19 востребованность удаленки выросла в разы. Злоумышленники тоже стали концентрировать свои усилия на атаках удаленного доступа, облачных услуг для совместной работы, веб-конференций, телефонии. Как выбрать оптимальный набор технологий для оперативного налаживания удаленной работы? Как построить защиту этих технологий? На эти и другие вопросы в обзоре itWeek ответил Сергей Кривошеин, директор центра разработки и оказания сервисов Angara Professional Assistance.
Сергей Кривошеин рекомендует особое внимание обращать на обеспечение безопасности пользовательских мобильных устройств, именно они с большей вероятностью могут быть похищены, подключены к общедоступным сетям и использованы третьими лицами (членами семьи, например).
«Защита таких устройств, — считает он, — должна включать обязательные проверки соблюдения локальных требований безопасности (наличие антивируса и актуальность его баз, наличие закрывающих критические уязвимости патчей ПО, отсутствие нежелательного ПО и др.), шифрование данных, передаваемых и хранимых на устройстве (причем с возможностью расшифровки только при успешном подключении к управляющему центру), использование многофакторной аутентификации, проксирование доступа к ИС и в Интернет и т. п.».
Описанные выше меры требуют согласия владельцев устройств на внесение в них определенных изменений и ограничения использования, что не всегда возможно. В этом случае качественную безопасность мобильных средств доступа Сергей Кривошеин рекомендует отстраивать классическими методами: использовать защищенный канал VPN с многофакторной аутентификацией, изолировать критичные бизнес-приложения (проксированием, размещением в демилитаризованной зоне и т. п.), защищать веб-приложения (используя WAF), контролировать доступ администраторов, использовать системы защиты данных от передачи третьим лицам (IRM/DRM) и системы предотвращения утечек (DLP). Обязательным для точек подключения при удаленном доступе он считает использование систем и сервисов защиты от отказов в обслуживании (защиту от DDOS\DOS, защиту серверов DNS, использование балансировщиков).
«Удаленная работа противопоказана в закрытых изолированных сегментах сетей (технологические промышленные сети, энергетика и т. п.), а также в сегментах обработки и хранения данных с грифом гостайны», — говорит Сергей Кривошеин.
Оценку и контроль обеспечения ИБ Сергей Кривошеин считает самым сложным вопросом в корпоративной жизни, тем более при переходе на удаленную работу. В налаживании контроля состояния ИБ, по его мнению, можно пойти по пути исполнения требований различных стандартов и рекомендаций и ограничиться периодической проверкой их соблюдения (аудитами). Однако все больше компаний сегодня переходят на оперативный контроль, требующий оперативных данных, которые может собрать только центр мониторинга и реагирования на ИБ-инциденты (SOC). SOC должен помогать контролировать критичные бизнес-процессы, оценивать влияние на них поддерживающих бизнес-процессов (а удаленный доступ — это именно поддерживающий процесс), оценивать угрозы, каналы их реализации, риски, возможный ущерб. На основе получаемых в SOC данных вырабатываются метрики контроля.
SOC — это мощно и современно. Однако такую систему контроля ИБ, по мнению Сергея Кривошеина, построить сложно, поэтому в большинстве случаев компании используют интегральную оценку безопасности по отделам/процессам/системам, которая вычисляется на основе контролируемых в онлайне показателей: состоянии ИС и средств защиты информации, количестве инцидентов и их критичности, наличии уязвимостей. Какие из этих показателей включать, с каким весом и как рассчитывать диапазоны (хорошо/средне/плохо), каждая компания решает самостоятельно, обосновывая свое решение, с одной стороны, степенью влияния параметров на бизнес, а с другой — сложностью измерений параметров.
Источник: itWeek