«Если вы не являетесь клиентом, вы — продукт» — это высказывание справедливо и для бесплатных услуг Wi-Fi. Стоимость конфиденциальности и безопасности по сравнению с бесплатным интернетом слишком высока для современного бизнеса. Поэтому мы рекомендуем компаниям предоставлять удаленным работникам возможность подключения через надежного и подотчетного провайдера, а не через сомнительных операторов, чьи мотивы трудно выяснить.
Нулевое доверие
Нулевое доверие — это новая парадигма безопасности, в которой все сети считаются одинаково ненадежными, когда нет внутреннего или внешнего пространства и, следовательно, необходимо обеспечить безопасность на конечном устройстве и на сервере, не прибегая к VPN. Идеологии нулевого доверия в своей стратегии придерживаются такие ведущие компании, как Google. Мы также рекомендуем ее нашим клиентам, но заодно советуем заручиться набором технологий и подходов, которые помогут предотвратить проникновение злоумышленников в корпоративную сеть, если сотрудник все-таки подключился к открытому Wi-Fi.
Типы открытого Wi-Fi
Легитимная точка с captive portal
Это может быть легитимная точка доступа, которая при подключении отправляет на страницу авторизации. Пройдя авторизацию, устройство получает вход в интернет. Captive portal после прохождения авторизации добавляет адрес подключенного устройства в access-лист фаервола, который разрешает выход в интернет.
Некорректно настроенная частная сеть
Частная домашняя сеть настроена некорректным образом. Если к такой сети подключен зараженный компьютер, то он может негативно влиять на другие устройства. Например, пытаться загрузить вредоносный софт на нового члена сети. Есть шанс получить вредоносное ПО на свой компьютер, просто подключившись к сети. Если это корпоративное устройство с VPN, то по VPN-туннелю офисная сеть также будет уязвима для проникновения.
Фишинговые точки
Фишинговые точки собирают учетные данные пользователей. Это так называемая «атака посредника» MITM. Фишинговая точка может выглядеть как обычная легитимная точка, в том числе и с Captive portal. Она дает доступ в интернет и выполняет роль некого прокси. Весь проходящий через нее трафик будет перехватываться (анализироваться). Злоумышленник будет искать полезную информацию для доступа к корпоративной сети.
Какие угрозы «раздает» открытый Wi-Fi
Сбор учетных данных с использованием поддельного веб-сайта
Как только злоумышленник берет под контроль DNS и маршрутизацию, он может выдать пользователю поддельную страницу входа на корпоративные ресурсы, такие как Office 365, чтобы собрать учетные данные.
Захват хэшей Windows через Responder
Так называемые Responder-атаки связаны с обманом систем Windows через подключение к поддельной службе Windows, которая запрашивает аутентификацию и затем захватывает хэш пароля. Это позволяет атаковать ресурсы в Active Directory.
Использование браузера в качестве туннельного прокси
Взяв под контроль DNS и маршрутизацию, злоумышленник может внести код JavaScript на другие легитимные веб-сайты для дистанционного управления компьютером жертвы. Например, используя его в качестве контрольной точки для направления трафика в корпоративную сеть.
Использование IPv6 для взаимодействия с хостом
Большинство корпоративных VPN-технологий предназначены для защиты IPv4-трафика, но многие конечные точки теперь также используют стеки IPv6, которые могут быть применены для обмена данными в локальной сети и в интернете. Если VPN не контролирует IPv6, то у злоумышленника будет канал доступа к компьютеру.
Как защититься от таких угроз – советы для сотрудников ИБ
Рекомендуйте сотрудникам использовать мобильный телефон для выхода в интернет
Это универсальный и самый простой способ, когда пользователь сам включает режим модема, установив сложный пароль на подключение.
Применяйте ПО для защиты
Правильно настраивайте брандмауэры локальных хостов, отключайте неиспользуемые протоколы, своевременно обновляйте сигнатуры антивирусного ПО и устанавливайте обновления безопасности для ОС.
Используйте принудительный туннель
Избегайте использования раздельного Split tunnel туннелирования в конфигурации VPN — это когда часть трафика идет по защищенному каналу, а другая отправляется сразу в интернет. Вместо этого лучше весь трафик проводить по VPN-туннелю, чтобы трафик контролировался корпоративными системами безопасности.
Введите принудительное использование DNS-сервера
Используйте свою конфигурацию VPN для принудительного использования внутреннего DNS-сервера под вашим контролем и для жесткого кодирования суффикса поиска домена DNS.
Проверяйте внутренние системы
Убедитесь, что все внутренние системы, web-порталы, к которым ваши пользователи имеют доступ, используют полные имена хостов FQDN (Fully Qualified Domain Name). Например, последовательно используйте ocd-src-server.ocd.local, а не только ocd-src-server.
Специалисты по кибербезопасности Orange Business Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.