Сегодняшний наш разговор пойдет о кибербезопасности в условиях пандемии. Для многих компаний удаленная работа — это не что-то необычное. Каждый с этим так или иначе сталкивался, но никогда этого не было в таком масштабе, как сейчас. Поэтому сотрудникам IT и информационной безопасности следует сместить фокус своего внимания с корпоративной сети на удаленных пользователей. Ведь, по сути, уязвимости остались все те же, но периметр, который используют злоумышленники, значительно расширился.
Юлия Бибишева, Автор подкаста
Слушать подкаст
Редактор рассылки
Расшифровка подкаста
О том, что делать, чтобы избежать ущерба, расскажет Андрей Прошин, менеджер по развитию бизнеса Orange Business.
Какие основные тренды, что мы видим, что заказчики видят и вообще, любые компании, любые исследователи в этой области? Это то, что активизировались различные вредоносные ПО, и активно используются фишинговые рассылки, по той причине, что пользователи, сотрудники, находятся в более стрессовой ситуации, между личной жизнью, какими-то домашними делами, рабочей жизнью. Соответственно, все это вместе сваливается, и человек уже менее тщательно фильтрует, что приходит по почте, и может открыть сообщение, которое раньше он бы и не открыл даже, и заразиться каким-то вирусом-шифровальщиком, вредоносным ПО и так далее. Второе — это то, что достаточно большая дезинформация идет, и тоже это сказывается на стрессе, на людях и их отношении к вопросам безопасности. Поэтому тоже очень внимательно нужно относиться к тому, что люди читают, какие новости, какие ресурсы, как эту информацию воспринимают. Проверяйте факты, чтобы не поддаваться какой-то панике и ценные выводы из этого делать. Третье — это то, что активизировались атаки именно на удаленных пользователей, потому что во всей этой цепочке работы компании самым уязвимым местом стали удаленные сотрудники. Потому что опять-таки в спешке, либо для того, чтобы вообще обеспечить хоть какую-то работу, пренебрегая правилами безопасности, компании внедряют различные решения удаленного доступа, оставляя безопасность на втором плане или на дальнейший этап, не применяя ее, как хотелось.
Следующий момент — это то, что опять-таки при недостатке нагрузки и своих мощностей есть некий тренд перехода в облако, и на этот период запрашиваются какие-то дополнительные вычислительные ресурсы облачных провайдеров, то есть, это тоже дополнительное размытие периметра сети до защищаемого и контролируемого. Многие магазины, ритейл, да вообще бизнес переходят в онлайн-формат, потому что у оффлайн изменился, и сейчас нельзя так встречаться с людьми часто, как хотелось бы. Поэтому все ищут варианты онлайн-взаимодействия. Где-то открывают дополнительные возможности для злоумышленников использовать различные онлайн-инструменты, SaaS-сервисы, программное обеспечение для того, чтобы находить новые вектора атак. В целом IT и команды безопасности перегружены вот этой работой по смене общей концепции работы сотрудников — раньше все работали в офисе, все прогнозируемо и понятно, нагрузка на IT и helpdesk тоже понятна. Сейчас все менее просто, потому что уже появляются какие-то собственные интернет-каналы у каждого пользователя, какие-то проблемы в сети, нужно на это отреагировать и посвящать этому достаточно много времени. А, соответственно, на проблемы безопасности какие-то может уже не хватать времени и ресурсов для их обработки, либо они могут просто в общем потоке теряться. Также это связано со сложностью работы SIEM’ов, SOC’ов и других систем мониторинга информационной безопасности, потому что все поменялось, пользователь теперь вынесен за периметр, нужно дополнительно за этим следить, настраивать новые правила, новые источники событий подключать и смещать фокус специалистов, экспертов и аналитиков Security Operation Center на другие вещи. Это основные тренды.
Что теперь с точки зрения угроз? Как изменились угрозы? Как я уже говорил, пользователи стали более уязвимы к фишингу. Особый интерес, конечно, вызывают рассылки по вирусу любые: сообщения мэра, сообщения с каких-то сайтов, которые изобрели там новую вакцину — откройте ссылку, откройте ссылку-вложение и так далее. То есть пользователь если раньше меньше на все это реагировал и критически больше подходил к анализу пришедшего сообщения, то сейчас это сложнее, и процент людей, которые на это реагируют, стал больше. Что тем самым повышает риски для команд безопасности заражения вредоносным ПО корпоративной сети и сервисов. Вторая угроза, которая усилилась, это то, что IT и безопасность в целом теряют или меньше получают контроль и visibility за IT-системами, с которыми работают пользователи. А в частности, рабочие места. Сотрудники не всегда могут работать с корпоративных ноутбуков, не у всех они, допустим, есть, или не у всех они настроены, но при этом пользователь должен работать удаленно. И ему разрешается взаимодействовать с корпоративной сетью с персонального устройства, которое подвержено вирусам, не контролируется совершенно IT и ИБ-командой, и, более того, с точки зрения privacy не совсем верно собирать какие-то логи или какую-то детальную информацию из того, что делает пользователь с личного ноутбука. Тем не менее, корпоративные данные там есть, вход с этих устройств в корпоративную сеть тоже есть, что достаточно плохо. Соответственно, это связано с тем, что пользователь подключается с домашних устройств, которые более уязвимы, чем корпоративные, там меньше средств безопасности стоит. Возможно — и по нашему опыту так и происходит — что многие компании спешили с масштабированием, либо реализацией удаленного доступа, и вопросы безопасности отложили, ну и в принципе не только команда IT, ИБ и helpdesk у заказчика напряжены текущей работой, но еще и все остальные: это интеграторы, провайдеры, вендоры тоже в принципе работают в таком авральном режиме. Поэтому нужно все это учитывать, знать, к кому обратиться, чтобы не поддаваться панике, и постепенно реализовывать какие-то средства кибербезопасности, и снижать тем самым риски для вашей компании.
Какие рекомендации можно дать в такой ситуации? Самое главное сейчас — это не паниковать. В первую очередь нужно думать о безопасности и здоровье людей, сотрудников. Поэтому не стоит заставлять всех приезжать в офис. Для этого нужно быть максимально гибкими с точки зрения обеспечения комфортной и безопасной удаленной работы. Однако, именно людям, ответственным за кибербезопасность, не стоит пренебрегать теми мерами, которые именно для обеспечения ИБ применяются. Мы рекомендуем проанализировать, что же изменилось в IT-системах. То есть появилась какая-то абсолютно новая система или вид доступа, или просто произошла модернизация до умощнения какой-то текущей схемы. И в обоих случаях иметь какой-то четкий, поэтапный, логичный структурированный план реализации защитных мер кибербезопасности. И особенно стоит отметить, что эти меры могут быть не только техническими, но и организационными, и даже скорее не могут, а должны быть именно такими. Но вернемся к техническим мерам. Сейчас достаточно хорошая ситуация сложилась, что большинство вендоров предлагают свои решения, виртуальные и бесплатные, для того, чтобы помочь компаниям реализовать безопасный удаленный доступ и вообще работу сотрудников. Это позволит вам реализовать временную схему для удаленного доступа, а может быть потом перевести ее в постоянную. Конечно, для этого требуются некие вычислительные ресурсы с вашей стороны и специалисты, которые могут быть заняты какими-то текущими задачами, либо не обладать достаточной экспертизой именно для внедрения и проектирования именно этой системы. И вот если такие проблемы есть с вашей стороны, то обращайтесь, пожалуйста, к нам. Мы готовы с этим помочь, и более того, сейчас заказываем такого рода поддержку как нашим текущим клиентам, так и другим компаниям, которые с похожими вопросами обращаются. Такие решения, эти технические меры, могут в себя включать вообще достаточно большой набор технологий, например, второй фактор аутентификации, для того, чтобы снизить риски утечки корпоративных учетных данных и паролей, логинов этого и так далее. Это и защищенный программный агент на компьютер, это песочница для анализа вредоносного программного обеспечения, какие-то дополнительные системы фильтрации, курсы и тренинги для сотрудников и так далее. То есть, достаточно большой набор различных мер информационной безопасности. И, как часто бывает, не обязательно их применять все вместе. То есть, для каждой ситуации требуется свое решение. Поэтому, пожалуйста, обращайтесь, мы готовы с этим помочь и обезопасить тот удаленный доступ для сотрудников, который у вас есть. Второй момент — это, естественно, быть готовыми к какому-то инциденту. Угрозы возросли, компании не до конца к этому готовы, поэтому нужно иметь план, когда в случае наступления какого-то события, инцидента кибербезопасности, что компания будет делать в этом случае. Business continuity называется, это Disaster recovery plan. Для этого нужно делать в том числе бэкапы, иметь какие-то более-менее актуальные данные для быстрого восстановления тех или иных затронутых инцидентом IT-систем. Третья рекомендация, о которой тоже нельзя забывать, это то, что сотрудники часто достаточно беззащитны и не понимают, что же им в случае удаленной работы делать. Соответственно, ИБ-команде необходимо провести дополнительное обучение. Это может быть как онлайн-тренинг, так и просто материалы или рассылки, но дать пользователям, сотрудникам компании какую-то информацию о том, что делать можно и что делать нельзя.
Ну и давайте затронем тему мониторинга информационной безопасности. Это как раз SIEM, Security Operation Center. Как я уже говорил ранее, использование персональных устройств для организации удаленного доступа или вообще организации новых видов доступа приводит к тому, что SOC теряет контроль и видимость, visibility того, что происходит в том числе на рабочих станциях пользователей. Это достаточно плохо с точки зрения того, что SOC не выполняет две свои основные функции: это время на детектирование инцидента и время реагирования на него. Какие рекомендации тут можно дать? Самая простая, наверное, это организовать горячую линию для того, чтобы связать сотрудников, которые обнаружили аномальную активность у себя, со специалистами SOC, которые смогут вовремя это взять в работу, помочь сотруднику и снизить последствия от этого потенциального инцидента кибербезопасности. Вместе с тренингом по повышению осведомленности сотрудников, когда ему объясняется, что подозрительно, что плохо, в каких случаях и кого нужно уведомлять, это поможет Security Operation Center в реактивном режиме обрабатывать те сообщения о потенциальных инцидентах, которые видят сами пользователи. Ну и вторая рекомендация все-таки классическая — нужно перефокусировать SOC, SIEM и другие системы на работу именно с новой системой удаленного доступа, с новыми источниками событий и создание этой в этой системе, SIEM, новых правил корреляции, которые будут определять аномальное поведение и подозрительную активность, которые есть со стороны удаленных пользователей. Это уже, естественно, сложнее и занимает больше времени. Экспертизу нужно иметь соответствующую у сотрудников, то есть некоторое время пройдет, прежде чем аналитики SOC некоего уровня здесь достигнут. Но, тем не менее, эту работу нужно начинать уже сейчас. Это может быть разными способами реализовано, на базе, как я сказал, новых правил корреляции в текущий SIEM-системе, либо внедрения дополнительных новых систем, которые позволяют такого рода аномальную подозрительную активность со стороны пользователей определять. Например, это механизмы UBA, которые часто есть как дополнительная опция к SIEM, то есть это определение аномальной работы пользователя, либо это системы типа NTA (Network traffic analysis), как пример, Cisco Stealthwatch. Большая часть этих механизмов и систем опять-таки предоставляются по бесплатной модели, по триальным лицензиям, можно это проверить и посмотреть, как это будет работать в этот кризисный период. Но, еще раз отмечу, что у нас уже на эту тему накоплен большой опыт по реализации такого рода сценариев, поэтому, пожалуйста, обращайтесь к нашей команде, мы тоже, естественно, готовы помочь и не оставить вас с этой проблемой один на один.
Юлия Бибишева:
Возможно, сотрудники вашей компании, которые сейчас работают удаленно, не вполне осознают опасность некоторых своих действий. Поэтому лучше лишний раз обратить их внимание на то, как они пользуются своими удаленными устройствами, что можно делать и чего нельзя
Начальник отдела информационной безопасности Orange Business Алексей поделится неочевидными советами для сотрудников, работающих на удаленке.
Если мы рассматриваем корпоративную среду, то сотрудник с корпоративным ноутбуком, покинув офис, в принципе остается в периметре сети. Он имеет VPN-подключение, все политики безопасности, имеет актуальный антивирус и все, что ему остается — это найти любой, абсолютно практически любой интернет и построить VPN в офисную сетку. Дальше у него права административные отобраны, как правило, у него софт предустановленный и проверенный с точки зрения администрирования и политики безопасности корпорации. И дальше вступают в силу какие-то вещи, типа того же самого фишинга, когда уже корпорация помочь не может человеку, максимум помочь ему советом, как не попасться на удочку, не выполнить цепочку неверных действий. На мой взгляд, работая дома, первое — это такая больше бытовая особенность, работая дома, казалось бы, что посторонних людей тут нет, но, если есть маленькие дети, то компьютер лучше блокировать, отходя чаю попить и когда перерыв делаешь. Потому что маленькие дети могут подойти и понажимать какие-то кнопки, и иногда получается так, что нажатие двух-трех кнопок приводит к каким-то вообще фатальным последствиям. Бывают такие случаи. Это смешная такая рекомендация — блокировать компьютер, отходя от него даже дома.
Фишинг всегда присутствует: и в офисе и дома ничего не меняется, просто нужно соблюдать меры предосторожности. Если в офисе коллеги могут как-то сориентировать, что вот, мне тут пришла фишинговая рассылка, будь аккуратен, то дома ты один, ты сам видишь свою почту, и такой подсказки от коллеги не будет, если это какая-то таргетированная атака именно по домену. Например, еще тоже такой бытовой вопрос: многие дома используют торрент-качалки всякие, скачивают фильмы. Хоть это и запрещено, и все говорят, что «я этого не делаю», но, как правило, дома у большинства людей стоят всякие трекеры, которые скачивают фильмы. Получить вредонос через торрент довольно просто. И если происходит скачивание, как правило, не на корпоративном ноутбуке, потому что такие вещи администратор отслеживает даже удаленно, то на каких-то других устройствах сетевых — у кого-то это WI-FI-роутер домашний, у кого-то это вторые компьютеры личные — то, скачивая через торренты всевозможное ПО, можно получить вредонос, который будет распространяться по домашней сети ровно так же, как он мог бы быть распространен по офисной. Только если в офисной есть всевозможные сканеры, системы предотвращения вторжения и прочее, там эти вещи быстро будут отловлены, то в домашних реалиях, как правило, внутренняя сеть — открытая сеть, и компьютеры не настраиваются домашние с точки зрения безопасности никак, некоторые даже не имеют паролей. Поэтому, получив вредонос на один из хостов дома, можно подвергнуть угрозе практически все хосты: телефоны на Android те же самые, телевизоры Smart-TV, и в том числе корпоративные компьютеры, которые включены в сеть. Поэтому рекомендация — проверять качество работы файерволов на офисных компьютерах, спрашивать об этом системных администраторов, на всякий случай напоминая им, что ты заботишься о своей безопасности. Никогда не доверять домашней сети так же, как офисной. И файервол всегда переводить, если есть такая возможность, если системы спрашивают, какая это сеть, всегда выбирать, что это не приватная сетка, не доменная, а публичная. В этом случае файервол будет все входящие подключения блокировать. Это связано с тем, что если используются торрент-качалки, риск получения вредоноса довольно высок. Я, например, не использую. Но я, может быть, другой контингент, но тем не менее торрент-качалки я не использую. Потому что я часто вижу... Как это, если спросить у врача, много ли больных сейчас, он скажет, что их очень много, потому что все больные приходят именно к нему. И то же самое у меня: если спросить, сколько сейчас через торренты получают вредоносы, я скажу, что очень часто, потому что я это часто вижу. По сравнению с обычным пользователем.
Есть еще такая рекомендация, несколько более техническая. Есть роутеры домашние, они имеют кнопку такую — WPS, она позволяет подключить к роутеру любое устройство, не вводя пин-код. То есть, от провайдера из коридора пришел провод, включился в коробку WI-FI, на коробке лампочки мигают, и сзади написано WPS. Эта кнопочка позволяет подключить любой компьютер, любой телефон, не вводя пароль на WI-FI-сетку, а путем нажатия этой кнопки и ответа «да» на телефоне, который собирается подключиться. Это, на самом деле, большая уязвимость, потому что существует довольно много в открытом виде распространяемого ПО, которое позволяет эксплуатировать данную уязвимость довольно легко. К чему она приводит: практически любой комп можно подключить к любому домашнему роутеру соседскому и получить доступ в его сеть внутреннюю. Кнопка — это для пользователя, но обратная сторона этой кнопки — это уязвимость в протоколе. И, соответственно, эту уязвимость можно проэксплуатировать. Поэтому рекомендация такая, что если вы являетесь владельцем устройства, у которого есть кнопка WPS — лучше войти в роутер и программно отключить эту функцию. То есть, лучше всегда использовать ввод обычного пароля для подключения к собственной домашней WI-FI-сети. Если человек в состоянии войти в интерфейс своего домашнего роутера и найти этот раздел подключения WPS, то зайти и выключить один раз и навсегда.
Наверно, не ставить все подряд расширения браузеров. Всякие там погоды, курсы валют, потому что, как правило, все эти расширения браузеров выполняют узкую функцию, пишутся для той или иной конкретной задачи, и никто не тестирует их на уязвимости. И очень много есть случаев, когда атаки на компы происходят через эти надстройки так называемые. Человек может стать с помощью этой настройки частью бот-нет сети. Бот-нет сеть: можно представить себе, что в Москве живет 20 миллионов человек, у них условно 15 миллионов компьютеров, из них 5 миллионов не имеют антивируса и пользуются торрентами и прочими довольно небезопасными ресурсами, и они получают вместе с торрентами всевозможное вредоносное ПО, которое устанавливается на компьютеры, как и любая другая программа, но она не видна в списке программ установленных. Программа устанавливается и никакого вреда как такового компьютеру не наносит. Она просто стоит, но, как только она установилась, она выходит на связь со своим управляющим центром. Она бросает свой keep alive о том, что я встала на хост, все хорошо, я готова. И уходит в спящий режим. И какой-нибудь человек, например, заказывает DDoS-атаку на какой-нибудь банк. И в один момент времени с 5 миллионов хостов по команде бот-нет сети просыпаются и начинают пинговать один ресурс. Ну, я простейшую атаку рассказываю. Они просыпаются и начинают отправлять кучу больших и маленьких пакетов на один и тот же адрес в сети. Это называется DDoS-атака. И ресурс, на который отправлены все эти пинги, соответственно, по протоколу он должен всем ответить. И все ресурсы будут потрачены на то, что будут ответы этим 5 миллионам устройств, вместо того, чтобы заниматься обслуживанием и расследованием, нормальной работой с легитимным трафиком. Но в корпоративной среде компьютеры по определенным косвенным признакам можно выявить, что на хосты садятся эти бот-неты, и их можно отлавливать. Это довольно сложная процедура, но все контролируемо в корпоративной среде. У нас, например, система такая стоит, называется Arbor. Для клиентов, которые покупают защиту от DDoS, у нас есть система, которая позволяет этот трафик быстро определить. А какой тип атаки, например, бывает по функции времени, по пингу — там разные типы трафика могут быть задействованы в этой атаке, соответственно, нужно быстро определить, что за атака, отфильтровать этот тип трафика. Может быть, так и легитимные сервисы пострадают, но, тем не менее, какой-нибудь https-сайт будет работать, просто не на таком большом канале, на котором он был заявлен, например, гигабит — у него останется 100 мегабит, но при этом он хоть как-то будет работать. Вот так работает DDoS и анти-DDoS.
Фишинг, я говорил, если можно было в офисе у коллеги спросить, если таргетированная атака по домену идет, рассылка, сосед увидит, прочитает, а дома ты сам по себе, ты один. Можешь, конечно, по скайпу написать, но, как правило, все равно ты один остаешься с этим. Сейчас многие используют тот же самый Zoom и прочие площадки такие, облачные сервисы, позволяющие вести командную работу, всякие Trello и прочие. Корпоративная среда не может запретить жестко пользователю, тем более когда сплит-туннель используется, когда все частные корпоративные сети заворачиваются в VPN, а интернет остается домашнего провайдера, использование подобных площадок отследить довольно сложно, а завернуть именно полный трафик в офисную сеть — это довольно накладно в плане производительности железа, то использование всевозможных Zoom и прочих сервисов возможно только с большими допущениями, чтобы не обсуждать никакие корпоративные, никакие чувствительные вещи в этих чатах. Потому что что можно требовать от бесплатного облачного сервиса? Ничего.
Юлия Бибишева:
Что ж, соблюдать перечень правил для обеспечения безопасности вашей компании — нет так уж и сложно. Мы все живем в меняющихся условиях и привыкаем делать какие-то полезные вещи, заводим полезные привычки. Пусть это касается и кибербезопасности. Лучше лишний раз перестраховаться. Если у вас будут вопросы по поводу того, как наилучшим образом обеспечить безопасность для вашей компании — обращайтесь к нам. Отвечайте на рассылку, пишите в комментариях YouTube, подписывайтесь на наш канал. Мы обязательно ответим на все ваши вопросы. Оставайтесь с нами.
Читать
Автор клиентской рассылки и подкастов, редактор сайта Orange Business Russia. Пишу о человечных технологиях: о решениях, помогающих бизнесу, глазами специалистов и клиентов Orange. Если у вас возникли вопросы или вы хотите узнать подробнее об услугах Orange, пишите на yuliya.bibisheva@orange.com.