Архитектура удаленного доступа

 Как сделать ее безопасной

Денис Батранков, эксперт по информационной безопасности

С переходом почти всего офиса на удаленную работу, стало важно оценить, как реализована архитектура безопасности. Компании решили эту задачу  по-разному и до сих пор идет разбор полетов, как можно  было сделать лучше и, может быть, как еще не поздно переделать.

Любой домашний компьютер нужно рассматривать сразу как зараженный, потому что домашние пользователи никак не защищаются, и шансов остаться «чистыми» в такой агрессивной среде, как современный Интернет, у них нет. Домашние антивирусы помогают, но хакеры научились их обходить. Поэтому, если вы разрешаете своим сотрудникам посещать корпоративную сеть с персонального компьютера, то рассмотрите такие риски:

• хакер заходит одновременно с сотрудником в корпоративную сеть и получает те же доступы к ресурсам, что и сотрудник, потому что он контролирует все: клавиатуру и соответственно пароли, экран и конфиденциальную информацию, микрофон, разговоры, файлы, картинки и их содержимое;
• хакер может использовать логин и пароль сотрудника для доступа к другим ресурсам самостоятельно, например, он может поставить такой же VPN клиент и зайти с тем же логином и паролем;
• хакер может заразить других сотрудников или выведать нужную информацию, например, направив письмо с вредоносным кодом от имени текущего сотрудника;
• компьютер могут просто украсть, а на нем обрабатываются порой конфиденциальные документы;
• сотрудник, в свою очередь, без присмотра невольно или намеренно может украсть или уничтожить данные.

Как грамотно организовать архитектуру удаленного доступа, чтобы избежать вышеперечисленных рисков?

1. Важно выдать корпоративный ноутбук или настольный компьютер. Только операционная система, установленная с нуля вашей техподдержкой, может гарантировать, что нет начального заражения вредоносным кодом.
2. Важно проконтролировать, чтобы корпоративный компьютер дома не был заражен, ведь сотрудник все-равно выходит в интернет по личным делам и может заразиться. Для этого есть множество средств хостовой защиты корпоративного уровня, с централизованным управлением: EDR или еще лучше XDR, шифрование дисков (например, встроенное в операционную систему), обновление операционной системы и приложений (например, tanium) и так далее.
3. Также средства защиты корпоративного уровня можно установить на домашний компьютер, но их эффективность, в случае если они уже содержат руткит или троян, может быть сильно снижена. Тут вопрос, кто кого: средство защиты вредоносный код или наоборот. Средства защиты типа Cortex XDR выявляют вредоносный код по поведению и по событиям в журналах корпоративного межсетевого экрана и шансов скрыться в сетевом трафике у вредоносного кода мало.
4. Есть типовая ошибка — выдать доступ к внутренним ресурсам напрямую: OWA, RDP, SSH. Эти сервисы сразу попадают в разработку, их сканируют и стартуют процесс перебора паролей. Всегда нужно делать подключение по VPN сначала, чтобы организовать защищенный канал передачи данных. Данные, передаваемые в открытом виде через точку доступа WiFi, могут быть просмотрены, изменены и в них может быть добавлен вредоносный контент.
5. Важно подключать сотрудника по VPN не сразу в сеть, а через современный межсетевой экран нового поколения (NGFW). В чем тут преимущества: вы не даете просто «доступ внутрь компании» — вы заставляете ходить в сеть через набор фильтров, такие как URL фильтрация, контроль приложений, контроль типов передаваемых файлов, контроль антивирусный, контроль системой предотвращения атак, контроль по индикаторам Threat Intelligence. Сам VPN шлюз обычно также реализуется на самом NGFW, что упрощает управление: одно устройство реализует всю защиту. Лидером на рынке NGFW является Palo Alto Networks.
6. Важно использовать не обычный VPN клиент, а клиент с проверками софта, установленного на устройстве сотрудника. Это означает, что когда сотрудник подключается к вашему NGFW, то клиент VPN передает информацию об установленных средствах защиты на домашней рабочей станции. У Cisco этот механизм называется Posture, у Palo Alto Networks это функция Host Information Profile. После того как NGFW проверил, что у сотрудника есть персональный firewall, включен и работает и обновлен антивирус, работает DLP локально и другие нужные компании хостовые службы, то сотрудник получает доступ в сеть. Если какой-то из нужных служб нет, то сотрудник получает оповещение, как это установить и попадает сначала в мене секретную зону безопасности компании. Самым популярным VPN клиентом во время коронавируса стал GlobalProtect.
7. Иногда компании используют средства для управления мобильными устройствами класса Mobile Device Management, эти продукты дополняют VPN и даже могут установить его на все компьютеры и смартфоны сотрудников. Лидером на рынке MDM сейчас является VMware AirWatch.
8. Нужно реализовать механизм двухфакторной аутентификации. Поскольку пароль можно украсть, то нужно, чтобы сотрудник подтверждал свой ход на VPN по СМС или по коду в приложении на телефоне. Лидером на рынке двухфакторной аутентификации является Okta.
9. Важным компонентом контроля сотрудника является DLP, его тоже вы можете использовать на рабочей станции сотрудника, но здесь, как правило, идут столкновения юридического плана: что можно, а что нельзя контролировать.

Таким образом, если вы последуете показанной архитектуре эшелонированной защиты, то вы защитите каждый компьютер, когда он не подключен к сети компании. А также на уровне приложений и файлов, когда сотрудник работает с ними через NGFW. Так вы добьетесь максимальной защиты. Плюс в компаниях по безопасности находится исследовательская лаборатория, которая вовремя пришлет новые сигнатуры атак, защитит  и одновременно проанализирует неизвестные еще атаки, которые идут в виде файлов и писем.