Rambler's Top100
Статьи
11 декабря 2020

Нужен государственный Red Team

Государственным организациям следует шире применять подход Red Team, создавая группы специалистов, которые выявляют уязвимые места информационных систем и дают рекомендации по их устранению, считает эксперт по ИБ Денис Батранков.

– Денис, каковы сегодня основные риски ИБ для бизнеса в связи с массовым переводом сотрудников на удаленную работу? Насколько они устранимы?

– Каждый бизнес должен проанализировать свои риски. Если какой-либо процесс зависит от ИТ, он может пострадать из-за нарушений безопасности. Нужно этот риск оценить и либо минимизировать, либо принять. То, что все сотрудники на «удаленке», – само по себе существенный риск для безопасности компании.

Сегодня в связи с удаленной работой сотрудников перед службами безопасности стоят три важные проблемы:
  1. Как проверить, что человек, удаленно подключившийся к корпоративной сети компании, именно тот сотрудник, которым он представился. Подтверждение подлинности с помощью логина и пароля уже неактуально, потому что пароль легко можно украсть.
  2. Как проверить, что сотрудник до подключения к сети компании не удалил или не выключил корпоративные системы контроля рабочей станции и в результате не заразился и его компьютер, получив доступ в сеть через VPN, не начнет атаковать внутренние ресурсы компании.
  3. Как проверить, что на компьютере сотрудника, подключившегося из дома, не работает хакер. Хакеры сегодня часто не пользуются вредоносным кодом, а подключаются к компьютеру по протоколу RDP или же методами социальной инженерии склоняют человека установить какой-либо нужный для последнего софт, в который встроена программа удаленного управления, скажем, teamviewer.
Первая проблема решается внедрением двухфакторной аутентификации. Лучший выбор – приложение на телефоне, например Okta или PingID. Также можно использовать аппаратные токены, в частности, YubiKey. Подтверждение через СМС тоже годится, но все чаще злоумышленники делают копию SIM-карты нужного человека или просто вставляют ее свой в телефон, поэтому этот способ подтверждения не столь безопасен, как можно думать. 

Обычно VPN-клиент имеет встроенный механизм интеграции с любым количеством дополнительных факторов аутентификации. Фактор – это нечто, что мы знаем или что у нас есть, скажем, пароль или флешка. Если есть возможность, для любого доступа через интернет обязательно нужно задействовать два фактора. Это будет гарантией, что в сеть вашей компании вошел именно ваш сотрудник, а не подставное лицо. Поскольку при всем обилии вариантов второй фактор обычно привязывается к номеру телефона конкретного сотрудника, его использование также защищает от возникновения ситуации, в которой несколько сотрудников входят в сеть с одним и тем же логином.

Решение второй проблемы основано на том, что современные VPN-клиенты подключаются не к обычному VPN-шлюзу, а к шлюзу, который встроен в многофункциональное устройство с расширенным функционалом защиты. Действия подключившегося пользователя постоянно анализируются дополнительными движками безопасности: анализатором приложений прикладного уровня и файлов в них, системой предотвращения атак, системой URL-фильтрации, антивирусом, поведенческим анализатором и другими методиками – в зависимости от поставщика решения. Такой функционал есть в современных межсетевых экранах нового поколения (NGFW), которые содержат и шлюз VPN, и движки защиты. Если компьютер сотрудника заражен и атакует сеть, то атака будет обнаружена и заблокирована прямо на этом шлюзе и не пройдет глубоко в сеть. Вы можете поместить этот компьютер в карантин, отключить его аккаунт, и затем группа разбора инцидентов сможет разобраться, что произошло, и восстановить безопасность пострадавшего компьютера.

Механизмы просмотра приложений в NGFW показывают, что сотрудники часто посещают сайты и пользуются приложениями, не относящимися к работе. В принципе делать это дома им никто не запрещает, но возникают дополнительные риски, и мы должны с ними работать прямо в точке подключения. И здесь фильтрация средствами NGFW – лучшее решение, поскольку он видит все приложения и может проверить DNS-запросы, расшифровать SSL-трафик, включить функции DLP. Если компьютер сотрудника заражается троянской программой или сетевым червем, которых не видит хостовая защита, то NGFW это видит, потому что в сетевом трафике вредоносные подключения спрятаться не могут.

Продвинутые VPN-клиенты при подключении к NGFW отправляют ему информацию об установленных на домашнем компьютере или на корпоративном ноутбуке программах и их версиях. Обычно мы ожидаем увидеть хотя бы антивирус, шифрование диска и включенный бэкап. У каждой такой программы есть набор настроек, например, у антивируса это данные о том, как давно обновлялись его сигнатуры. Получив всю эту информацию, NGFW может проконтролировать, соответствуют ли текущие настройки у каждого сотрудника корпоративной политике безопасности. Так, если сигнатуры антивируса не обновлялись несколько дней или он вообще выключен, то вы просто не пустите такой компьютер в сеть. В момент подключения можно попросить пользователя установить нужные обновления и лишь после их установки дать ему доступ в корпоративную сеть к конфиденциальным ресурсам. 

Проверка соответствия настроек защиты и политик безопасности домашних компьютеров сегодня необходима для предотвращения заражения операционной системы и превентивной защиты корпоративной сети. Узнайте у вашего поставщика NGFW, способен ли его продукт собирать со всех удаленных VPN-подключений и проверять настройки операционной системы и установленного ПО. Обычно операционной системой является Windows, но для MacOS или Linux проверки тоже нужны, поскольку в этих ОС тоже есть уязвимости и их взламывают.

Третья задача решается использованием специализированных средств защиты домашних рабочих станций, которые на рынке систем безопасности представлены продуктами класса eXtended Detection and Response (XDR). В состав этих продуктов также входит антивирус, но это лишь один из компонентов. Подобные системы обнаруживают не только взломы вредоносными программами, но и атаки с помощью встроенных в ОС утилит и защищают от криптолокеров, эксплойтов и ошибок пользователя: кликов на вредоносные ссылки, установку шпионских программ. В таких продуктах задействуются все современные технологии защиты. 

XDR управляется из единой консоли, и вы видите ситуацию с защитой всех рабочих станций сотрудников, находятся ли они в офисе компании, путешествуют или работают из дома. В то время, когда пользователь не подключен к сети компании, он все равно защищен, поскольку защита работает локально. При подключении в сеть она передает информацию о том, какие инциденты произошли, и ваши безопасники решают, какие нужно принять меры.

В итоге рецепт безопасности таков: пускайте сотрудников в корпоративную сеть через сетевой фильтр NGFW и используйте продвинутую защиту рабочих (домашних) станций XDR.

– Есть ли разница в защите информации коммерческих предприятий и госструктур? Какие компании и отрасли сейчас атакуют активнее?

– Разницы особой не вижу, кроме юридических аспектов. В государственных организациях более жесткие правила, и у них меньше возможностей для защиты от атак из-за законодательных запретов и длительных процессов выделения бюджета.

Расскажу об интересной новой технологии, которую Gartner называет Secure Access Service Edge (SASE). Эту технологию применяют глобальные коммерческие компании, имеющие представительства во многих странах. Ее особенность в том, что шлюз безопасности, который фильтрует трафик сотрудников и дает им доступ через VPN, находится не в каком-либо конкретном офисе, а распределен по всему миру, доступен в любой стране и автоматически масштабируется в зависимости от числа подключенных сотрудников. Обычно задействуются ресурсы облачных провайдеров, таких как Google, поэтому если к шлюзу нужно подключить еще 10 тыс. новых сотрудников, то производительность шлюза безопасности автоматически увеличивается. Примером решения класса SASE является сервис Prisma Access компании Palo Alto Networks. Им активно пользуется, например, компания PWC. Сотрудники подключаются не к тому или иному офису компании, а к ближайшему шлюзу безопасности, который выполняет фильтрацию, контролирует работу пользователя и предоставляет ему защищенный доступ к ресурсам компании, откуда бы тот ни обращался: из Таиланда, Австралии, США или России.

Такой подход не работает в государственных структурах, и им приходится использовать старые проверенные решения, обязательно одобренные регуляторами. К сожалению, старые решения не способны отразить современные атаки, поэтому госструктуры не так хорошо защищены, как следовало бы. Это общемировая проблема. В государственных организациях в первую очередь не хватает людей, причем зачастую даже не безопасников, а обычных ИТ-специалистов. 

На государственном уровне должен существовать некий ИТ-отдел, своего рода государственный интегратор, который занимался бы созданием и защитой корпоративных сетей. Также нужен отдел, который в коммерческих организациях называют Red Team, который тестирует средства защиты и дает рекомендации, что нужно улучшить. Такие отделы обычно создаются в спецслужбах, и их используют для усиления безопасности государственных органов власти и управления. 

Однако нередко проблемы даже не в средствах защиты, а в том, что они неправильно настроены или же их оповещения никто не смотрит. И эту работу тоже нужно кому-то возглавить. Создана ГосСОПКА, и она постепенно будет становиться таким центром. Но самое важное – проверять, верно ли настроены средства защиты. Поэтому повторюсь: нужен государственный Red Team.

– Появляются ли новые типы угроз? Как от них защищаться?

– Пожалуй, типы угроз остаются теми же: взлом и подбор паролей, проникновение через уязвимости, социальная инженерия. Но увеличиваются возможности для атак, поскольку число ИТ-ресурсов разного плана растет гигантскими темпами. Сегодня безопаснику уже нужно разбираться в защите контейнеров Docker и Kubernetes, облачных ресурсов Amazon, Azure, «Яндекс.Облака», контролировать в своей сети IoT-устройства, которые приносят сотрудники. Чтобы защищать расширяющийся ИТ-зоопарк, нужны средства безопасности, которые все это контролируют.

– Ждать ли появления новых решений для информационной безопасности? Как они должны совершенствоваться?

– По сути, любое ИБ-решение – это средство автоматизации. Новые решения появляются по мере того, как перед безопасниками встают новые задачи. Сейчас растет спрос на расследование инцидентов. Цель не просто заблокировать вирус в сети, а проследить всю цепочку, по которой он смог попасть в сеть, и затем усилить безопасность так, чтобы не допустить проникновения в дальнейшем. Это сложная работа, и ее научились автоматизировать. Продукты такого класса уже появились и будут появляться.

Мне нравятся компании, которые предлагают продукты, исследующие поведение сотрудников. Поведенческий анализ – это защита будущего в каждой компании. Статические проверки, поиск известных атак уже не так эффективны. Хакеры очень изобретательны.

– Насколько безопасны мессенджеры? Можно ли их использовать для работы? Как их защищать?

– Сам по себе мессенджер представляет угрозу для компании, только когда сотрудник использует его для сокрытия утечек информации. Иногда задействуют уязвимости в мессенджерах для удаленного доступа. Но чаще всего мессенджеры, равно как и социальные сети, используются для социальной инженерии. То есть с человеком знакомятся, входят в доверие и склоняют его к тому, чтобы установить какую-нибудь программу или открыть файл, которые взламывают компьютер или смартфон, а потом и сеть его компании.

Многие компании используют для работы Telegram, сейчас активно распространяется Slack, поэтому мессенджеры важны, и их защитой нужно заниматься, как и защитой любого другого ПО.

Защита обычно заключается в обновлении уязвимых версий. Чтобы минимизировать риски, безопасники компании должны проводить обучение сотрудников и рассказывать о социальной инженерии, фишинговых ссылках, эксплойтах и других техниках проникновения. Риск, что сотрудник использует мессенджер для кражи информации, тоже существует. Но в сами мессенджеры встроены средства контроля, и есть дополнительные системы защиты от утечек.

– Эксперты прогнозируют в 2021 году дефицит кадров в сфере кибербезопасности. Так ли это? Действительно ли предприятиям нужно увеличивать штат безопасников в связи с массовым переходом на удаленную работу?

– С набором новых кадров будет сложно. Обучение перешло на «удаленку» и, скорее всего, хороших специалистов на рынке будет все меньше и меньше.

Имеющиеся сотрудники служб безопасности нарасхват и переходят в мировые компании, поскольку там зарплата выше. Также хорошие специалисты легко переезжают в другие страны. Если глобальной компании просто нанять специалиста, то внутри страны все сложнее.

Однако в «удаленке» есть свой плюс: многих специалистов можно нанять дистанционно. Это позволяет найти хорошего специалиста за небольшие деньги: в других городах люди могут запрашивать не так много, как в Москве, например. И здесь я вижу только одно направление развития – аутсорсинг, когда один хороший специалист помогает сразу нескольким компаниям.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!