О дивный новый мир. Кибербезопасность на «удалёнке»

Чаще всего на удаленную работу переводят департаменты ИT и ИБ – в 73% случаев. За ними следуют сотрудники бухгалтерии, которые работают из дома в 61% случаев.

Уже около двух месяцев мы живем в новой реальности – минимизируем контакты, выходим из дома только в случае необходимости, работаем удаленно, постоянно находимся под прессом тревожных новостей. Поставив весь мир на паузу, парализовав значительную часть бизнеса и уничтожив привычную повестку, пандемия в то же время заставила ряд проблем звучать острее. Одна из них – кибербезопасность.

В отличие от большинства, индустрии кибербезопасности не пришлось решать новые для себя задачи: специалисты продолжают выявлять актуальные угрозы, защищать корпоративную инфраструктуру и блокировать вредоносную активность, в том числе эксплуатирующей тему COVID-19. Главная перемена – возросший объем этих задач, вызванный переходом на удаленную работу, зачастую при недостаточной осведомленности о рисках, которые она может нести в части информационной безопасности.

Дистанционная работа сотрудников государственных и частных организаций вскрыла проблемы, которые многие компании предпочитали игнорировать в обычных условиях. Вскоре после череды сообщений об уязвимостях в безопасности приложения для видеоконференций с многомиллионной аудиторией Zoom, лоукостер EasyJet заявил о взломе своей информационной системы, затронувшем 9 миллионов клиентов. Всемирная организация здравоохранения сообщала, что количество кибератак на организацию возросло в пять раз на фоне пандемии, и предупреждала о рассылках мошенниками электронных сообщений от имени ВОЗ. Это лишь несколько примеров: резкий рост онлайн-угроз, фиксируемый экспертами Group-IB в связи с удаленной работой, говорит о том, что шлейф последствий будет тянуться и после окончания карантина.

«Удалёнка» в цифрах

Group-IB провела опрос в рамках специального проекта, посвященного безопасной удаленной работе StayCyberSafe, чтобы узнать, как именно бизнес организовал домашний офис для своих сотрудников и учитывал ли при этом особенности обеспечения безопасности территориально-распределенной сетевой инфраструктуры.

Для профилактики компьютерных преступлений Group-IB запустила информационный ресурс #StayCyberSafe, который призван помочь частным и государственным организациям обеспечить безопасную удаленную работу в период карантина. Портал постоянно пополняется новой информацией, на нем также можно задать свой вопрос экспертам или сообщить об инциденте.

При работе сотрудников вне офиса возникает риск кражи данных компании и увеличения количества угроз информационной безопасности.

Специалисты Group-IB подготовили материалы, которые позволят обеспечить комфортную и безопасную удаленную работу для вас и ваших сотрудников

По данным Group-IB, большинство компаний в России и мире полностью (74%) или частично (10%) перешли на работу из дома в связи с объявленной пандемией. Большинство организаций выстраивали систему удаленного доступа с нуля – лишь для 31% из них удаленная работа не является чем-то новым.

Чаще всего на удаленную работу переводят департаменты ИT и ИБ – в 73% случаев. За ними следуют сотрудники бухгалтерии, которые работают из дома в 61% случаев. Реже всего в организациях переводят на удаленную работу департаменты производства и логистики – 26% и 27% соответственно. При этом в 5% случаев компании перевели на домашний офис все отделы.

«Удалёнка» безусловно прибавила головной боли ИТ- и ИБ-специалистам, поменяв веса на карте рисков. Теперь каждый, кто работает из дома, – это дополнительная мишень для киберпреступника и несколько потенциальных лазеек в корпоративный периметр.

Киберугрозы в эпоху пандемии

Для бизнеса июнь обозначит двухмесячный рубеж в режиме удаленной работы. Если компании только продолжают приспосабливаться к новому порядку, пытаясь наиболее эффективно выстроить свои процессы, то адаптация киберпреступников к нему уже успешно завершилась.

Один из недавних кейсов из практики Group-IB: компания оперативно перевела часть сотрудников на дистанционную работу, дав им инструкции по настройке удаленного доступа, но не проведя с ними должных тренингов, а также не ограничив доступ к корпоративным сервисам. Через пару недель тревогу забила бухгалтер – увидела неавторизованные транзакции, мелкие, но много. В рамках удаленного реагирования на инцидент выяснилось, что домашний ноутбук, которым пользовалась вся семья, оказался заражен трояном. ВПО «проникло» простым способом – сотрудница загрузила бухгалтерские документы с поддельного под известный ресурс сайта. В архиве, помимо документации, оказался и троян.

Переход всего мира на работу из дома значительно расширил карту онлайн-угроз. Активизировались финансово-мотивированные преступники, для которых «удаленка» ослабила контроль за сотрудниками банков и финансовых организаций со стороны ИБ- и СБ-отделов.

Высокая вовлеченность аудитории в тему COVID-19 сделала вредоносные рассылки, эксплуатирующие эту тему, универсальным первичным вектором проникновения. Эксперты Центра реагирования на инциденты кибербезопасности CERT-GIB каждый день фиксируют новые примеры рассылок для заражения пользователей вирусами-шифровальщиками, банковскими троянами или программами-шпионами, которые в числе прочих приходят на корпоративные ящики сотрудников компании. C начала пандемии было зафиксировано 230 уникальных вредоносных рассылок.

Коррективы, которые карантин внес в планы рабочих командировок, отпусков и путешествий, позволил операторам фишинговых кампаний значительно увеличить пул целевых брендов. С момента введения ограничений на поездки системы Group-IB фиксировали фишинг на популярные сервисы для путешествий – Booking.com, Tutu.ru и Airbnb.com.

Оборона периметра

Еще один кейс: в разгар пандемии сотрудник на «удаленке» получает письмо со списком работающих из офиса коллег, у которых тест на коронавирус дал положительный результат. Открыв прикрепленный к письму PDF-файл, он загружает на свое устройство шифровальщик Aurora, шифрующий все файлы на зараженном устройстве, а для их расшифровки требующий выкуп в биткоинах. Безрадостный период карантина для этого представителя топ-менеджмента становится только мрачнее, ведь не для этих целей он хранил криптовалюту.

Удаленная работа и связанные с ней риски усилили роль автоматизированных систем защиты, которые в непрерывном режиме осуществляют мониторинг угроз для всех элементов распределенной ИT-инфраструктуры, обеспечивая ее устойчивость как единого комплекса.

Режим удаленной работы требует создания «четвертой стены» в обороне сетевого периметра, чтобы замкнуть его и сделать недосягаемым для злоумышленника. В этом контексте особое внимание следует уделять решениям, способным защищать этот периметр, независимо от того, что он значительно расширился и теперь не ограничивается офисом.

Для защиты распределенной инфраструктуры от киберугроз эксперты Group-IB рекомендуют использовать систему раннего предупреждения кибератак, основанную на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой. В линейке Group-IB эту функцию выполняет система Threat Detection System (TDS), позволяющая предотвратить заражения в результате вредоносных почтовых рассылок, а также различных типов атак, в том числе с использованием ранее неизвестных вредоносных программ и инструментов.

Принцип действия периметровых систем защиты строится на анализе входящего и исходящего трафика организации. Так, Group-IB TDS умеет не только выявлять сетевые аномалии методами машинного обучения, но и выносить вердикт о степени опасности объекта на основании классификатора, формируемого системой поведенческого анализа. Фактически пользователю не придется думать, насколько подозрительным выглядит то или иное письмо, TDS «увидит» его, распакует в среде, изолированной от сети компании, проверит на вредоносность и в зависимости от вердикта даст ему зеленый или красный свет. Кроме того, продукты линейки TDS выявляют коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств.

TDS в работе ИТ- и ИБ-специалистов – это инструмент внутреннего и внешнего Threat Hunting (охота за угрозами). Продукты линейки агрегируют и хранят все данные с других модулей, позволяя осуществлять ретроспективный анализ атаки, корреляцию и исследование различных событий, а также при необходимости атрибуцию до конкретной группы атакующих. Запатентованные технологии продуктов используют экспертизу и эксклюзивную разведывательную информацию киберразведки Group‑IB Threat Intelligence.

Threat Detection System – комплексное решение для защиты от сложных киберугроз, основанное на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.

Принцип минимальных привилегий

Помимо технологий, важно проверить все, ли принципы организации удаленной работы реализованы в компании. Один из них – Zero Trust: каждое удаленное устройство потенциально скомпрометировано, а значит, нельзя давать им полного доступа в корпоративную сеть, а вместо этого использовать лишь изолированный сегмент.

Реализация данного принципа возвращает нас к классике информационной безопасности: разграничение доступа пользователей к внутренним системам по принципу минимальных привилегий (least privilege principle). Не нужно предоставлять всем пользователям доступ ко всему, их нужно обеспечить лишь теми сервисами, которые действительно понадобятся им для выполнения необходимых бизнес-процессов.

Вернемся к опросу Group-IB: чаще всего в компаниях, где работают респонденты, для удаленной работы были настроены доступы к почтовому (78%) и файловому (66%) серверам, а также к внутренним корпоративным системам (71%). Критичными корпоративными системами, доступ к которым должен предоставляться в исключительных случаях, являются системы Enterprise Resource Planning (ERP), используемые финансовым менеджментом, системы Product Lifecycle Management (PLM), управляющим жизненным циклом производства, и системы Customer Relationship Management (CRM), хранящие данные о базе клиентов и взаимодействиях с ними.

Гигиена, которая останется

Вопреки маркетинговым листовкам разных вендоров, кибергигиену не следует считать панацеей, которая защитит от киберинцидентов. Цифровая грамотность важна, но в условиях удаленной работы и роста киберпреступности бдительность сотрудников и технологии защиты от кибератак соревнуются в разном весе.

Дав персоналу рекомендации по безопасной работе из дома (базовые инструкции были также собраны сотрудниками Group-IB в отдельную памятку), приоритетное внимание необходимо уделить правильной механике удаленной работы и ее аудиту, а также средствам, обеспечивающим ее устойчивость перед онлайн-угрозами.

Недавнее реагирование Group-IB было связано именно с отсутствием проработанной схемы перехода на «удаленку» и необходимых проверок. Компания перешла на дистанционную работу очень оперативно, всех подготовила, предоставила сотрудникам необходимый доступ, но после реализации схем не провела соответствующего тестирования. В итоге оказалось, что один из ПК, используемый для удаленного доступа, не был обновлен и содержал уязвимую RDP-службу, через которую злоумышленники получили доступ ко всей компании, зашифровали все данные и стали требовать выкуп.

Чек-лист по организации удаленной работы

Давайте еще раз проверим, какие меры по минимизации рисков были приняты. Эксперты Group-IB составили чек-лист для руководителей и специалистов ИБ-отделов по организации удаленной работы.

Вне зависимости от метода организации удаленной работы, на сетевом уровне необходимо убедиться в следующем:

Удаленный доступ к сети организации защищен двухфакторной аутентификацией.
Журналы удаленного доступа достаточно подробны, и имеется запас свободного места для хранения информации об удаленном доступе за последние 6 месяцев.
На период массовой удаленной работы SOC осведомлен о важности более тщательного мониторинга любой аномальной активности.
Любой подключаемый хост должен попадать в отдельную изолированную зону, из которой осуществляется доступ к необходимым ему сервисам.
Внешние каналы, предназначенные для доступа компании в Интернет, имеют достаточную пропускную способность, предусмотрено резервирование у нескольких интернет-провайдеров.
Пользователи знают и понимают правила информационной безопасности.

Реализовано разграничение доступа к необходимым сервисам для разных групп пользователей с учетом принципа минимальных привилегий.
Предусмотрено автоотключение пользователей при неактивности.
Сотрудник ограничен одной активной сессией.

Это не все рекомендации, больше инструкций было собрано в рамках проекта StayCyberSafe на сайте Group-IB. Изучайте материалы с рекомендациями о том, как обеспечить непрерывный рабочий процесс, предотвращать, обнаруживать и реагировать на кибератаки, a также защищаться от действий злоумышленников, и оставайтесь CyberSafe.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 01.06.2020

Об авторах

Антон Фишман

Технический директор RuSIEM

Информационная безопасность Удаленная работа

Предыдущая
Ученые пытаются совместить квантовое шифрование с обычной инфраструктурой

Следующая
Как защитить рабочее место сотрудника на «удалёнке»

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30