Давайте поговорим ОБ ЭТОМ. От чистого сердца

Многие компании перевели часть сотрудников на удаленный или гибридный формат работы. В условиях неприменимости корпоративных мер защиты приходится формулировать основные принципы и подходы к обеспечению информационной безопасности. Поэтому давайте снова поговорим ОБ ЭТОМ. О ней. Об удалёнке.

В небольших компаниях информационная безопасность — это головная боль системных администраторов. Держать отдельного специалиста по ИБ смысла нет — так видимый ущерб от его отсутствия не превышает расходы на его содержание. При этом всегда есть определенный конфликт между безопасностью и бизнесом, которому нужна максимальная доступность корпоративных ресурсов «удаленным» сотрудникам, легкость использования данных, быстрый отклик информационных систем. Понятно, что сотрудники пользуются технологиями, не задумываясь о рисках. Проблема в том, что под давлением владельцев профильных бизнес-процессов риски игнорируют и администраторы сети. Однако угадайте с трех раз, на кого повесят проблемы, если они возникнут?

Шаг первый. Защищаем RDP

Прежде чем открывать сотрудникам удаленный доступ, есть смысл вспомнить виды атак на сеансы удаленной работы и способы защиты от них.

Для удаленного доступа к рабочему хосту часто используют подключение по протоколу RDP (Remote Desktop Protocol). Сам по себе он практически не защищен, поэтому разберем, какие здесь есть риски.

Первое и главное — в RDP отсутствует защита от брутфорса. То есть, зная логин и имея свободное время либо специальный скрипт, можно подобрать пароль и проникнуть в сеть компании. Поэтому чаще всего RDP-атаки сводятся к брутуфорсу аутентификационных данных пользователей с целью:

а) захвата удаленного доступа и дальнейшего движения по корпоративной сети с помощью техник Lateral Movement для получения доступа к необходимым службам и сервисам с целью хищения данных или средств;

б) отключить EDR, антивирусы и прочие решения безопасности и запустить программу-шифровальщик или установить программы для майнинга криптовалют.

На случай если компания что-то заподозрит и отключит доступ по RDP, атакующие обычно создают резервный путь доступа к корпоративной сети.

Также к атакам на RDP относятся:

DoS,

перехват сессии пользователя с помощью атаки MITM.
использование уязвимости BlueGate, которая позволяет выполнить удаленное выполнение кода путем запроса через компонент Remote Desktop Gateway;
использование критической уязвимости в реализации службы удаленных столов в Windows BlueKeep. Она позволяла удаленно выполнять произвольный код на целевых системах через протокол RDP без проверки подлинности прав доступа.
еще несколько уязвимостей связаны с популярным сервисом рабочих столов RDS (Remote Desktop Services), используя которые злоумышленник мог отправить через RDP специально сформулированный запрос и получить доступ к системе, минуя проверку подлинности.

Для того чтобы защитить подключение с удаленных рабочих станций по RDP, есть смысл организовать подключение через VPN (Virtual Private Network). Для VPN есть свои протоколы безопасности, например, для дополнительной защиты передачи данных предусмотрена защита транспортного уровня TSL (transport layer security). Она обычно включена в настройках ПК по умолчанию, но никогда нелишне проверить самим.

Trust but verify

Для проверки использования TLS для RDP нужно:

Зайти в групповую политику, далее: Конфигурация компьютера — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов рабочих столов» — «Безопасность».
Устанавливаем параметр «Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP» в значение «Включено» и уровень безопасности в значение «SSL».
Устанавливаем параметр «Установить уровень шифрования для клиентских подключений» на высокий с шифрованием не меньше 128-битного. Либо:
Ставим максимальный уровень шифрования — FIPS 140-1. Он находится на пути: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности параметр «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписи». Он хорош тем, что даже не будет рассматривать RC2/RC4, а будет запрашивать вычисление целостности SHA-1 вместо MD5. Технически это вполне реализуемо: сейчас сложно найти сервер, который не поддерживает SHA-1.
Желательно привязать службу RDP к нестандартному порту (по умолчанию - 3389). Значение порта можно поправить в реестре по адресу HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp в параметре PortNumber.

Еще один способ обезопасить удаленное подключение — активировать проверку подлинности на уровне сети — NLA (network level authentication). В обычном режиме пользователь сначала видит welcome-скрин удаленного рабочего стола, а уже потом входит в систему под своими учетными данными. Однако на каждый такой запрос сервер отвечает созданием сессии и последующим ожиданием входа. То есть может возникнуть ситуация, когда сервер окажется перегружен такими запросами. Похоже на DoS, верно? Так оно и есть. Количество подобных атак сильно выросло в связи с массовым переходом компаний на удаленный режим в 2020 году. Для хакеров это был просто Клондайк.

Поэтому наиболее безопасный вариант защитить удаленку — использовать стороннее ПО различных вендоров которые предоставляют ядро виртуализации, клиенты к нему и имеют свое передовое шифрование для подключения. Но, во-первых, оно не бесплатно, во-вторых, ничто не идеально, и возможно и в них есть уязвимости, которые еще не выявили. Примером такого ПО может быть:

VMware Horizon от одноименной компании VMware;
Oracle VDI от Oracle;
распространяемое свободно QVD Virtual Desktop.

С RD разобрались: если нет денег на платформу виртуализации рабочих мест — заворачиваем весь трафик в VPN, ставим обновления и работаем удаленно более-менее спокойно. Но тут возникает вопрос безопасности самого VPN.

Шаг второй. Делаем свое казино… То есть, VPN

Есть разработчики VPN, решениям которых можно доверить защиту своей сети.

Например, для создания безопасного VPN в корпоративной среде рекомендуется использовать протокол IPsec IKEv2, разработанный Microsoft и Cisco и считающийся наиболее продвинутым на данный момент: он хорошо защищен и работает прямо из коробки. IKEv2 использует проверку подлинности сертификата сервера, то есть, он не будет выполнять никаких действий, пока не определит личность запрашивающей стороны. Благодаря этому значительно уменьшается количество результативных атак «человек посередине» и DoS-атак.

Более того, протокол не передает служебные данные, которые связаны с протоколом «точка-точка» (PPP). Это делает IKEv2 быстрее, чем PPTP и L2TP протоколы. Кроме того, IKEv2 поддерживает шифрование AES и Camellia, а также использует ключи длиной 256 бит. Словом, это хорошее решение, однако необходимо понимать, что инциденты бывают у всех.

Буквально недавно компания Fortinet стала жертвой атаки шифровальщика Cring, который проник в сеть компании через уязвимость в ее VPN-серверах. Сама уязвимость не что иное, как directory traversal attack, которая позволила хакерам получить доступ к файлу sslvpn_websession, минуя аутентификацию. А это означает, что в руки хакеров попали аутентификационные данные пользователя для доступа по VPN.

Ссылаясь на предыдущую главу о доступе по RDP, заметим, что развитию инцидента в Fortinet способствовали некорректные настройки прав учетных записей пользователей, установленные в доменных политиках. Всем пользователям было разрешено иметь доступ ко всем системам. Для сотрудников это, конечно, удобно, но вот для самой Fortinet это была однозначно плохая идея. Стоило скомпрометировать лишь одну учетную запись — и злоумышленники получили доступ ко всем системам компании и получили отличную возможность быстрее распространить вредонос по ее сети.

Вывод: не существует такое программное обеспечение, которое с настройками из коробки защитит вас на 100%, стоит только нажать на кнопку ON. ПО пишется и используется людьми. Им свойственно ошибаться, не ставить вовремя обновлени, открывать фишинговые письма и использовать везде один и тот же пароль, записывая его на бумажку под клавиатурой или в ящике стола. Неуязвимого софта не бывает — просто нужно потратить достаточно времени на то, чтобы найти слабое место у него или у того, кто им пользуется.

Как видно на примере Fortinet, проблема была в безопасности аутентификации по методу «логин — пароль». Но этот метод сам по себе не очень надежный. Поэтому чтобы минимизировать риски компрометации паролей, можно использовать систему двухфакторной аутентификации. Например, чтобы получить доступ к VPN, пользователям нужно иметь токен, который идентифицирует их и привязанное устройство, например, подключенное приложение-аутентификатор, связанное с вашим VPN.

Подводя итог, мы задаемся вопросом: почему столько шума вокруг таких тривиальных вещей, как брутфорс паролей и DoS, когда существуют гораздо более сложные виды атак? Потому что именно самое легкое решение, как правило, самое правильное и бьет в точку. Что же касается сложных комплексных атак, задействующих более мощные средства, чем руки злоумышленника, — например, искусственный интеллект, то для их обнаружения и предотвращения необходимо использовать решения, использующие тот же ИИ. Как говорится, кто с мечом к нам придет, от меча и погибнет.

Шаг третий. Хочешь меч - куй

При разработке новых продуктов или обновлении уже существующих вендоры концентрируются на интеграции модулей, поддерживающих ИИ. Как правило, это системы класса XDR, (Extended Detection and Response), обеспечивающие расширенное обнаружение и реагирование на сложные угрозы и целевые атаки. Они включают модули поведенческой аналитики для обнаружения активных вторжений и имеют регулярно пополняемые базы фидов, что позволяет защите оперативно реагировать на появление новых векторов атак. Использование искусственного интеллекта в XDR значительно упрощает расследования, автоматически группируя сотни предупреждений в инциденты, выявляя первопричину, временную шкалу событий и подробные сведения об угрозах из любого источника.

Более быстрая, интеллектуальная и автоматизированная обработка угроз помогает обнаруживать предупреждения и аномалии и реагировать на них в режиме реального времени, позволяя кибер-аналитикам быстро выявлять наиболее серьезные угрозы и использовать свои навыки и опыт для их нейтрализации. Однако наиболее важной частью являются не сколько программное обеспечение, процессоры или даже алгоритмы, сколько количество и качество аналитических данных об угрозах, которые передаются на обработку искусственным интеллектом. Именно объем качественных данных, которыми оперирует ИИ, определяет разницу между организацией, которая действительно использует возможности искусственного интеллекта, и организацией, которая только позиционирует себя так.

Хорошая защита на основе ИИ невозможна без информационного обмена данными об угрозах и атаках между организациями. Чем больше таких данных, тем проще каждому участнику обмена сопоставлять и анализировать угрозы в соответствии со своими картами рисков. Чем больше данных об уже известных угрозах можно использовать для обнаружения активной угрозы, тем лучше.

Это особенно актуально именно сейчас, когда злоумышленники также научились использовать искусственный интеллект и автоматизацию. Более того, атакующей стороне в этом плане намного легче. Злоумышленники вооружены более современными технологиями, чем легитимные компании, поскольку они не связаны стандартами и требованиями регуляторов и могут действовать экспериментально: попробовали, получилось — отлично, запускаем в производство.

В добросовестных организациях такие возможности есть не всегда. Когда речь идет о внедрении такой мощной технологии, как ИИ, бизнес всегда оценивает баланс преимуществ и издержек. Не каждая компания готова выкладывать огромные суммы на внедрение машинного обучения, не зная, окупятся ли эти затраты. Финансовая оценка рисков — тоже удовольствие недешевое. Но чтобы ею хотя бы озадачиться, нужно осознать наличие угрозы и реальную возможность ее реализации, а это наблюдается далеко не повсеместно. Многие компании до сих пор игнорируют необходимость оперативной установки обновлений, и говорить о таких серьезных вещах, как искусственный интеллект, здесь вряд ли приходится.

Однако перестраиваться все равно придется. Уже сейчас инструменты искусственного интеллекта способны обнаруживать атаки других MAI (malicious artificial intelligence). В будущем этот процесс с большей вероятностью будет еще более эффективным и точным. Защите так или иначе придется внедрять улучшенные решения, потому что злоумышленники, более гибкие в использовании инструментов и не обремененные ограничениями и согласованиями, имеют больше преимуществ и возможностей для совершенствования нападения. Задача защиты — быть если не на шаг впереди, то как минимум идти в ногу с атакующими.

Be safe!

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 02.08.2021

Об авторах

Диана Евлоева

Специалист по внедрению RuSIEM

Информационная безопасность VPN Облачный сервис Удаленная работа Гибридная работа

Предыдущая
Атмосфера доверия: почему так важна облачная защита электронной почты от целевых атак

Следующая
Как построить безопасность: кадры, процессы, технологии

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30