Коли почався карантин і офісні працівники стали працювати віддалено, у зловмисників з’явились нові можливості для проникнення у корпоративні мережі. Служби інформаційної безпеки організацій стикнулися з новими загрозами, адже персонал вийшов за межі захищеного периметру. Тепер, коли карантин закінчується і працівники повертатимуться в офіси, зловмисники знову отримають додаткові можливості, а на служби безпеки чекають нові виклики.
Під час карантину компанії використовували дві основні моделі відділеної роботи працівників. Перша - коли співробітники брали робочий ноутбук і з дому через VPN отримували доступ до корпоративних ресурсів. Друга - коли співробітники користувалися особистими комп’ютерами, а компанія надавала доступ до віддалених робочих столів корпоративних комп’ютерів. Для цього, наприклад, використовується технологія віддаленого або «віртуального» робочого столу.
Через необхідність віддаленої роботи суттєво зросли загрози кібербезпеки. Справа в тому, що багато систем контролю, моніторингу і захисту в компаніях найчастіше будуються за «кампусною» моделлю, за принципом захисту периметру. Тобто, є певний технічний периметр, в рамках якого відбуваються всі робочі процеси. Співробітники фізично знаходяться в офісі з контрольованим доступом в сегменти локальної мережі та безпечним виходом в інтернет, під захистом фаєрволів, інтернет-шлюзів та інших систем безпеки.
Коли працівники перемістилися за межі цього периметру і почали працювати віддалено, то ряд сервісів моніторингу та інтерактивного захисту стали менш ефективними або взагалі не актуальними. Із початком карантину і тотальної віддаленої роботи зникли процеси відстеження поведінки всередині периметру – цей периметр у кращому випадку перемістився на кожен пристрій окремо, і кожен ноутбук чи комп’ютер мав бути в окремій «бульбашці» такого контролю. В подібній ситуації потрібно концентруватися не на безпеці всередині єдиного периметру, а побудувати периметри безпеки безпосередньо навколо кожного користувача, кожного облікового запису.
Важливо також розуміти, що на відміну від працівників звичайних компаній, які працюють з дому тимчасово і вимушено, зловмисники діють віддалено завжди. Тому в період карантину для них настали сприятливі часи, коли завдяки розрізненим периметрам значно збільшився ландшафт атаки, тобто загальна кількість вразливих місць, які зловмисниками можуть використати для виконання атаки. Це дозволяє проникати в інфраструктури компаній з більшою ефективністю. Найбільш дієвий спосіб проникнення у інфраструктуру – це компрометація облікового запису користувача в системі, коли зловмисник отримує логін і пароль користувача і оперує в інфраструктурі від його облікового запису. Часто використовують метод «фішингу» - один із різновидів соціальної інженерії, який використовує метод маскування повідомлення від нібито джерела, якому користувач довіряє, змушуючи його виконати певні дії.
По-перше, для фішингових атак є актуальний інформаційний привід – коронавірус. Зловмисники активно використовують такі речі, як «термінові новини», «повідомлення» від органів управління і міжнародних організацій. У перші дні й тижні в компаніях також було багато корпоративної комунікації, включаючи інструкції з віддаленої роботи. І якщо в офісі користувачі знаходились у єдиному комунікаційному просторі, то перебуваючи вдома і отримуючи якийсь лист нібито від керівника чи відділу IT з проханням, наприклад, перейти за посиланням, запустити певний додаток, чи скинути пароль, користувач може і не помітити, якщо за цим листом ховатимуться зловмисники.
У компаніях, що не були добре підготовлені до переходу на віддалену роботу, така комунікація відбувалася доволі хаотично, і тому зловмисники досить ефективно запускали фішингові листи. У період карантину зберігалася і висока ймовірність стрімкого розвитку спрямованих атак (APT – Advanced Persistent Threat). Адже в умовах зміненої інфраструктури змінюється ландшафт атаки, відповідно, системи моніторингу мають бути переналаштовані на контроль поведінки в умовах віддалених робочих місць.
Тепер ми наближаємося до завершення карантину. Попри більшість прогнозів про зміну стилю роботи, більшість компаній відновлять попередній режим роботи працівників із офісу. І якщо компанії під час карантину не налагодили контролі активного моніторингу, контролі облікових записів, оновлення комп’ютерів, які працювали дистанційно, то існує ризик того, що комп’ютери працівників, які перебували за периметром, будуть скомпрометованими.
Як же виходити з карантину так, щоб мінімізувати загрози інформаційній безпеці?
Варто починати з того, щоб дивитися не на проблему одного, двох чи трьох комп’ютерів окремо, а на всю картину в цілому. Наскільки мережа була контрольована при віддаленому, внутрішньому чи змішаному підключенні? Чи потрібно міняти сегментацію мережі, якщо вона була змінена? Чи існує протокол змін мережі, що відбулись під час карантину? Чи активні необхідні контролі безпеки і наскільки вони адаптовані до періоду повернення співробітників до офісу?
Питань багато, тому потрібно побачити всю картину загалом, а також стан кожного активу в мережі окремо. Для цього потрібно проводити аудит на компрометацію. Він дає можливість проаналізувати всю історію подій за час карантину: що відбувалось, як рухалися інформаційні потоки, як себе поводили всі облікові записи. Такий аудит покаже існуючі проблеми і вразливості, а також дасть достатньо інформації для того, щоб побудувати певний план по трансформації дизайну інфраструктури.
Другий важливий аспект – це підвищення рівня обізнаності співробітників. І це надзвичайно важливе завдання за будь-яких умов. Карантин показав, що фішингових атак стало більше, тому що була перервана звична для компанії комунікація. Коли всі працюють віддалено, з одного боку, є багато віртуальних зустрічей, відео-дзвінків, і навіть робочий день рідко коли закінчувався о 18-й годині, а з другого боку, зникає відчуття єдиного робочого корпоративного простору, який організовувався завдяки корпоративній культурі компанії та регулювався певними правилами та політиками. При віддаленій роботі люди стають більш відкриті до інформації, частіше відволікаються, їм надходить багато листів – і особистих, і на тему COVID-19, і начебто від служб IT чи безпеки. Розвиток навичок кібергігієни дозволяє працівникам безпечно працювати і орієнтуватися в інформаційному просторі та ідентифікувати існуючі в ньому загрози, що захищає компанію у цілому.
Вкрай важливо не просто провести для працівників одну чи кілька лекцій з кібергігієни, а розвинути в організації культуру інформаційної безпеки. Це комплексний підхід, який має на меті змінити ставлення співробітників до інформаційної безпеки, змінити їх поведінку, сприйняття, визначити норми та обов’язки по відношенню до забезпечення кібербезпеки.
Впровадження цієї культури - це зараз надважливий аспект. По-перше, це має бути підтримано керівництвом компанії й зафіксовано у розпорядчих документах та політиках організації. Після етапу впровадження культури інформаційної безпеки має проводитись регулярна оцінка ефективності. Співробітники це повинні розуміти і підтримувати, тому має бути постійна комунікація з ними.
Дистанційна робота в період карантину чудово показала, наскільки раціонально використовувати у сфері кібербезпеки послуги спеціалізованих провайдерів послуг з управління кібербезпекою (Managed Security Service). Це вже нова реальність, у якій і хмарні інформаційні технології або гібридні інфраструктури уже не сприймаються з тривогою. Ті офіцери кібербезпеки чи ІТ-директори в Україні, які неохоче розглядали професійні сервіси з управління кібербезпекою або мультисервісні хмарні середовища, під час карантину, напевне, змінили свою думку.
Хмара за дизайном створена для зручного і легкого конфігурування обсягу ресурсів, які використовуються, в ній легко наростити потрібний обсяг, підключити додаткові сервіси тощо. Фактично, є можливість змінювати конфігурацію сервісів та додавати нові сервіси, які потрібні у нагальний момент, і потім повертатись до старої конфігурації.
Такі ж переваги мають і зовнішні послуги з управління кібербезпекою. Професійний сервіс-провайдер надає послуги з дотриманням якості, яка передбачається угодою про рівень обслуговування (Service Level Agreement), а клієнт має можливість змінити конфігурацію сервісу чи тимчасово розширити обсяг послуг із кібербезпеки.
Роман Сологуб, Генеральний директор ISSP