Безопасность удалённой работы

COVID-19 оказался больше, чем просто очередной сезонной эпидемией. То, что раньше было локальной проблемой коснулось каждого. Многие издания дают практические советы как избежать заражения: карантин, самоизоляция и удаленная работа. Сложность только в том, что многие компании оказались не готовы к переходу на работу из дома. И виной тому — отсутствие подходящей инфраструктуры.

Опасная безопасность

Эпидемии и человечество вместе уже тысячи лет. Однако ещё до появления современной медицины люди придумали как спастись от мора — бежать. Проще всего было кочевникам, которые просто собирали юрты и вместе со скотом уходили в другое место. Крестьянам было чуть сложнее, потому что они были привязаны к земле. Но в целом они тоже могли убежать от эпидемии. А вот горожане оказывались практически обречены, поскольку трудно покинуть зараженный город со своим банковским делом или цехом.

Этот исторический экскурс нужен был для того, чтобы показать — нынешняя эпидемия коронавируса успешно повторила средневековый сценарий, но, к счастью, с меньшим количеством летальных исходов.

Многие компании попытались «убежать» от вируса на удаленную работу, но не у всех это вышло — их держала собственная инфраструктура и меры безопасности.

Условно эти компании можно разделить на три группы по уровню мобильности и привязки к офису.

Кочевники

Они давно используют облачные хранилища и сервисы. Это позволило в свое время снизить издержки и не покупать большие сложные офланй-продукты — достаточно каждый месяц оплачивать символическую подписку. Все документы создаются в GoogleDocs, проекты ведутся в Trello или Планфиксе, файлы хранятся в том же Google Drive. В итоге стоимость затрат на ПО может колебаться в пределах 3000 рублей в месяц. Сотрудники практически не привязаны к офису, в большей степени для них важны быстрые личные коммуникации.

Землепашцы

Другие компании построили гибридную инфраструктуру: облачные CRM-системы, Office 365, почтовые ящики на основе публичных почтовых сервисов, например Yandex. Задачи всё так же ставятся через сторонние сервисы. Но необходимые рабочие данные хранятся внутри локальной сети.

В этом случаи сотрудники оказываются привязаны к хранилищу данных. Но при необходимости могут скопировать их себе или попросить коллег переслать по почте. Не самое безопасное решение, но весьма распространённое.

Горожане

В третьей группе компании, которые полностью замкнули свою инфраструктуру на себе: файлы хранятся только на внутренних серверах с драконовскими уровнями доступа, офлайновые офисные программы, внутренние мессенджеры и так далее. Ряд сотрудников могут обмениваться почтой только внутри организации, но не могут отправить письмо на электронный адрес вне компании.

Такие меры предосторожности понятны: много конфиденциальной информации, коммерческая и банковская тайна, защита от внешних внедрений.

В данном случае сотрудники накрепко привязаны к офису и внутренним рабочим инструментам.

Из этих примеров может показаться, что только информационная безопасность удерживает компании от перевода на удаленку. Но это не совсем так.

Инструменты и сложности

Для построения офисной работы в современных условиях нужны следующие инструменты:

1. сервисы для постановки задач и контроля их выполнения;
2. CRM;
3. внутренние и внешние средства коммуникации (чаты, почта, телефония, видеоконференции);
4. офисный пакет;
5. набор специального программного обеспечения (графические редакторы, программы для проектирования, бухгалтерия и прочие);
6. хранилище данных;
7. набор инструментов для обеспечения безопасности (антивирусы, резервное копирование и восстановление, удаленный доступ).

Здесь важно соблюдать некоторые правила:

• выбор менеджера задач делается раз и навсегда;
  
• чем больше мессенджеров, тем меньше коммуникаций;
• чем проще настроить почту, тем выше вероятность, что её будут использовать;
• телефон — всё ещё чуть хуже личной встречи.

Безопасность

Для того, чтобы обезопасить данные при удалённом доступе недостаточно установить пароли для пользователей и разграничить права. Не менее важно использовать дополнительные средства аутентификации и VPN

В этом разделе мы ограничимся описанием нескольких продуктов, которые могут предоставить удаленный доступ и максимально защитить данные.

ESET Secure Authentication (ESA)

Средство двухфакторной аутентификации. Пользователь вводит свой пароль для доступа к системе, а потом в сообщении получает второй, который генерируется случайно и действует ограниченное время.

Таким способом можно защитить:

• ресурсы компании;
• облачные сервисы веб-приложения Microsoft;
• подключение к Exchange Control Panel 2010 Exchange Administrator Center 2013;
• VPN и VDI системы;
• 1С.

Для ESA не нужно дополнительное оборудование, а настройка занимает всего несколько минут.

Поддерживаются аппараты на следующих платформах: iOS, Android, Windows Phone и выше, Windows Mobile, BlackBerry, Symbian и J2ME.

Check Point Sandblast agent

Это решение для непосредственной защиты рабочего компьютера пользователя.

Программа предоставляет следующие возможности:

• антивирус;
• шифрование данных и локальный межсетевой экран;
• VPN;
• Port Protection;
• система управления приложениями Application Control;
• Zero-Phishing и URL Filtering ограничивают доступ к вредоносным сайтам;
• Threat Extraction и Threat Emulation для анализа и блокировки подозрительных и опасных файлов;
• набор технологий для анализа поведения: Anti-Evasion, Anti-Exploit, Anti-Bot, AntiRansomware и другие;
• постоянный мониторинг системы и журналирование всех действий.

Пакеты управляются с помощью платформы SmartEndpoint, которую можно развернуть локально или в облаке. Антивирус SBA может интегрироваться с имеющимся ПО или полностью его заменить.

Communigate

Комплексный продукт с широкими возможностями, который требует установки на сервер.

В Communigate собрано сразу несколько защищённых инструментов:

• почтовый сервис, который может заменить решение от Microsoft;
• чат-система с рабочими группами, интеграцией с популярными мессенджерами;
• звонки между пользователями, в том числе аудиоконференции и видеосвязь;
• связь через офисную АТС;
• общие календари и с возможностью планирования и постановки задач;
• файловое хранилище.

Продукт мультиплатформенный, поддерживает интеграцию со сторонними CRM и сервисами для звонков.

Важное преимущество: коммуникационный сервер CommuniGate Pro зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных.

Traffic Inspector Next Generation

Отечественное решение от компании «Смарт-Софт». TING сертифицирован ФСТЭК и обладает 4-м классам защиты. Для его работы требуется отдельный сервер.

Решение подходит для защиты следующих объектов 1 и 2 класса защищенности:

• государственные информационные системы;
• автоматизированные системы управления производственными процессами;
• системами с персональными данными;
• информационных систем общего пользования.

В состав Traffic Inspector Next Generation входит большой набор инструментов:

• VPN;
• встроенная система обнаружения и предотвращения атак;
• межсетевой экран для защиты внутренней сети от внешнего вторжения;
• собственный антивирус ClamAV и модуль Traffic Inspector Next Generation Anti-Virus powered by Kaspersky;
• система контроля приложений для проверки пакетов и блокирования нежелательных приложений;
• веб-прокси с гибкими групповыми настройками, политиками и правилами;
• модуль NetPolice для фильтрации сайтов по черным и белым спискам;
• двухфакторная аутентификация;
• расписание работы для запрета выхода в интернет в определенное время.

Защитить можно не только компьютеры и ноутбуки пользователей, но и смартфоны на базе Andriod.

Поскольку продукт полностью российский, его можно использовать при импортозамещении.

UserGate

Ещё один отечественный продукт для комплексной защиты данных и сетей. Разработчики позиционируют продукт как решение для бизнеса любого уровня: от небольшого магазина до корпорации или центра обработки данных. Для работы нужно отдельное устройство или готовый образ для VMware, Hyper-V и других систем виртуализации.

В основе UserGate лежит собственная операционная система, в которой нет стороннего кода и модулей, что обеспечивает дополнительную защиту всей системе.

Что входит в комплекс:

• межсетевой экран;
• VPN;
• фильтры для интернета, включая блокировку рекламы и анализ трафика;
• система анализа и защиты от угроз;
• система для защиты почты;
• функция контроля приложений;
• защита беспроводных сетей;
• система контроля мобильных устройств пользователей;
• антивирусная защита.

UserGate прошел сертификацию ФСТЭК, поэтому может использоваться у государственных учреждениях.

Positive Technologies Application Firewall

Другое популярное решение в государственном секторе, также имеющее сертификат ФСТЭК. PT AF может поставляться как отдельный сервер, виртуальная машина, сервис в облаке Microsoft Azure. Также программный продукт можно разместить в выделенной виртуальной инфраструктуре.

Ключевые возможности программы:

• автоматическое блокирование атак нулевого дня с помощью интеллектуальных систем мониторинга;
• быстрое выявление основных угроз;
• P-Code — технология виртуального патчинга позволяет защитить приложение до исправления небезопасного кода;
• расширенная защита от DDoS-атак;
• защита от ботов;
• защита от утечки данных (DLP);
• маскирование данных для максимальной защиты конфиденциальной информации.

PT AF очень гибкое решение, которое можно интегрировать с другими системами защиты, например Check Point или Arbor.

Отдельно стоит рассказать о защите облачных данных. Выше мы уже говорили, что облачные сервисы становятся незаменимы для удаленной работы. Однако не всегда получается контролировать что именно пользователи выгружают в облака (это явление называется «теневые данные»). Таким образом появляется много возможностей для утечки данных. Их тоже нужно предотвратить. Поэтому появился отдельный класс продуктов Cloud Access Security Broker (CASB).

Мы рассмотрим продукты от Symantec и McAfee. Решения в целом схожие, что неудивительно, поскольку они выполняют одинаковые задачи.

Symantec Cloud Access Security Broker

Данное решение контролирует взаимодействие пользователя и облачного приложения. Для работы используется технология распознавания пользователей, а также их действий, анализ данных, которые отправляются в облако.

CASB расширяет возможности DLP-систем (защита от утечек данных) и UBA (анализ поведения).

Возможности программы:

• определение конфиденциальной информации и её контроль;
• применение политик защиты к данным;
• оценка угроз от поведения пользователей;
• анализ инцидентов;Проведение исследования в рамках реагирования на инциденты;
• повышение безопасности при использовании приложений на устройствах пользователей;
• мониторинг облачных сервисов, которые используют сотрудники компании и дальнейшая блокировка.

CASB легко интегрируется с установленными в компании фаерволами, прокси-серверами, UBA/UEBA и DLP решениями.

MVISION Cloud

Продукт от McAfee имеет практически те же возможности, что и CASB от Symantec, но имеет и свои особенности.

McAfee ведет собственный реестр облачных сервисов с баллами по шкале CloudTrust от 1 до 10. Отдельный модуль на основе искусственного интеллекта анализирует действия приложений и пользователей, самообучается и находит аномалии в системе.

Возможности программы:

• использование политик предотвращения утечек данных;
• продвинутая система настройки доступа к данным в облаках;
• блокирование синхронизации и загрузки данных рабочих на личные устройства пользователей;
• проверка учетных записей, внутренних угроз и вредоносных программ;
• поиск взломанных учетных записей, внутренних угроз и вредоносных программ;
• шифрование данных в облаке, поэтому даже владелец облака не может получить к ним доступ;
• постоянный аудит настроек безопасности и рекомендации по их усилению.

В «Волшебном квадрате» Gartner McAfee занимает лидирующие позиции и считается лучшим продуктом для защиты облачных данных.

TeamViewer

Для удалённой работы также важно обеспечить техническую поддержку, для чего нужен особый инструмент. И абсолютным лидером остается TeamViewer, возможности которого намного больше, чем простое подключение к другому компьютеру.

Теперь добавилась поддержка устройств с Android и iOS. Причем подключится можно не только к другому смартфону, но и компьютеру. Появилась и поддержка консоли Linux, так что работы по удаленной настройке можно провести даже в операционной системе нет интерфейса.

У TeamViewer есть и решение для совместной работы. В нем доступны следующие возможности:

• проведение видеоконференций;
• VoIP-телефония;
• чаты;
• интерактивные доски;
• доступ к экрану другого пользователя;
• обмен файлами.

Также стоит отметить, что это решение работает на Windows, macOS, Linux, Chrome OS и Android, что особенно важно, если один из членов команды на данный момент не может воспользоваться ноутбуком.

Резюме

Никто не может сказать когда наступит следующая эпидемия, однако уроки COVID-19 однозначны — удаленная работа из прихоти отдельных сотрудников становится нормой и всё больше компаний будут пользоваться её возможностями.

И тогда многие горожане станут столь же эффективны, как и кочевники. Главное обеспечить своих сотрудников необходимыми инструментами и обезопасить инфраструктуру.

А инструментов для этого намного больше, чем в нашем материале. Поэтому звоните и ипишите нам, а мы подберем нужные программы для вашей компании. Ведь каждый случай индивидуален и не бывает универсальных решений.