Работодатели перевели сотрудников на удаленную работу, чтобы защитить их от коронавируса. Но не все компании позаботились о собственной защите, хотя удаленный доступ — DaaS, RDP и пр. — тип подключения, который требует смены фокуса мониторинга и специальных мер защиты от кибератак.
Меры эти несколько отличаются от традиционных, когда сотрудники (и их рабочие устройства) находятся внутри корпоративного периметра безопасности. На то есть целый список причин — от уязвимости в протоколах и технологиях удаленного доступа, до того, что сотрудники подключаются к внутренней сети с личных устройств, не защищенных даже антивирусом.
Чтобы провести оперативную и комплексную оценку уровня защищенности удаленного доступа, лучший вариант — организовать тестирование на проникновение. Суть метода в следующем. Компания обращается к сторонней организации — экспертам по информационной безопасности (ИБ), которые имитируют различные варианты кибератак. С помощью специального ПО и ручных методов взлома эксперты выявляют всевозможные риски, ошибки и «дыры» в информационной системе, включая критичные для удаленного доступа. После чего заказчик получает подробный отчет с описанием уязвимостей и рекомендациями о том, как их закрыть.
[button type=»feedback»]Оставить заявку[/button]
Виды уязвимостей удаленного доступа
По опыту ИБ-специалистов ITGLOBAL.COM, немалая часть векторов атаки на корпоративную сеть компании извне связана с уязвимостями веб-приложений. Здесь возможны и недостатки в конфигурации ПО — например, примитивные настройки политик доступа, упрощенный алгоритм регистрации новых пользователей и т. п., — и то, что сотрудникам разрешается использовать простые пароли для входа. Всё это облегчает задачу злоумышленникам, которые стремятся проникнуть во внутреннюю сеть компании — например, в Intra- портал, где хранится коммерческая информация.
Также популярна эксплуатация уязвимостей в протоколах и ПО, которые используются для удаленного доступа. Примеры: ошибка безопасности в ОС Windows — в версиях 7, Server 2008 и Server 2008 R2, — известная как BlueKeep (код CVE-2019-0708), ошибка CVE-2019-19781 в ПО Citrix, уязвимость фреймворка Laravel (CVE-2018-15133), а также ряд уязвимостей сетевого оборудования.
Разумеется, компании, у которых есть собственный отдел ИБ скорее всего закрывают известные «дыры» и ошибки. Однако даже квалифицированные безопасники вряд ли могут защитить от уязвимостей нулевого дня. Стоит ли говорить о рисках для компаний, у которых нет в штате специалиста по ИБ, и не налажено даже элементарное обновление приложений и ОС.
Сотрудник — тоже уязвимость
Не каждая организация позволяет себе удаленное подключение сотрудников через корпоративные устройства — из-за технических или финансовых ограничений. А это значит, что условный Петр Иванов может использовать личный ноутбук для установки «толстого клиента» и подключения к служебным сервисам. Хорошо, если господин Иванов — человек сознательный: не посещает сомнительные сайты, заскучав на самоизоляции, не скачивает сомнительное ПО с торрентов, не ленится придумывать сложные пароли, обновляет антивирус. В противном случае, используя личное устройство Петра Иванова, киберпреступник может получить доступ к ресурсам и инфраструктуре компании с полными привилегиями.
Не стоит забывать и о том, что сотрудники подключаются из дома через интернет-канал, который никем не контролируется. Здесь дополнительно появляются риски, связанные, например, с уязвимостями домашней Wi-Fi-сети и соответствующего оборудования — роутера или точки доступа. Сложно представить, что после перехода на удаленку, сотрудники поголовно бросились проверять настройки безопасности своих устройств, даже если получили на то строгие инструкции.
В идеале ИБ-отдел компании применяет набор инструментов для мониторинга и защиты удаленного доступа: SIEM- и MDM-системы, Web application firewall, DLP, NTA-решения, терминальный сервер с двухфакторной авторизацией. Но это в идеале. Некоторым компаниям можно обойтись и более скромными средствами. В этом как раз и помогает тестирование на проникновение.
Плюсы тестирования
Для анализа защищенности удаленного доступа специалисты ITGLOBAL.COM используют сканеры уязвимостей, которые позволяют обнаружить уязвимости приложений, ОС и инфраструктуры в целом. Кроме того, применяется прикладное ПО: Metasploit, Burp Suiite, nmap и другие. Также используются методы ручного взлома из арсенала киберпреступников.
Тестирование включает в себя внешний и внутренний анализ защищенности (модели Black Box и Grey Box). Оба проводятся дистанционно. Стоит отметить, что ИБ-эксперты ITGLOBAL.COM ничего не «ломают» в инфраструктуре и не получают доступа к внутренней, критически важной для компании информации. Однако такая возможность проверяется и, в случае «успеха», демонстрируется клиенту.
По итогам работ клиент получает подробный отчет о выявленных уязвимостях. Помимо этого, в отчете описывается методология тестирования, указывается, какие объекты тестировались, объясняется, насколько критичны уязвимости и как их устранить.
По любым вопросам об услуге «Анализ безопасности удаленного доступа» можно обратиться к нашим специалистам.