Удаленная работа
Если представители коммерческого сектора удаленный формат работы практиковали уже давно, то для чиновников эта ситуация стала большим стрессом – о каком «домашнем офисе» может идти речь, когда они ежедневно взаимодействуют с гражданами, официальными документами и системами?
«Сначала вынужденно все работали удаленно, потом пиковый период пандемии закончился. И оказалось, что госслужащие, которые не общаются напрямую с гражданами, потенциально могут трудиться вне офиса, – объясняет Игорь Козодеев. – Но возникает одно препятствие – информационная безопасность, так как периметр действия Сети в данном случае значительно расширяется».
В экстренном режиме пришлось налаживать систему удаленной работы, в том числе решать вопросы глобальной киберзащиты, ведь все требования информационной безопасности невозможно распространить на каждый домашний компьютер, а сотрудники ведомств входят в информационные системы с расширенными правами. Вендоры пошли навстречу и разрешили инсталлировать антивирусныце программы в большем количестве, нежели было куплено лицензий, но и такая мера не стала спасением.
Текущее законодательство тоже не было готово к таким резким переменам. Существует множество нормативных документов от ФСТЭК, ФСБ, где сказано, что при удаленном доступе предусматривается более серьезная модель угроз, которая отличается от той, что прорабатывается для защищенного периметра. Поэтому необходимо было срочно решать нетривиальную задачу – обеспечить охрану информационной системе при условии, что компьютеры находятся за пределом защищенного периметра, а соответственно и менять требования к аттестации, к организации безопасности - защиту информационной системы.
«Обеспечение удаленного доступа к информационным системам за пределами рабочего места в офисе – это серьезная проблема, – говорит Игорь Александрович. – Законодательство, к сожалению, не успевает за всеми изменениями, которые происходили в последнее время – получается, что если соблюдать все требования, то госслужащим нельзя работать из дома. Но в 2020-м году мы реализовали переход на удаленку, смогли обеспечить безопасность, защитили канал связи гибридным способом. В то время во всём мире был скачок киберпреступлений, поэтому мы сделали упор на информационную безопасность».
Глубокий анализ
По словам Игоря Козодеева, когда в момент все государственные системы оказались более уязвимыми, в качестве компенсационной меры силы были брошены на усиление контроля, более глубокий мониторинг событий. Помимо системы оперативного мониторинга Касперского в ЦИТТО в Центре мониторинга был создан собственный «Сектор противодействия кибератакам», работающий с системой мониторинга MaxPatrol SIEM, созданной российским разработчиком программного оборудования Positive Technologies - программного обеспечения.
«Сбор критичных событий с офисных АРМ-ов, сетевых экранов, маршрутизаторов, коммутаторов и других устройств стекается в наш центр мониторинга MaxPattrol SIEM, где информация нормализуется, анализируется на постоянной очнове и делаются выводы о том, подвергается ли информационная система угрозе, – рассказывает Игорь Александрович. – Например, в определенной медицинской организации, в которой процессор маршрутизатора обычно загружен на 30–50%, нагрузка вдруг вырастает до 80–90%. Что произошло? На первый взгляд, это не вопрос кибербезопасности – просто увеличился трафик, но с другой стороны, что к этому привело – это вирус, действия хакеров?»
Использование решения по сбору и управлению событиями информационной безопасности MaxPatrol SIEM дало возможность превентивно подойти к современным угрозам информационной безопасности, которые невозможно обнаружить при использовании привычных средств защиты информации. Были проведены работы по написанию правил обнаружения компьютерных атак для MaxPatrol SIEM с использованием общеизвестных лучших практик по выявлению инцидентов ИБ, в том числе матрицы mittre attack.
Аналитика действий пользователей, выявление аномалий в сетевом трафике и действиях пользователей, выявление возможных индикаторов компрометации и множество других возможностей, позволили своевременно обнаруживать вредоносную и подозрительную активность на начальном этапе ее возникновения. А своевременное реагирование позволили предотвратить возникновение критичных инцидентов информационной безопасности.
В центр мониторинга MaxPatrol SIEM из разных источников собираются и анализируются косвенные события, часть из них рядовые, но только при таком глубоком анализе можно быстро обнаружить угрозу, особенно это актуально для больших распределенных информационных структур. В результате становится возможным минимизировать угрозы серьезных атак, которые были целенаправленно организованы и нацелены проникнуть туда, где существует брешь в защите либо ИС, особенно, когда у бюджетной организации, учреждения нет штатного специалиста по информационной безопасности.
Удаленка. Продолжение.
Все думали, что неспокойное время пройдет, и работа госслужащих вернется на прежние рельсы. Пик пандемии, кажется, позади, но возникли новые потребности, и сегодня осталась часть специалистов госорганов, которые продолжили работать удаленно. Да, это не 40% чиновников, как в прошлом году, а всего 5–10%, но им нужно обеспечить, с одной стороны, комфортные условия работы, с другой – наладить систему информационной защиты и перевести ее из экстремального режима 2020 года в нормальный рабочий режим, учитывая все требования, которые предъявляются регуляторами к информационным системам.
Как обеспечить базовый уровень кибербезопасности среднего предприятия/организации.
10 советов специалиста
1. Обеспечиваем антивирусную защиту АРМ-ов
Информационная безопасность начинается с установки антивирусной программы – это обязательное условие, которое не обсуждается! Ее наличие обеспечивает 80% безопасности информационной системы. К тому же сегодня антивирусные программы значительно продвинулись: они могут выступать сетевым экраном, контролировать действия программы на компьютере, а не только ищут зловредные программы. Желательно использовать антивирусные продукты корпоративного уровня.
2. Web-ресурсы выносим за периметр
если предприятие имеет собственные WEB-ресурсы, необходимо «вынести» их за периметр корпоративной Сети. Например, поместить их в облако, оставив в периметре только внутренние ресурсы и АРМ. Как обычно web-ресурс является своебразной «дверью» для удаленного доступа злоумышленников, если он недостаточно безопасный, то становиться «дыркой», через которую реализуется угроза проникновения внутрь сети предприятия.
3. Не забываем обновлять все ПО всех устройств и компонентов
Необходимо помнить, что всю систему программного обеспечения нужно регулярно обновлять до последних актуальных версий. В основном это не стоит больших финансовых затрат, но уменьшает вероятность реализации уже известных угроз. Возможно, это покажется лишней морокой, но любое ПО устаревает, и однажды может оказаться, что пользуется программное обеспечение, которую уже давно «взломали» киберпреступники и имеют инструменты реализации угроз в «старом» ПО.
4. Защита канала подключение ЛВС к сети Интернет
Наличие правильно настроенного МЭ на стыке ЛВС с каналом доступа в сеть Интернет либо услуги МЭ со стороны провайдера, вопрос максимальной важности для ИБ органищзации. Максимально ограничиваемся только теми сервисами и портами которые точно необходимы для функционирования организации, допустим только выход в сеть, но ни каких внешних подключений из сети Интернет
5. Устанавливаем сложные пароли и периодически их меняем
Легкий и предсказуемый пароль – это «легко и удобно пользователю», но это в буквальном смысле слова «приманка» для кибер преступника. Пароль должен быть сложным, он должен периодически меняться, а еще лучше для авторизации использовать какой-то дополнительный фактор. Менять пароль рекомендуется не реже 90 дней.
6. Ограничиваем использование на рабочем компьютере съемных носителей
Организация может иметь защищенный офис, квалифицированную охрану, но работник приносит из дома флешку (смартфон и т.д.), включает ее в корпоративный компьютер и заражает его вредоносным ПО, либо использует рабочий компьютер как зарядку для своего мобильного телефона, через который также могут проникать угрозы извне. Рекомендуется максимально ограничить использование съемных носителей на рабочих АРМ, даже если это приносит неудобство пользователям.
7. Защищаем локальную почтовую систему
Если используется корпоративная облачная почтовая система, то там уже все защиты есть. Если же в офисе используется локальная почтовая система, то организация ее защиты – крайне важное условие информационной безопасности организации.
8. Чистим неиспользуемые сервисы и программы
отключаем все неиспользуемые системные и прикладные сервисы, например, «удаленный доступ к рабочему столу» уже не используются, то его нужно отключать. Так как киберпреступники зачастую взламывают как раз такие артефакты, которыми когда-то пользовались, а потом забыли. Это не стоить никаких денег, но является обязательным условием защиты.
9. Сегментация ЛВС организации
Выявление функциональных сегментов организации и реализация этого на уровне ЛВС, настройка сетевого оборудования на максимальное сегментирование и изоляцию этих функциональных частей, Угроза реализованная в одном сегменте не приведет к поражению всей сети, либо увеличит время реализации угрозы для все сети.
10. Обучение и просвещение
Периодическое просвещение и обучение сотрудников по вопросам информационной безопасности и необходимости помнить о потенциальных неприятностях для их лично и организации в целом, которые могут возникать при реализации угроз ИБ.
«Джентльменский» набор мер которые позволяют минимизировать риски ИБ до приемлемого уровня для средней/малой организации ведущей активный бизнес в современных условиях.