Почему гибридная работа - это кошмар кибербезопасности?
30.07.2021
Статьи
Мечта хакера - постоянно меняющаяся смесь офисных и удаленных работников, устройств, которые перемещаются в сети компании и за ее пределами.
Для многих начальников и сотрудников возвращение в офис приносит определенное облегчение - особенно для тех, у кого есть возможность продолжать частично работать дома. Но для отделов ИТ и ИБ, которые работают над защитой офисов от хакеров, гибридный формат работы не столь однозначен.
В типичной гибридной работе некоторые сотрудники находятся в офисе, другие работают дома - или в таких местах, как кофейни и коворкинги, а некоторые перемещаются туда-сюда. Устройства также перемещаются в сеть компании и из нее: сотрудники приносят свои ноутбуки, а затем забирают их домой, где они становятся более уязвимыми для хакеров и могут быть заражены вредоносным ПО.
Таким образом, перед руководителями служб безопасности стоит задача поддержки постоянно меняющегося сочетания офисных и удаленных работников, а также корпоративных и домашних устройств. В то время как команды безопасности могли сосредоточиться на защите удаленных сотрудников во время их пребывания дома, сделать это, когда сотрудники находятся в офисе в одни дни недели, а в другие дома, будет непросто.
Ситуация еще более усугубляется тем, что команды по обеспечению безопасности были перегружены работой в связи с пандемией. В течение последнего года им приходилось следить за тем, чтобы все были готовы работать отовсюду и могли и относительно безопасно использовать все необходимые инструменты. Теперь, когда компании приступают к новым проектам, которые были отложены на время пандемии, ситуация только усугубится.
Проблемы, связанные с гибридной работой, возникли после тяжелого года для компаний, которые были застигнуты врасплох пандемией коронавируса. Многим из них впервые пришлось перейти на полностью удаленную модель работы, причем зачастую практически в одночасье. Хакеры быстро поняли, что незащищенные домашние сети и отсутствие средств безопасности, которые обычно используются в корпоративных сетях, могут работать на них. По оценкам Всемирного экономического форума, в период с февраля по апрель 2020 года число кибератак во всем мире возросло на 238%.
Злоумышленники продолжают атаковать корпоративные сети, и во многих случаях атаки направлены на технологии, которые компании внедрили для быстрого обеспечения удаленной работы, например, облачные сервисы. Отчет компании Verizon Communications Inc., опубликованный в мае 2021 года, показал, что атаки на облачную электронную почту, приложения для удаленного рабочего стола и подобные технологии, предназначенные для помощи в удаленной работе, увеличились по сравнению с 2020 годом.
Многие многие организации, вероятно, поторопились с переходом на удаленную работуи, возможно, сделали это не совсем правильно.
Вот некоторые из проблем, с которыми сталкиваются компании при переходе на новый режим работы, и как они с ними справляются.
Теперь руководители служб безопасности опасаются количества устройств, которые могут простаивать в офисах - выключенными и не имеющими возможности загрузить исправления. И речь идет не об одном патче, а о десятках или сотнях.
Не меньшее беспокойство вызывают устройства, которые использовались сотрудниками во время удаленной работы. Из-за длительного отсутствия в офисе пользователи могут небрежно относиться к установке патчей, что делает их уязвимыми при повторном подключении к корпоративной сети.
Многие компании перекладывают большую часть исправлений на конечных пользователей. Но если они не подключались к сети в течение длительного периода времени, отдел ИБ может и не знать какое ПО осталось непропатченным.
В ходе опросов выяснялось, что более половины сотрудников подключали рабочие устройства к общедоступным беспроводным сетям, которые считаются небезопасными. Кроме того, сотрудники часто используют рабочие устройства для личных дел, таких как интернет-банкинг и загрузка приложений, а некоторые – подключают их к умным домашним устройствам, таким как колонки.
Подключение таких устройств к сети компании может позволить хакерам проникнуть в периметр организации. Вместо этого, наиболее безопасным может быть подключение личных устройств к "карантинной сети".
При такой модели пользовательские устройства подключаются к сети, отделенной от корпоративных систем, пока сотрудники службы безопасности не убедятся, что на устройствах нет вредоносных программ и они соответствующим образом пропатчены.
Сотрудники службы безопасности также должны быть бдительны в отношении более сложных угроз, которые могут поджидать на устройствах сотрудников - например, вредоносных программ, которые могут находиться в "спящем" режиме в течение некоторого времени, прежде чем проснуться и перейти к дальнейшему заражения.
Будет ли карантин работать на постоянной основе? Управление карантинными сетями может быть затруднено, если сотрудники часто приходят и уходят из офиса и им приходится постоянно помещать устройства в карантин, а не делать это один раз во время полного возвращения в офис.
Итак, какова же альтернатива? Одна из возможностей - концепция, называемая нулевым доверием.
Чтобы понять, что такое нулевое доверие, рассмотрим традиционный тип сетевой безопасности. Обычно она сосредоточена на создании периметра вокруг сети компании, чтобы не допустить проникновения злоумышленников.
Проблема заключается в том, что при гибридной работе злоумышленникам очень легко прорвать эту внешнюю защиту, поскольку сотрудники, работающие дома, не проявляют должной бдительности.
Более зрелые системы используют многофакторную аутентификацию. Политика нулевого доверич делает еще один шаг вперед. Даже после того, как пользователи проходят аутентификацию, службы безопасности постоянно обмениваются информацией в фоновом режиме, чтобы проверить, могут ли пользователи получить доступ к определенным системам или файлам, а не считают, что раз они прошли через шлюз, то им должно быть разрешено свободное перемещение.
Действуя таким образом, сотрудники службы безопасности исходят из того, что хакеры уже находятся внутри систем компании, и их задача - затруднить возможность дальнейшего распространения. Поскольку эти процессы обычно автоматизированы, при нулевом доверии не нужно полагаться на пользователей.
В компании Microsoft Corp. команда CISO Брета Арсено создала систему "нулевого доверия" для проверки личности сотрудников и их устройств на каждом шагу, в том числе с помощью многофакторной аутентификации, которая может включать сканирование лица, глаз и отпечатков пальцев. По его словам, когда инструменты проверят пользователей Microsoft, они будут направлять сотрудников непосредственно в облачные приложения, такие как рабочий пакет Office365, а не в корпоративную сеть.
Совершенствование управления идентификацией и других основных концепций нулевого доверия может в значительной степени помочь противостоять хакерам, которые часто полагаются на скомпрометированные учетные данные. Около 61% атак в 2020 году в той или иной степени были связаны с угрозой, говорится в майском отчете Verizon.
Для многих начальников и сотрудников возвращение в офис приносит определенное облегчение - особенно для тех, у кого есть возможность продолжать частично работать дома. Но для отделов ИТ и ИБ, которые работают над защитой офисов от хакеров, гибридный формат работы не столь однозначен.
В типичной гибридной работе некоторые сотрудники находятся в офисе, другие работают дома - или в таких местах, как кофейни и коворкинги, а некоторые перемещаются туда-сюда. Устройства также перемещаются в сеть компании и из нее: сотрудники приносят свои ноутбуки, а затем забирают их домой, где они становятся более уязвимыми для хакеров и могут быть заражены вредоносным ПО.
Таким образом, перед руководителями служб безопасности стоит задача поддержки постоянно меняющегося сочетания офисных и удаленных работников, а также корпоративных и домашних устройств. В то время как команды безопасности могли сосредоточиться на защите удаленных сотрудников во время их пребывания дома, сделать это, когда сотрудники находятся в офисе в одни дни недели, а в другие дома, будет непросто.
Ситуация еще более усугубляется тем, что команды по обеспечению безопасности были перегружены работой в связи с пандемией. В течение последнего года им приходилось следить за тем, чтобы все были готовы работать отовсюду и могли и относительно безопасно использовать все необходимые инструменты. Теперь, когда компании приступают к новым проектам, которые были отложены на время пандемии, ситуация только усугубится.
Проблемы, связанные с гибридной работой, возникли после тяжелого года для компаний, которые были застигнуты врасплох пандемией коронавируса. Многим из них впервые пришлось перейти на полностью удаленную модель работы, причем зачастую практически в одночасье. Хакеры быстро поняли, что незащищенные домашние сети и отсутствие средств безопасности, которые обычно используются в корпоративных сетях, могут работать на них. По оценкам Всемирного экономического форума, в период с февраля по апрель 2020 года число кибератак во всем мире возросло на 238%.
Злоумышленники продолжают атаковать корпоративные сети, и во многих случаях атаки направлены на технологии, которые компании внедрили для быстрого обеспечения удаленной работы, например, облачные сервисы. Отчет компании Verizon Communications Inc., опубликованный в мае 2021 года, показал, что атаки на облачную электронную почту, приложения для удаленного рабочего стола и подобные технологии, предназначенные для помощи в удаленной работе, увеличились по сравнению с 2020 годом.
Многие многие организации, вероятно, поторопились с переходом на удаленную работуи, возможно, сделали это не совсем правильно.
Вот некоторые из проблем, с которыми сталкиваются компании при переходе на новый режим работы, и как они с ними справляются.
Исправления безопасности
Одна из самых основных проблем, с которой сталкиваются организации - это обновление машин последними исправлениями программного обеспечения. Эти обновления выпускаются постоянно для того, чтобы уязвимости в системе безопасности не оставались открытыми для хакеров. Если компании пропустят хотя бы один из них, они могут заплатить за это очень высокую цену.Теперь руководители служб безопасности опасаются количества устройств, которые могут простаивать в офисах - выключенными и не имеющими возможности загрузить исправления. И речь идет не об одном патче, а о десятках или сотнях.
Не меньшее беспокойство вызывают устройства, которые использовались сотрудниками во время удаленной работы. Из-за длительного отсутствия в офисе пользователи могут небрежно относиться к установке патчей, что делает их уязвимыми при повторном подключении к корпоративной сети.
Многие компании перекладывают большую часть исправлений на конечных пользователей. Но если они не подключались к сети в течение длительного периода времени, отдел ИБ может и не знать какое ПО осталось непропатченным.
Личные устройства
Когда речь идет об устройствах сотрудников, работающих дома, проблема заключается не только в отсутствии патчей. Дело в том, что многие сотрудники стали небрежно относиться к методам обеспечения безопасности.В ходе опросов выяснялось, что более половины сотрудников подключали рабочие устройства к общедоступным беспроводным сетям, которые считаются небезопасными. Кроме того, сотрудники часто используют рабочие устройства для личных дел, таких как интернет-банкинг и загрузка приложений, а некоторые – подключают их к умным домашним устройствам, таким как колонки.
Подключение таких устройств к сети компании может позволить хакерам проникнуть в периметр организации. Вместо этого, наиболее безопасным может быть подключение личных устройств к "карантинной сети".
При такой модели пользовательские устройства подключаются к сети, отделенной от корпоративных систем, пока сотрудники службы безопасности не убедятся, что на устройствах нет вредоносных программ и они соответствующим образом пропатчены.
Сотрудники службы безопасности также должны быть бдительны в отношении более сложных угроз, которые могут поджидать на устройствах сотрудников - например, вредоносных программ, которые могут находиться в "спящем" режиме в течение некоторого времени, прежде чем проснуться и перейти к дальнейшему заражения.
Будет ли карантин работать на постоянной основе? Управление карантинными сетями может быть затруднено, если сотрудники часто приходят и уходят из офиса и им приходится постоянно помещать устройства в карантин, а не делать это один раз во время полного возвращения в офис.
Человеческий фактор
Однако, по мнению некоторых руководителей служб безопасности, гибридная модель связана с таким количеством рисков, что нам необходимо полностью переосмыслить подход к обеспечению сетевой безопасности. Представьте себе, если бы мы с самого начала работали по гибридной модели. Действительно ли мы относились бы к кибербезопасности так же, как сейчас?Итак, какова же альтернатива? Одна из возможностей - концепция, называемая нулевым доверием.
Чтобы понять, что такое нулевое доверие, рассмотрим традиционный тип сетевой безопасности. Обычно она сосредоточена на создании периметра вокруг сети компании, чтобы не допустить проникновения злоумышленников.
Проблема заключается в том, что при гибридной работе злоумышленникам очень легко прорвать эту внешнюю защиту, поскольку сотрудники, работающие дома, не проявляют должной бдительности.
Более зрелые системы используют многофакторную аутентификацию. Политика нулевого доверич делает еще один шаг вперед. Даже после того, как пользователи проходят аутентификацию, службы безопасности постоянно обмениваются информацией в фоновом режиме, чтобы проверить, могут ли пользователи получить доступ к определенным системам или файлам, а не считают, что раз они прошли через шлюз, то им должно быть разрешено свободное перемещение.
Действуя таким образом, сотрудники службы безопасности исходят из того, что хакеры уже находятся внутри систем компании, и их задача - затруднить возможность дальнейшего распространения. Поскольку эти процессы обычно автоматизированы, при нулевом доверии не нужно полагаться на пользователей.
В компании Microsoft Corp. команда CISO Брета Арсено создала систему "нулевого доверия" для проверки личности сотрудников и их устройств на каждом шагу, в том числе с помощью многофакторной аутентификации, которая может включать сканирование лица, глаз и отпечатков пальцев. По его словам, когда инструменты проверят пользователей Microsoft, они будут направлять сотрудников непосредственно в облачные приложения, такие как рабочий пакет Office365, а не в корпоративную сеть.
Совершенствование управления идентификацией и других основных концепций нулевого доверия может в значительной степени помочь противостоять хакерам, которые часто полагаются на скомпрометированные учетные данные. Около 61% атак в 2020 году в той или иной степени были связаны с угрозой, говорится в майском отчете Verizon.