Дистанционната и хибридната работа са тук, за да останат. Дистанционните работници се радват на количествено по-висока производителност и по-голям баланс между работа и личен живот – по-силната автономия и чувството на доверие между служителите и мениджърите допълнително проправят пътя за по-високи нива на задържане.
Въпреки това безопасното отключване на предимствата на защитения отдалечен достъп се оказва значително предизвикателство. За мнозина отдалеченият достъп до устройства беше въведен за първи път в първите дни на пандемията и докато смесените решения помогнаха в последвалата битка, твърде много организации все още разчитат на грешни методи за отдалечен достъп. Традиционна VPN, например, се превърна в епицентър на подкрепяната от Русия атака на Colonial Pipeline, която спря доставките на газ в източната част на САЩ и накара президента Байдън да издаде национално извънредно положение.
Достъпът до данни е парадокс: от една страна, производителността на дистанционната работа зависи от достъпа на потребителите до файлове и системни ресурси. Тези данни трябва да бъдат едновременно достъпни за потребителите – и недостъпни за нападателите.
Технологии и концепции за защитен отдалечен достъп
Процесът на свързване на удостоверени потребители към чувствителни вътрешни мрежи може да бъде пълен с опасности. Независимо дали стриктната дигитална хигиена вижда служители да използват повторно пароли или определени служители желаят да използват собствените си лични устройства, стандартизираният отдалечен достъп може да бъде труден за поддържане на сигурност. Ето някои от най-разпространените софтуерни технологии за защитен отдалечен достъп.
VPN
Виртуалните частни мрежи (VPN) предлагат един от първите сигурни софтуери за отдалечен достъп. Традиционно VPN насочва връзката на служителя през сървър за мрежов достъп. Това позволява на служителя да се свърже с корпоративна мрежа през публичния интернет; всички данни, пътуващи към или от корпоративната мрежа, са криптирани. Преди да се свържете със сървъра за мрежов достъп, удостоверяването на базата на идентификационни данни работи, за да провери лицето, използващо устройството. Процесът на удостоверяване може да бъде уникален за сървъра – или отделен сървър за удостоверяване, работещ в мрежата.
Въпреки че са полезни, VPN позволяват достъп до цялата корпоративна мрежа по подразбиране, което означава, че компрометиран акаунт може да се възползва от всички предимства на широкия достъп. Това се влошава от факта, че кражбата на идентификационни данни продължава да бъде особено трудна тема за VPN мрежите, тъй като служителите редовно използват повторно пароли между устройства за вътрешен и отдалечен достъп. Една единствена повторно използвана парола за VPN сега се смята, че е основният метод за влизане в атаката на рансъмуер Colonial Pipeline.
Многофакторно удостоверяване
Използвано като начин за избягване на проблема с компрометирани идентификационни данни, многофакторното удостоверяване (MFA) стои на върха на процеса на удостоверяване, базиран на идентификационни данни. Целта на MFA е да провери самоличността на свързващия се потребител чрез втори фактор, като например телефон, преди да има достъп до чувствителни корпоративни данни. Внедряването на MFA се предлага от много VPN доставчици и помага за рационализиране на протоколите за сигурност на достъпа. Това привежда отдалечения достъп в съответствие с влизането в приложения за имейл и споделяне на файлове.
Достъп до мрежа с нулево доверие
Zero Trust Network Access (ZTNA) има за цел да се бори с един от основните недостатъци на VPN. Вместо да позволяват пълен достъп до целевата мрежа, ZTNA платформите свързват потребителите само към специфичните приложения и системи, от които се нуждаят. Това се постига чрез клъстер от решения. Първо, заявката за връзка на потребителя изисква удостоверяване; довереният брокер в идеалния случай ще се интегрира със съществуващия доставчик на идентичност на организацията за това. Веднъж успешен, ZTNA се обръща обратно към машина за правила, която определя нивото на достъп за всеки потребител. Накрая потребителят се свързва директно с приложението, което иска. Този подробен подход към мрежовия достъп лишава участниците в заплахата – дори тези, които притежават напълно компрометирани акаунти – шанса да се придвижат странично.
Secure Access Service Edge (SASE) е нов модел на отдалечена сигурност, който взема дефинираните софтуерни периметри на ZTNA и го комбинира с други решения за сигурност, базирани на облак. Например, докато ZTNA предоставя специфичен за приложението достъп, интегриран брокер за сигурност на достъп до облак (CASB) оценява сигурността на обработката на данни от всяко приложение. Корпоративните данни се наблюдават с идентифициране на злонамерено поведение на приложения. В същото време SASE премества защитата на защитната стена в облака, а не в периметъра на мрежата от старата школа. Екипите по сигурността се възползват от изглед в реално време на нарушения на съответствието, докато отдалечена и изключително мобилна работна сила може да изпраща и получава данни от корпоративната мрежа. В цялата организация се прилагат последователни политики за сигурност.
Защо защитеният отдалечен достъп е важен?
Въпреки че дистанционната работа вече беше установена преди 2020 г., пандемията от Covid-19 беше катализаторът за превръщането на дистанционната работа в мейнстрийм. Това ускори търсенето на потребителите за достъп до организационни мрежи при необходимост; организационните мрежи внезапно трябваше да улеснят достъпа от множество различни места едновременно. По-голямата част от връзките сега произхождаха от домашните мрежи на служителите – и много служители също използваха лични устройства. Това засили рисковете, пред които са изправени корпоративните и личните мрежи, и често обезсили наследените мерки за сигурност.
Първоначално това беше техническо главоболие. Много организации обаче са открили културните и финансови предимства на дистанционната работа: много фирми вече са свободни да наемат въз основа на квалификация, а не на местоположение. От друга страна, развиващите се групи за нападение надеждно правят жертви на организациите, които не успяват да се справят с повишените изисквания към данните и мрежовата хигиена. Освен това уязвимостите остават най-високи за всички времена; това принуди защитения отдалечен достъп в горните списъци с приоритети за ИТ отделите и отделите по сигурността по целия свят. Във всяка индустрия нова базова линия за сигурност улеснява отдалечения достъп до системата за всеки потребител от всяка мрежа, от която се свързва, на всяко избрано от него устройство.
Какви са рисковете от защитения отдалечен достъп?
Рискът около отдалечения достъп варира в зависимост от вида на решението за отдалечен достъп. По-долу са някои от опасенията за сигурността и потребителите, свързани с някои от най-популярните подходи за отдалечен достъп.
Правила за разрешителен отдалечен достъп
Проблем, който най-често се среща сред VPN решенията, разрешителните политики за достъп дефинират достъпа през цели мрежи. Докато правилата на защитната стена често позволяват достъп до почти всичко в корпоративните мрежи, дори модерният софтуер за отдалечен достъп изисква внимателно осигуряване на достъп. Потребителските привилегии трябва да бъдат внимателно разделени, в противен случай радиусът на взрив на компрометиране на акаунта става много по-голям, отколкото би имал иначе.
Отдалечени устройства
Когато дистанционната работа внезапно стана мейнстрийм, много организации бяха изправени пред избора между закупуването на домашно оборудване (като същевременно преглъщат загубите от широкоразпространените смущения) или да позволят на служителите да използват собствените си лаптопи. Това отвори вратата за значителни пикове в уязвимостите на хардуерната верига за доставки. Слабостите в домашните wifi рутери на ASUS, например, напоследък проправяха пътя за подкрепяни от Русия атаки Sandworm.
А статистически по-загрижен аспект към BYOD е липсата на криптиране, предлагано на данните вътре. Това създава риск от разкриване на корпоративни активи, особено когато устройството е откраднато или по друг начин премахнато от дома на потребителя.
Трудоемка настройка
Докато VPN исторически не са предлагани най-голямата защита за отдалечен достъп, те са значително по-лесни за настройка от някои новомодни решения. Например внедряването на SASE изисква пълно преразглеждане на политиките за удостоверяване. Като се има предвид, че мрежата трябва да продължи да функционира по време на този процес, често е по-лесно да се изгради нова мрежа от самото начало. Това представлява сериозен проблем и за по-стари и наследени машини – ако те са несъвместими със защитените протоколи за отдалечен достъп на Zero Trust, много организации се оказват, че трябва да започнат почти от нулата.
Липса на видимост на потребителите
Когато работите отдалечено, за екипите по сигурността става особено важно да наблюдават състоянието на всяко крайно устройство. Познаването на това може да помогне за проактивно спиране на разпространението на злонамерен софтуер в една отдалечена организация. Въпреки това, дори в много съвременни решения, пропускателната способност на трафика в локалните мрежи е невероятно непрозрачна. Невъзможността за наблюдение на този трафик прави много по-трудно идентифицирането на напреднали заплахи, което повишава възможността за компрометиране на отдалечено устройство. Нещата се усложняват от факта, че анализаторите по сигурността вече често работят и от вкъщи – липсата на видимост става двойна и рискува слепият да води слепия. Тази комбинация може да позволи на нападателите да навлязат дълбоко в корпоративните мрежи.
Злонамерен достъп
Отдалеченият достъп позволява на потребителите да имат достъп до чувствителни данни и системи извън организацията, по проект. Следователно нападателите, които са в състояние да използват несигурни технологии и да получат неоторизиран достъп до мрежата или отдалечено свързващи устройства, може да са в състояние да откраднат поверителна информация, да въведат злонамерен софтуер или ransomware или да нарушат бизнес операциите.
Неоторизиран достъп може да бъде получен чрез използване на уязвимости в самата технология за отдалечен достъп, като слаби пароли, софтуер без корекции, неправилно конфигурирани настройки за сигурност или браузър. Те също могат да използват техники за социално инженерство, като фишинг, за да подмамят отдалечени потребители да разкрият своите идентификационни данни за вход или друга чувствителна информация.
Атаки за поглъщане на акаунт
Подмножество от злонамерен достъп е поглъщането на акаунт, т.е. нападателят получава достъп до идентификационните данни на легитимния потребител и извършва кражба на самоличност. За една организация това означава, че атакуващият може да се маскира като легитимен потребител и да напредва странично в системата според разрешенията на потребителя.
Потребителските идентификационни данни могат да бъдат компрометирани чрез различни методи, включително социално инженерство (като фишинг атаки), груби атаки и отгатване на пароли. Нападателите може също да са в състояние да прихванат сесии за отдалечен достъп или да използват уязвимостите в самите инструменти за отдалечен достъп, за да получат достъп до системата или ресурса.
Какви са предимствата на защитения отдалечен достъп?
Предимствата на сигурния отдалечен достъп за служителите са съсредоточени около засилена и гъвкава позиция за сигурност. Проактивният подход за защитен отдалечен достъп позволява процеси за смекчаване на атаките, които се отразяват във всеки аспект на организацията, защитавайки както клиентите, така и крайните потребители.
Сигурен уеб достъп
Огромният брой уеб базирани приложения, от които се нуждае всеки екип, нараства всяка година. Потребителите изискват защита във всеки компонент на интернет свързаността; с правилния подход за защитен отдалечен достъп, потребителите са защитени, когато се свързват с интернет, а не само когато са пряко ангажирани с корпоративни ресурси. С постоянна защита от публичния интернет, днешните свръхагресивни заплахи, като рансъмуер и изтегляния от драйв-бай, могат да бъдат практически елиминирани.
Надеждна защита на крайната точка
Дните на базите данни за ринг фехтовка отдавна са отминали. Със съвременния сигурен отдалечен достъп крайните точки се предлагат пълна защита. Тъй като потребителите все повече разчитат на множество устройства – от лаптопи до смартфони – решенията за защитен отдалечен достъп трябва да отразяват този фокус върху множество крайни точки. Наред с това екипите могат да разчитат на сигурност, която защитава устройствата, притежавани от служителите – предлагане същата сигурност на крайната точка, на която се радват тези, предоставени от организацията.
Повишена осведоменост по проблемите на сигурността
Чрез солидна основа за сигурност на крайната точка – независимо от географското местоположение на служителите – организациите помагат за изграждането на култура на осведоменост за киберсигурността. С поддържането и прилагането на солидни политики за сигурност, най-добрата регулаторна практика се превръща в трамплин за позицията на организацията за сигурност в лицето на развиващите се заплахи.
Гъвкавост за работа от разстояние
Благодарение на способността за сигурно свързване от всяко място, служителите не трябва да присъстват физически в офиса, за да изпълняват задачите си. Вместо това те могат да работят от вкъщи, на път или дори от плажа. Това им позволява да интегрират работата в други ежедневни изисквания и задължения, които имат, като грижа за деца или пътуване. В допълнение, дистанционната работа разширява набора от таланти за компаниите, тъй като те могат да наемат служители отвсякъде, без да се ограничават до служители, които желаят да пътуват до физическите офиси.
Най-добри практики за сигурен отдалечен достъп
Следването на най-добрите практики позволява на организацията да продължи да прави корекции по пътя си към истинска дистанционна защита. Разработването на задълбочена политика за сигурност за всички отдалечени потребители е от жизненоважно значение: това ще помогне да се уточни кои протоколи дефинират отдалечения достъп, какви устройства могат да бъдат разрешени за свързване, за какво са разрешени употребата на тези устройства и накрая политика за неутрализиране на заплахата от загуба и откраднати устройства.
Най-добрите практики могат да бъдат разделени на три основни области. На първо място е способността за защита и управление на крайни точки. Прокси услугата в облака е твърде отдалечена, за да предложи такава видимост на крайната точка; ето защо най-добрите практики са в основата на видимостта на първа точка. Второто е криптирането. Всички данни трябва да бъдат криптирани по време на всяка процедура за предаване, а също и докато са в покой на устройството на всеки служител. Това ниво на криптиране действа като защитен слой. Върху тази основа стоят механизми за удостоверяване и всеобхватни антивирусни решения, които гарантират, че – дори ако хакерът успее да компрометира устройство – той не може да използва чувствителни данни. И накрая, сигурността трябва да обещава предотвратяване на заплахи. Наличните решения трябва да идентифицират, смекчат и блокират потенциални кибер заплахи, преди те да могат да причинят щети на системите или данните на организацията. Това смекчаване може (и трябва) да се осъществи чрез контрол на сигурността и организационни процеси, които адресират съответните рискове за сигурността С тези най-добри практики на място една организация е най-добре подготвена да предостави на домашните екипи пълните предимства на дистанционната работа.
Направете отдалечения достъп по-сигурен с LayerX
LayerX е решение за сигурност на браузъра, което се намира на слой 7 на приложния слой и осигурява цялостна сигурна защита на достъпа и видимост. Това се постига чрез осигуряване на мощен процес на удостоверяване и оторизация, позволяващ блокиране на действия вътре и извън мрежата (като копиране/поставяне, изтегляния, достъп до конкретни уеб страници, показване на приложения в режим само за четене и т.н.) и елегантно интегриране с ZTNA, SASE, IdPs (Google, Okta, Azure-предстоящи и т.н.) и други решения. Освен това LayerX осигурява видимост на действията на потребителите в мрежата и в мрежата.
LayerX може да се интегрира с решения за отдалечен достъп като VPN и MFA, но ги прави излишни, като осигурява силно многофакторно удостоверяване. В допълнение, LayerX е „винаги включен“, осигурявайки защита и блокиране на атаки по всяко време. Това е за разлика от VPN, към които потребителят трябва да бъде свързан, за да работи.
LayerX е единственото решение за осигуряване на пълен защитен достъп, като същевременно се интегрира с други решения за мрежова сигурност.