Удаленная и гибридная работа никуда не денется. Удаленные работники получают значительно более высокую производительность и больший баланс между работой и личной жизнью – более сильная автономия и чувство доверия между сотрудниками и менеджерами еще больше открывают путь к более высокому уровню удержания сотрудников.
Однако безопасное использование преимуществ безопасного удаленного доступа оказывается серьезной проблемой. Для многих удаленный доступ к устройствам был впервые представлен в первые дни пандемии, и хотя смешанные решения помогли в последовавшей за этим схватке, слишком многие организации все еще полагаются на несовершенные методы удаленного доступа. Например, традиционная VPN стала эпицентром поддерживаемой Россией атаки на колониальный трубопровод, в результате которой были остановлены поставки газа по всей восточной части США, а президент Байден ввел чрезвычайное положение в стране.
Доступ к данным представляет собой парадокс: с одной стороны, продуктивность удаленной работы зависит от доступа пользователей к файлам и системным ресурсам. Эти данные должны быть одновременно доступны для пользователей и недоступны для злоумышленников.
Технологии и концепции безопасного удаленного доступа
Процесс подключения аутентифицированных пользователей к конфиденциальным внутренним сетям может быть полон опасностей. Независимо от того, приводит ли строгая цифровая гигиена к повторному использованию паролей сотрудниками или к тому, что некоторые сотрудники желают использовать свои личные устройства, обеспечить безопасность стандартизированного удаленного доступа может быть сложно. Вот некоторые из наиболее распространенных программных технологий безопасного удаленного доступа.
VPN
Виртуальные частные сети (VPN) предложили одно из первых программ безопасного удаленного доступа. Традиционно VPN маршрутизирует соединение сотрудника через сервер доступа к сети. Это позволяет сотруднику подключаться к корпоративной сети через общедоступный Интернет; любые данные, поступающие в корпоративную сеть или из нее, шифруются. Перед подключением к серверу доступа к сети выполняется проверка подлинности на основе учетных данных для проверки личности, использующей устройство. Процесс аутентификации может быть либо уникальным для сервера, либо отдельным сервером аутентификации, работающим в сети.
Несмотря на свою полезность, VPN по умолчанию разрешают доступ ко всей корпоративной сети, а это означает, что скомпрометированная учетная запись может пользоваться всеми преимуществами широкого доступа. Ситуация усугубляется тем фактом, что кража учетных данных продолжает оставаться особенно щекотливой темой для VPN. поскольку сотрудники регулярно повторно используют пароли на внутренних и удаленных устройствах доступа. Единый повторно используемый пароль VPN теперь считается основным методом проникновения в атаку программы-вымогателя Colonial Pipeline.
Многофакторная аутентификация
Многофакторная аутентификация (MFA), используемая как способ обойти проблему компрометации учетных данных, находится поверх процесса аутентификации на основе учетных данных. Цель MFA — проверить личность подключающегося пользователя с помощью второго фактора, например телефона, прежде чем он сможет получить доступ к конфиденциальным корпоративным данным. Реализация MFA предлагается многими провайдерами VPN и помогает оптимизировать протоколы безопасности доступа. Это обеспечивает удаленный доступ в соответствии со входом в электронную почту и приложения для обмена файлами.
Сетевой доступ с нулевым доверием
Доступ к сети с нулевым доверием (ZTNA) направлен на борьбу с одним из основных недостатков VPN. Вместо предоставления полного доступа к целевой сети платформы ZTNA подключают пользователей только к конкретным приложениям и системам, которые им нужны. Это достигается за счет кластера решений. Во-первых, запрос на подключение пользователя требует аутентификации; Для этого трастовый брокер в идеале интегрируется с существующим поставщиком удостоверений организации. В случае успеха ZTNA обращается к механизму политики, который определяет уровень доступа для каждого пользователя. Наконец, пользователь подключается напрямую к нужному ему приложению. Такой детальный подход к доступу к сети лишает злоумышленников (даже тех, у кого полностью скомпрометированы учетные записи) возможности действовать в горизонтальном направлении.
Secure Access Service Edge (SASE) — это новая модель удаленной безопасности, которая использует определенные программные периметры ZTNA и объединяет их с другими облачными решениями безопасности. Например, хотя ZTNA обеспечивает доступ к конкретному приложению, интегрированный брокер безопасности доступа к облаку (CASB) оценивает безопасность обработки данных каждого приложения. Корпоративные данные отслеживаются с выявлением вредоносного поведения приложений. В то же время SASE переносит защиту межсетевого экрана в облако, а не на периметр сети старой школы. Службы безопасности получают выгоду от просмотра нарушений нормативных требований в режиме реального времени, а удаленные и высокомобильные сотрудники могут отправлять и получать данные из корпоративной сети. По всей организации применяются согласованные политики безопасности.
Почему важен безопасный удаленный доступ?
Хотя удаленная работа уже была распространена до 2020 года, пандемия Covid-19 стала катализатором того, что удаленная работа стала мейнстримом. Это увеличило спрос на доступ пользователей к сетям организаций по мере необходимости; организационным сетям внезапно пришлось облегчить доступ из нескольких разных мест одновременно. Подавляющее большинство подключений теперь осуществлялось из домашних сетей сотрудников, и многие сотрудники также использовали личные устройства. Это усилило риски, с которыми сталкиваются корпоративные и личные сети, и часто сводило на нет устаревшие меры безопасности.
Изначально это была техническая головная боль. Однако многие организации обнаружили культурные и финансовые преимущества удаленной работы: многие компании теперь могут свободно нанимать сотрудников на основе квалификации, а не местоположения. С другой стороны, развивающиеся группы атак постоянно становятся жертвами организаций, которые не справляются с растущими требованиями к данным и сетевой гигиене. Более того, уровень уязвимостей остается на рекордно высоком уровне; это вывело безопасный удаленный доступ на первое место в списках приоритетов для отделов ИТ и безопасности по всему миру. Во всех отраслях новый базовый уровень безопасности облегчает удаленный доступ к системе для каждого пользователя из любой сети, из которой он подключается, на любом выбранном им устройстве.
Каковы риски безопасного удаленного доступа?
Риск, связанный с удаленным доступом, варьируется в зависимости от варианта решения удаленного доступа. Ниже приведены некоторые проблемы безопасности и проблем пользователей, связанные с некоторыми наиболее популярными подходами к удаленному доступу.
Разрешительные политики удаленного доступа
Проблема, наиболее часто встречающаяся среди решений VPN, заключается в том, что политики разрешительного доступа определяют доступ через целые сети. Хотя правила брандмауэра часто разрешают доступ практически ко всему в корпоративных сетях, даже современное программное обеспечение для удаленного доступа требует тщательной настройки доступа. Привилегии пользователей должны быть тщательно распределены, иначе радиус взлома учетной записи станет намного больше, чем мог бы быть в противном случае.
Удаленные устройства
Когда удаленная работа внезапно стала мейнстримом, многие организации оказались перед выбором: покупать домашнее оборудование (при этом понеся убытки от повсеместных сбоев) или разрешить сотрудникам использовать свои собственные ноутбуки. Это открыло двери для значительного всплеска уязвимостей в цепочках поставок аппаратного обеспечения. Например, слабые места домашних Wi-Fi-маршрутизаторов ASUS в последнее время открыли путь для атак Sandworm, поддерживаемых Россией.
Статистически больше касательно аспекта BYOD является отсутствие шифрования данных внутри. Это открывает риск раскрытия корпоративных активов, особенно когда устройство украдено или иным образом удалено из дома пользователя.
Трудоемкая установка
Хотя VPN исторически не предлагали максимальная защита для удаленного доступа, их значительно проще настроить, чем некоторые новомодные решения. Например, внедрение SASE требует полного пересмотра политик аутентификации. Учитывая, что во время этого процесса сеть должна продолжать функционировать, зачастую проще построить новую сеть с нуля. Это также представляет собой серьезную проблему для старых и устаревших компьютеров: если они несовместимы с безопасными протоколами удаленного доступа Zero Trust, многим организациям придется начинать практически с нуля.
Отсутствие видимости для пользователей
При удаленной работе командам безопасности становится особенно важно отслеживать состояние каждого конечного устройства. Знание этого может помочь превентивно остановить распространение вредоносного ПО в удаленной организации. Однако даже во многих современных решениях пропускная способность трафика в локальных сетях невероятно непрозрачна. Невозможность отслеживать этот трафик значительно затрудняет выявление сложных угроз, что повышает вероятность компрометации удаленных устройств. Ситуация усложняется тем, что аналитики безопасности теперь часто также работают из дома: отсутствие прозрачности становится двояким и рискует, что слепой ведет слепого. Эта комбинация может позволить злоумышленникам проникнуть вглубь корпоративных сетей.
Вредоносный доступ
Удаленный доступ позволяет пользователям получать доступ к конфиденциальным данным и системам за пределами организации. Следовательно, злоумышленники, которые могут использовать небезопасные технологии и получить несанкционированный доступ к сети или удаленно подключить устройства, могут украсть конфиденциальную информацию, внедрить вредоносное ПО или программы-вымогатели или нарушить бизнес-операции.
Несанкционированный доступ может быть получен путем использования уязвимостей в самой технологии удаленного доступа, таких как слабые пароли, необновленное программное обеспечение, неправильно настроенные параметры безопасности или браузер. Они также могут использовать методы социальной инженерии, как и фишинг, с целью заставить удаленных пользователей раскрыть свои учетные данные или другую конфиденциальную информацию.
Атаки захвата аккаунта
Подвидом злонамеренного доступа является захват учетной записи, то есть злоумышленник получает доступ к учетным данным законного пользователя и осуществляет кражу личных данных. Для организации это означает, что злоумышленник может замаскироваться под законного пользователя и перемещаться по системе в соответствии с разрешениями пользователя.
Учетные данные пользователя могут быть скомпрометированы с помощью различных методов, включая социальную инженерию (например, фишинговые атаки), атаки методом перебора и подбор пароля. Злоумышленники также могут перехватить сеансы удаленного доступа или использовать уязвимости в самих инструментах удаленного доступа, чтобы получить доступ к системе или ресурсу.
Каковы преимущества безопасного удаленного доступа?
Преимущества безопасного удаленного доступа для сотрудников заключаются в усиленной и гибкой позиции безопасности. Упреждающий подход к обеспечению безопасности удаленного доступа позволяет осуществлять процессы смягчения атак, которые отражаются на всех аспектах организации, защищая как клиентов, так и конечных пользователей.
Безопасный веб-доступ
Количество веб-приложений, необходимых каждой команде, растет с каждым годом. Пользователям требуется защита каждого компонента подключения к Интернету; При правильном подходе к обеспечению безопасности удаленного доступа пользователи будут защищены при каждом подключении к Интернету, а не только при непосредственном использовании корпоративных ресурсов. Благодаря постоянной защите из общедоступного Интернета можно практически устранить современные сверхагрессивные угрозы, такие как программы-вымогатели и посторонние загрузки.
Надежная защита конечных точек
Времена изолированных баз данных давно прошли. Благодаря современному безопасному удаленному доступу конечные точки обеспечивают полную защиту. Поскольку пользователи все больше полагаются на несколько устройств – от ноутбуков до смартфонов – решения для безопасного удаленного доступа должны отражать эту направленность на работу с несколькими конечными точками. Наряду с этим команды могут рассчитывать на безопасность, которая защищает устройства, принадлежащие сотрудникам, — предлагая такая же безопасность конечных точек, как и у организаций,.
Повышенная осведомленность о проблемах безопасности
Благодаря прочной основе обеспечения безопасности конечных точек (независимо от географического расположения сотрудников) организации помогают создать культуру осведомленности о кибербезопасности. Благодаря поддержанию и обеспечению соблюдения надежных политик безопасности передовые нормативные практики становятся трамплином для позиции безопасности организации перед лицом развивающихся угроз.
Гибкость для удаленной работы
Благодаря возможности безопасного подключения из любого места сотрудникам не обязательно физически присутствовать в офисе для выполнения своих задач. Вместо этого они могут работать дома, в дороге или даже на пляже. Это позволяет им интегрировать работу с другими повседневными потребностями и обязанностями, такими как уход за детьми или путешествия. Кроме того, удаленная работа расширяет кадровый резерв компаний, поскольку они могут нанимать сотрудников откуда угодно, не ограничиваясь сотрудниками, которые готовы добираться до обычных офисов.
Лучшие практики для безопасного удаленного доступа
Следование лучшим практикам позволяет организации продолжать вносить коррективы на пути к настоящей удаленной защите. Разработка углубленной политики безопасности для всех удаленных пользователей имеет жизненно важное значение: это поможет определить, какие протоколы определяют удаленный доступ, каким устройствам можно разрешить подключение, для каких целей разрешены эти устройства и, наконец, политику нейтрализации угрозы потери и украденные устройства.
Передовой опыт можно разделить на три основные области. Прежде всего, это возможность защищать конечные точки и управлять ими. Прокси-сервис в облаке слишком удален, чтобы обеспечить такую видимость конечных точек; Вот почему лучшие практики лежат в основе обеспечения видимости на конечных точках. Во-вторых, это шифрование. Все данные должны быть зашифрованы на протяжении всей процедуры передачи, а также во время хранения на устройстве каждого сотрудника. Этот уровень шифрования действует как уровень защиты. На этой основе лежат механизмы аутентификации и комплексные антивирусные решения, которые гарантируют, что даже если злоумышленнику удастся скомпрометировать устройство, он не сможет использовать какие-либо конфиденциальные данные. Наконец, безопасность должна гарантировать предотвращение угроз. Имеющиеся решения должны выявлять, смягчать и блокировать потенциальные киберугрозы, прежде чем они смогут нанести ущерб системам или данным организации. Это смягчение может (и должно) осуществляться с помощью мер безопасности и организационных процессов, направленных на устранение соответствующих рисков безопасности. Благодаря этим передовым практикам организация лучше всего подготовлена к тому, чтобы предоставить домашним командам все преимущества удаленной работы.
Сделайте удаленный доступ более безопасным с помощью LayerX
LayerX — это решение для обеспечения безопасности браузера, которое находится на уровне 7 уровня приложений и обеспечивает комплексную безопасную защиту доступа и видимость. Это достигается за счет мощного процесса аутентификации и авторизации, позволяющего блокировать действия внутри и за пределами сети (например, копирование/вставка, загрузки, доступ к определенным веб-страницам, отображение приложений в режиме только для чтения и т. д.) и элегантной интеграции с ZTNA, SASE, IdP (Google, Okta, Azure и т. д.) и другие решения. Кроме того, LayerX обеспечивает видимость действий пользователя в сети и в Интернете.
LayerX может интегрироваться с решениями удаленного доступа, такими как VPN и MFA, однако это делает их избыточными, обеспечивая надежную многофакторную аутентификацию. Кроме того, LayerX всегда включен, обеспечивая постоянную защиту и блокировку атак. В отличие от VPN, для работы которых пользователю необходимо подключиться.
LayerX — единственное решение, обеспечивающее полный безопасный доступ и одновременно интегрируемое с другими решениями сетевой безопасности.