Практика минувшего 2020 года показала, что чрезвычайно большое количество компаний подверглось хакерским атакам именно во время перехода на удаленку: ИТ-сотрудникам требовалось наладить все как можно быстрее, поэтому вопросы безопасности зачастую игнорировались. Притом если ранее вопросы безопасности ограничивались только периметром корпоративной сети, теперь необходимо защищать также и домашние компьютеры пользователей. Каким образом? Поговорим об этом в сегодняшней статье.

TeamViewer: простой, опасный, народный

Еще до повсеместного внедрения удаленки этой программой пользовались многие компании и частные компьютерные мастера для удаленной настройки пользовательского «железа». С одной стороны, функционала программы достаточно для выполнения базовых операций. С другой — это решение не годится для серьезного корпоративного использования: скорость передачи данных в нем достаточно низка, а безопасность подключения — под вопросом.

Ключевые проблемы использования TeamViewer заключаются в следующем:

Каждый сотрудник эксплуатирует отдельную точку входа. Нет возможности гарантировать качество подключения и досконально изучить его внутреннее устройство.
Сама программа может содержать уязвимости, которые могут быть использованы хакером.
Пароль от TeamViewer достаточно легко подобрать. Для этого преступнику достаточно определить список доступных ID и подобрать пароль обыкновенным брутфорсом.

Конечно, можно отмахнуться и сказать: пфф, вероятность взлома крайне низка, меня это вряд ли вообще коснется! Тем не менее, TeamViewer неоднократно взламывался. В одном из самых показательных кейсов хакер дождался удобного момента и подменил реквизиты получателя платежей в приложении банк-клиента на свои. К чести банка, сомнительные платежи были заблокированы, и компания избежала беды.

Кроме того, представители технической поддержки практически в 100% случаев не станут разбираться с подобными проблемами. Это вызвано, в частности, тем, что установить конкретного хакера практически невозможно. Так что, если вы используете TeamViewer, следите за его деятельностью в системе. Пресекайте автозапуск и выключайте приложение сразу же после завершения подключения. А для удаленной работы есть более подходящие и удобные сервисы.

Клиент-серверное подключение

С помощью терминального сервера MS Windows возможно организовать прямое подключение сотрудника к его рабочему месту, минуя внешние организации. Безопасность в этом случае целиком зависит от качества настройки контроля доступа.

Открытый доступ к серверу и терминалу

Пожалуй, это один из самых быстрых вариантов клиент-серверного подключения. Для его организации достаточно обеспечить пользователям открытый доступ к рабочему месту и терминалу. В ряде компаний подобный способ используется даже для работы с требовательным программным обеспечением 1С. Тем не менее, это далеко не самый безопасный вариант подключения. Возможно, вы удивитесь, но на сегодняшний день во Всемирной паутине насчитывается порядка 4 млрд активных устройств. Это не так много, как кажется. Всего за пару-тройку месяцев хакер может просканировать все подобные устройства и найти уязвимые. Например, те, что подключены по протоколу rdp tcp/3389.

Атака подобных устройств — это один из самых популярных способов для распространения майнеров и вирусов-шифровальщиков. Доступ к корпоративной инфраструктуре можно организовать и более безопасными способами.

Доступ по списку IP-адресов

В этом случае к корпоративной сети извне сможет подключиться только с доверенного IP-адреса. Компании придется потратиться на приобретение всем сотрудникам «белых» IP. Атака будет возможна только из собственной подсети вашего пользователя. Это существенно снижает риски, однако не нивелирует их полностью.

Port Knocking

Этот способ предполагает выполнение некоторого набора секретных действий, которые должен выполнить пользователь со своего IP, чтобы его «пустили» в корпоративную сеть. Один из вариантов — написание простого скрипта, который при запуске, к примеру, пропингует IP компании, затем перешлет набор пакетов определенного размера и в конце «постучится» на какой-то конкретный порт. Если все действия выполнены корректно, Сезам откроется, а пользователь сможет приступить к работе.

VPN-доступ

С помощью VPN возможно организовать сколь угодно защищенное подключение к корпоративной инфраструктуре. На текущий момент на рынке предостаточно решений, которые позволят техническим специалистам построить виртуальную приватную сеть между устройством сотрудника и офисом. Самый главный совет — избегать чрезмерной экономии и ответственно подойти к выбору решения исходя из бизнес-задач компании.

Zero Trust

Парадигма «нулевого доверия» подразумевает, что к системе может подключиться любой пользователь. Однако конфигурация системы будет максимально «скептически» относиться к его действиям. «Ни шага влево, ни шага вправо, проверка документов на каждом шагу».

Приложение Сбера — характерный пример Zero Trust системы. Без подтверждения отпечатком пальца или пин-кодом невозможно ни проверить баланс, ни отправить средства другому пользователю. Кроме того, все попытки входа фиксируются. Если пользователь попытается подключиться из нестандартной локации, система проведет ряд дополнительных проверок.

Небольшой компании внедрение подобного подхода может влететь в копеечку. Однако всегда можно ограничиться только основными мерами защиты: двухфакторной аутентификацией, защитой от брутфорса и сертификацией. Более комплексные и узконаправленные решения следует внедрять только в случае реальной необходимости.

Аренда облачных ресурсов

Это один из самых популярных и безопасных способов организовать удаленную работу для целого филиала или головного офиса. Провайдер как правило предоставляет клиенту готовую и настроенную инфраструктуру для создания удаленных рабочих мест, однако стоимость этого решения несколько выше, чем у перечисленных выше вариантов. Выбор провайдера целиком зависит от целей, объемов и бюджета компании-клиента.

Кроме того, вам придется отдельно позаботиться о функционале учета рабочего времени. Удаленная работа «расслабляет», не все сотрудники ответственно подходят к организации home office и могут целыми днями заниматься личными делами.

Подводим итоги

Изучите потребности вашей компании и стройте систему удаленного доступа к рабочим местам, опираясь на реальные бизнес-сценарии.
Не стройте чрезмерно сложные системы, для обучения работе с которыми пользователю придется читать длинные инструкции и FAQ.
На всякий пожарный добавьте резервные способы подключения к вашей инфраструктуре, чтобы критически важные задачи могли выполняться в случае отказа основного канала подключения.
Не выдавайте пользователям чрезмерно широкие права: каждый сотрудник должен иметь доступ только к тем сервисам, с которыми он работает на ежедневной основе.
Проведите «ликбез» с сотрудниками: даже самое защищенное подключение может быть скомпрометировано на устаревшей версии домашней ОС или на компьютере, где от вирусов некуда файлу упасть.
Проинструктируйте сотрудников службы безопасности: доступы не должны по ошибке отправиться уволенным сотрудникам. А некоторую информацию в принципе нельзя распространять за пределами корпоративной сети.