Кибербезопасность и удаленная работа

Кибербезопасность и удаленная работа

Выпуск 10 (6709) от 28 мая 2020 г.
РУБРИКА: УПРАВЛЕНИЕ И БЕЗОПАСНОСТЬ

Пандемия коронавируса и связанные с ней ограничения вызвали массовый переход людей и организаций на дистанционную работу. При этом многие из них впервые работают удаленно и практически не подготовлены к защите своих компьютеров, сетей и оборудования. Значимость цифровых связей с внешним миром и их безопасности резко возросла.

Пандемия коронавируса способствовала значительному росту числа киберугроз безопасности цифровых данных и коммуникаций. Действительно, к обычным домашним пользователям из-за карантина и самоизоляции прибавилось большое число инженеров и ИТ-менеджеров, государственных служащих и сотрудников разведывательных служб, а также многих других специалистов, переведенных на удаленную работу. Это породило нагрузку на сети общего пользования в масштабах, не виданных ранее.


Рост угроз, связанных с пандемией COVID19

Сложности и неразбериха, порожденные пандемией, – ​питательная среда для злоумышленников всех мастей. В марте 2020 г. в среде ОС Android была обнаружена новая уязвимость типа backdoor, созданная с использованием программы для создания вирусного ПО SpyMax. Она была замаскирована под приложение для отслеживания коронавируса, созданное Университетом Джона Хопкинса. Ежечасно обновляемый трекер показывает распространение COVID‑19 по всему миру и внутри стран. Но шпионские программы, мимикрирующие под это приложение, на самом деле отслеживают телефонные данные и текстовые сообщения пользователей, а также могут изменять настройки смартфона, записывать аудио и управлять камерой.

Другое приложение для отслеживания коронавируса в среде ОС Android, также обнаруженное в марте, содержало программу-вымогатель CovidLock, блокировавшую телефоны пользователей и угрожавшую стереть все данные, если пользователи не заплатят 100 долларов в биткоинах.

Еще одна вредоносная программа Coronavirus, действующая в среде Windows, подобно пресловутой программе NotPetya блокирует компьютер, перезаписывая его главную загрузочную запись. Этот разрушительный троян, обнаруженный специалистами SonicWall Capture Labs, распространяется через вложения электронной почты, поддельные приложения или загрузочные файлы.

В апреле была взломана информационная система Министерства здравоохранения и социальных служб США в результате DDoS-атаки, направленной, по всей видимости, на распространение дезинформации и подрыв способности министерства реагировать на изменения обстановки. Правда, утверждается, что деятельность министерства не была нарушена.

Также в разгар пандемии кибератаке (вымогательство и кража данных) подверглись одна из чешских больниц и биотехнологическая компания, проводящая исследования, связанные с коронавирусом. В ходе другой атаки вымогателей были украдены и размещены в Интернете данные британского испытательного центра, работающего над вакциной против COVID‑19.


Атаки на удаленных работников

Кибератаки, связанные с коронавирусом, охватывают как государственный, так и частный сектора. От них также страдают удаленные работники федеральных ведомств. Сотрудники НАСА, например, испытали «значительный рост числа кибератак, включая удвоение попыток фишинга электронной почты». В то же время количество вредоносных атак на системы НАСА увеличилось экспоненциально.

Резкое увеличение численности дистанционных работников и массовый рост количества оконечных точек значительно расширили поверхность атаки. Специалисты ИТ-отделов внезапно столкнулись с необходимостью обеспечить для удаленных работников такой же уровень безопасности в домашней среде, как и в корпоративной. Но в таких условиях их способность контролировать безопасность данных, оборудования и линий связи снижается, в то время как число неизвестных уязвимостей растет.

Недавно фирмы Check Point Software Technologies и Dimensional Research опросили более 400 специалистов в области ИТ и кибербезопасности в компаниях с более чем 500 сотрудниками. Три самые большие выявленные проблемы, вызванные скачком числа удаленных работников, это:

обеспечение безопасного удаленного доступа;

необходимость масштабируемых решений удаленного доступа;

использование непроверенного программного обеспечения, инструментов и услуг.

С начала вспышки COVID‑19 в 71% случаев наблюдалось увеличение количества атак или угроз, включая фишинг, поддельные сайты с рекомендациями по коронавирусу, вредоносные программы и программы-вымогатели.

Исследователи в области кибербезопасности из компании Cybereason Nocturnus отслеживали развитие нескольких типов связанных атак, включая фишинг, программы-вымогатели под названием scareware и поддельные приложения, направленные на растущее число домашних работников, – ​такие как вредоносные программы, замаскированные под установщики виртуальных частных сетей (VPN), и вредоносные мобильные приложения «для лечения коронавируса», в которых утверждается, что они одобрены Всемирной организацией здравоохранения (ВОЗ).

Количество атак и разнообразие используемых схем выросли так быстро, что ФБР было вынуждено опубликовать их подробные описания и инструкции по созданию сообщений о выявленных случаях атак. По мере роста числа инцидентов, связанных с вымогательством и вредоносными программами, несколько недель спустя Управление по кибербезопасности и инфраструктурной безопасности (Cybersecurity and Infrastructure Security Agency, CISA) Министерства внутренней безопасности США (U. S. Department of Homeland Security, DHS) и Национальный центр кибербезопасности Великобритании (U. K. National Cyber Security Centre) выпустили совместное консультативное заключение с подробным описанием этих растущих угроз, а также методов смягчения последствий кибератак и необходимых для борьбы с ними ресурсов.

Связи между домашними офисами и корпоративными сетями, часто используемыми для проведения видеоконференций, значительно расширились. Национальный институт стандартов и технологий выпустил ряд руководящих принципов для безопасного проведения виртуальных совещаний.

Проблемы безопасности заставили школьные округа в США, корпорацию Google и правительства нескольких стран запретить платформу Zoom для осуществления удаленной конференц-связи. Хорошая иллюстрация трудностей, связанных с внезапным ростом числа удаленных пользователей, которые также затрагивают VPN и другие платформы дистанционной связи.

Мониторинг чрезвычайно возросшего интернет-трафика стал большой проблемой для разведывательных служб. Тот факт, что их собственные сотрудники работают удаленно, может также означать отсутствие гарантий безопасности, поэтому эти работники не всегда могут получить доступ к наиболее конфиденциальным сведениям, необходимым для сбора разведданных.


Новейшие технологии защиты данных

Решений для защиты сетей, оконечных устройств и данных существует уже много, но не все они предназначены для работы с большим количеством удаленных рабочих мест. Сотрудники, которые теперь, сидя дома, должны иметь широкий доступ к критической инфраструктуре – ​промышленным системам управления (industrial control systems, ICS) и операционным технологическим сетям (OT), – ​нуждаются в особо тщательной защите данных и соединений.

К новым решениям, учитывающим увеличение числа удаленных работников, можно отнести разработки фирм Dispel, Active Cypher и Keyavi Data.

Фирмы Dispel и Red Trident совместно разрабатывают доступное и безопасное решение, которое может быть быстро и легко развернуто для удаленного доступа к ICS-сетям. Red Trident предоставляет индивидуальные решения по кибербезопасности для критической инфраструктуры, в то время как Dispel обеспечивает удаленный доступ к ICS. Решение партнеров, как утверждается, может быть развернуто за четыре-шесть часов.

Платформа удаленного доступа Dispel основана на новой технологии: виртуальная инфраструктура позволяет операторам создавать и уничтожать пути доступа через Интернет между авторизованными пользователями и целевыми системами, такими как оборудование для водо- и электроснабжения. Быстрый и безопасный удаленный доступ осуществляется с использованием алгоритмов защиты движущихся целей (Moving Target Defense, MTD) (рис. 1).

MTD задействует для работы миллиарды IP-адресов Интернета. Пользователь имеет право подключаться через виртуальную машину (VM), которая создает временный туннель доступа, существующий только в течение короткого периода времени, поэтому фиксированного адреса, позволяющего хакерам получить несанкционированный доступ, попросту не существует. После использования каждая конкретная инфраструктура уничтожается и больше никогда не задействуется. Кроме того, внутренняя сетевая архитектура виртуальной машины меняется каждый раз. Доступ пользователей можно контролировать как на уровне приложения, так и на уровне сети. Реализация Dispel использует независимо сгенерированные ключи и два уровня шифрования AES‑256-CBC.



Источник: Dispel

Рисунок 1. Блок-схема платформы удаленного доступа фирмы Dispel с использованием алгоритмов защиты движущихся целей (Moving Target Defense, MTD)

* SD-WAN (software-defined networking in a wide area network) – реализация концепции программно-определяемой сети в рамках глобальной вычислительной сети, нацеленная на улучшение эксплуатационных качеств за счет абстрагирования сетевого оборудования от механизмов управления им.

** DMZ (demilitarized zone) – «демилитаризованная зона», часть компьютерной сети, находящаяся между локальной сетью и Интернетом. Обеспечивает выход в Интернет и внешнее присутствие в нем, скрывая при этом внутреннюю сеть организации и предотвращая прямое обращение к ней.


Использование виртуальных машин также означает, что пользователи и серверы, которые не должны быть связаны, остаются в неведении о существовании друг друга. Эта система устанавливает жесткую границу между OT- и IT-сетями, в том числе разные туннели для VPN.

Специалисты фирмы Active Cypher считают, что в дополнение к мерам безопасности, таким как использование VPN и менеджеров паролей, данные должны быть защищены на уровне файлов – ​как последняя линия защиты удаленных пользователей, подключающихся к предприятию. Рассредоточение всех или большинства сотрудников за пределами «периметра безопасности» предприятия вызывает проблемы с безопасностью файлов, подобные тем, когда сотрудник покидает компанию. Но сейчас, во время пандемии, это происходит одновременно в больших объемах, с миллионами вновь развернутых конечных точек, включая персональные ноутбуки, маршрутизаторы и сети Wi-Fi. За счет перемещения периметра безопасности к самому файлу зависимость от сетевых брандмауэров и VPN с этой точки зрения уменьшается или даже устраняется.

Компания Active Cypher создает средства защиты файлов на основе искусственного интеллекта, предназначенные для облачных, гибридных и мультиоблачных сетей, с инфраструктурой, которая была разработана с нуля для удаленных сред. Фирменная технология File Fortress (рис. 2) шифрует данные везде, где они находятся: на телефоне, в «облаке», на настольном компьютере, на сервере или в сторонней среде. Она также запрашивает потенциальных пользователей об их личности, устройстве, которое они используют, а также уточняет, является ли их сертификат правильным и текущим. Шифрование доступно с использованием либо стандарта AES‑256, либо собственного стандарта квантового шифрования Active Cypher.

Разработанная технология позволяет шифровать любой файл где угодно и в любое время. Если работник хранит у себя копию рабочего документа, принадлежащего компании, то в момент увольнения он теряет доступ к нему даже на собственном ноутбуке, в «облаке» и т. д. Это обеспечивается шифрованием и правами доступа. Никаких действий со стороны удаленных работников не требуется: программный агент работает в фоновом режиме, автоматически шифруя файлы на устройстве.



Источник: Active Cypher

Рисунок 2. Схематическое изображение технологии защиты файлов File Fortress фирмы Active Cypher


Компания среднего размера с числом занятых от 10 до 15 тыс. пользователей может развернуть это решение за полдня. Чтобы помочь массовому переходу к удаленной рабочей инфраструктуре, фирма Active Cypher предлагает существующим и новым клиентам бесплатно использовать средство File Fortress на время ограничений, связанных с пандемией COVID‑19.


VPN выходит из моды?

Еще одно новейшее решение в области безопасности для удаленных работников предлагает фирма Keyavi Data (рис. 3). Ее подход заключается не в принятии мер безопасности в условиях работы с постоянно меняющимися ЦОДами, оконечными точками, потоками или архитектурами данных, а в том, чтобы сделать сами данные «самоинтеллектуальными», «самозащищающимися» и «самоосознающими».

Технология Keyavi «обертывает» данные каждого отдельного файла или группы файлов в несколько независимых слоев шифрования В отличие от технологии предотвращения потери данных (data loss prevention, DLP) или других известных методов, взлом или выход из строя любого одного слоя запускает механизмы защиты в остальных слоях. Технология не зависит от интерфейсов прикладного программирования, способов передачи и хранения данных, платформ и приложений.

Доступ к данным возможен только при соблюдении всех параметров разрешения, установленных владельцем. Доступ может быть предоставлен в зависимости от местоположения, включая города, улицы, определенные здания или помещения; конкретным лицам или группам; в течение заранее определенных периодов времени. Параметры могут быть немедленно изменены или отозваны владельцем, поэтому данные остаются под контролем независимо от того, кто ими владеет или где они находятся.

В случае удаленных работников администраторы могут убедиться, что каждый пользователь вошел в систему в своем домашнем расположении. Когда пользователь находится внутри дома, это место становится частью геозоны компании, и администраторам больше не нужно беспокоиться о потенциальных опасностях использования личных устройств и сетей.

Специалисты фирмы Keyavi Data, разбирая достоинства своего подхода, отмечают, что VPN предназначены для одновременного использования примерно 15% сотрудниками компании, а не 100%. Соответственно, эти сети в современных условиях возросших объемов удаленной работы сотрудников и рабочих групп испытывают огромные перегрузки. Наблюдается более чем пятикратное увеличение рабочей нагрузки на VPN, и такая ситуация, вероятно, сохранится в обозримом будущем. Более того, сети VPN на самом деле обеспечивают не защиту данных, а защиту их передачи.

Проблемами расширения масштаба использования VPN, возникающими, в частности, при одновременном входе в эти сети большинства удаленных пользователей, дело не ограничивается. Существуют известные уязвимости VPN, которые не просто становятся мишенью злоумышленников – ​их при таком режиме работы обнаруживается все больше и больше. И поскольку теперь эти сети используются практически круглосуточно и без выходных, регулярность их обновлений и исправлений оказывается под вопросом. Проблема достаточно серьезна – ​CISA даже выпустила специальное предупреждение (AA20–073A) о безопасности корпоративных VPN. В этом документе, в частности, даются рекомендации по подключению к VPN из домашних офисов.

Специалисты Keyavi Data напоминают, что VPN и DLP – ​это технологии, созданные 10 или более лет назад, и они «никогда не были предназначены для ситуаций, когда 100% сотрудников работают из дома». Но пандемия в конечном итоге утихнет, а реалии и преимущества удаленной работы останутся.



Источник: Keyavi

Рисунок 3. Схематическое изображение работы технологии защиты данных фирмы Keyavi Data, независимой от интерфейсов прикладного программирования, способов передачи и хранения данных, платформ и приложений


Вспышка коронавируса SARS-CoV‑2 вызвала значительные изменения и потрясения в обществе, здравоохранении и экономике. Она также может заставить человечество искать новые технологическим решения и переходить к ним быстрее, чем планировалось ранее.


Thryft Ann R. Cybersecurity and Remote Workers in the Age of Covid19. EETimes, April 28, 2020: https://www.eetimes.com/cybersecurity-and-remote-workers-in-the-age-of-covid19/


ЧИТАЙТЕ ТАКЖЕ

Выпуск 12(6686) от 20 июня 2019 г. г.
Выпуск 2(6726) от 28 января 2021 г. г.