Защита удалённой бизнес-работы от программ-вымогателей
Руководство по защите удалённой бизнес-работы от Ransomware
COVID-19 вызвал небывалый всплеск удалённой работы и может сильно повлиять на будущие модели рабочих процессов.
Хотя быстро внедряемые механизмы удалённой работы сначала считались временным решением для поддержания непрерывности бизнеса, теперь уже ясно, что удалённая работа станет привычной и по окончании эпидемии.
Работа на дому сопряжена с серьёзными рисками безопасности. Доступ к корпоративным данным выполняется с уязвимых личных устройств, поэтому ИТ-команды не смогут обеспечить домашним пользователям на удалёнке соблюдение протоколов и решений корпоративной безопасности.
Здесь мы укажем на риски безопасности, связанные с работой из дома, и посоветуем компаниям решение для защиты удалённых сотрудников и корпоративных сетей от программ-вымогателей.
Проблемы безопасности удалённой работы
Удалённая работа усиливает недостатки безопасности и создаёт новые угрозы, делая компании уязвимыми для кибератак. Назовем некоторые из самых серьёзных проблем безопасности, связанных с удалённой работой:
- Уязвимые домашние устройства подключаются к ресурсам компании
COVID-19 заставил быстро и часто с ошибками перейти на удалённую работу. Такой срочный компромисс в интересах непрерывности бизнеса не дал компаниям времени на обеспечение безопасности домашних сетей своих сотрудников от возможных заражений. В некоторых странах из-за нехватки ИТ-оборудования организации не смогли предоставить сотрудникам оборудование компании.
Из-за того, что удалённые сотрудники используют небезопасные личные устройства для доступа к корпоративным сетям и важным данным, количество атак возросло. Каждое устройство, подключенное к домашней сети (ПК, смартфоны, ноутбуки, принтеры, смарт-устройства и пр.), по сути новая точка доступа для злоумышленников и вредоносное ПО с домашних устройств может проникнуть в бизнес-сеть. По данным BitSight, в марте 2020 года 45% компаний США получили минимум одно заражение вредоносным ПО удалённых офисов, а 13,3% получили реальное заражение своих корпоративных сетей.
- Ослабленные меры безопасности
В корпоративной среде ИТ-команды задают строгие политики безопасности на устройства компании с помощью EDR-систем, ограничений групповых политик, белых списков и пр. При удаленной работе такой же контроль невозможен, т.к. многие удаленные сотрудники используют для работы свои личные устройства.
С этической стороны компаниям сложно диктовать сотрудникам, какие программы можно использовать на домашних устройствах. С технической стороны разнородность удаленной рабочей среды усложняет компаниям задачу по надежной защите множества устройств, операционных систем и приложений в домашней сети сотрудников.
- Разнородность ПО домашних пользователей
Корпоративная сеть - это контролируемая среда, в которой авторизованные пользователи используют только утверждённое ПО. Современные продукты EDR и защитное ПО, зависящих от машинного обучения, отлично работают в этой очищенной среде, т.к. приложения можно легко сгруппировать и распознать. Разрешено только ПО для бизнеса или ПО ОС, всё другое считается вредоносным.
Домашняя сеть хаотична, это смесь рабочих, игровых и развлекательных приложений, загруженных из непроверенных интернет-источников. Для продуктов корпоративной безопасности, модели машинного обучения которых были обучены на чёрно-белых списках, это чужая среда. На повторное изучение потенциальных угроз в этой разнородной среде нужно время, и часто продукты, адаптированные для корпоративного рынка, вызывают поток ложных срабатываний и несовместимости в системах домашних пользователей.
Самые распространённые векторы атак вымогателей на удалённых сотрудников
Злоумышленники используют следующие самые распространненые векторы атаки для компрометации удаленных сотрудников и заражения компаний-работодателей, программами-вымогателями.
Вредоносный спам: атакующие распространяют email, содержащие вредоносные вложения или ссылки, приводящие к загрузке вредоносного ПО (часто: ботов Emotet, Trickbot, Dridex). Злоумышленники задают им команды для сбора информации о скомпрометированной системе и подключенной сети перед развертыванием других целевых вредоносных программ. Злоумышленники, пользуясь всеобщим интересом к пандемии, запускают вредоносные спам-кампании на тему COVID-19, использующие страх и любопытство людей. В апреле 2020 года ежедневно распространялось ~60000 фишинговых сообщений про COVID-19, причём злоумышленники выдавали себя за надежные источники, такие как Всемирная организация здравоохранения и Центры по контролю и профилактике заболеваний (США).
Удалённый доступ: злоумышленники используют плохо защищенные инструменты RDP для получения доступа к корпоративным сетям. Протокол удаленного рабочего стола (RDP) — это распространенный вектор RD-атаки. Важно знать: любой инструмент удаленного доступа, а также любое ПО, которое подключается к локальному активному каталогу компании, может служить точкой входа, если правильно не защищены. Многие RDP-утилиты были взломаны, в том числе TeamViewer, Kaseya, Citrix, LiteManager, Ammyy Admin, RAdmin и другие.
Целевой фишинг: это сложная и целенаправленная форма фишинга. Злоумышленники подробно изучают целевую организацию, чтобы узнать о сотрудниках и их привычках общения, и используют эту информацию для рассылки целевых фишинг-писем, созданных так, как-будто отправлены из надежного источника. В email содержатся вредоносное вложение или URL-адрес на загрузку вредоноса. Фишинг более проблематичен в нынешних условиях работы, потому что сотрудники еще мало знакомы с интерфейсами и экранами входа в систему новых инструментов для удаленной работы, и им сложно отличить фишинг-мошенников от легитимных веб-сайтов.
Как обезопасить удалённые конечные точки и защитить корпоративные сети
Изменение способа работы требует изменения подхода бизнеса к безопасности. Следующие лучшие практики помогут организациям защитить новые RD-точки и данные компании.
➤ Обучение сотрудников. В офисе или дома, персонал организации должен проходить регулярное обучение по кибербезопасности, иметь чёткое представление о современных стратегиях социальной инженерии и быть знаком с процедурами отчётности и реагирования в случае инцидента.
➤ Безопасный RDP. Протокол удалённого рабочего стола и другие формы RD-доступа желательно отключить. Если RDP нужен для работы организации, его нужно правильно защитить с помощью шлюза VPN или RDP, MFA и надёжных паролей, и лимитировать RDP-доступ для определенных пользователей и IP-диапазонов. См. статью "Защита RDP от вымогателей".
➤ Использование MFA. Взломанные учётные данные — одна из основных причин программ-вымогателей. Этот риск можно уменьшить включением многофакторной аутентификации везде, где возможно, с контролем служб совместной работы и удалённого доступа к сетям компании. Настройки ПО безопасности тоже нужно защитить с помощью MFA, который можно включить в облачных платформах управления антивирусами, таких как Emsisoft Cloud Console.
➤ Надежное антивирусное ПО. В организациях это необходимо для обнаружения и остановки вредоносного ПО, применяющегося для разведки и распространения на ранних этапах цепочки атак. Корпоративные решения безопасности могут столкнуться с трудностями из-за разнообразия домашней пользовательской среды, поэтому организациям необходимы поставщики антивирусного ПО, имеющие опыт и признанный продукт на потребительском рынке. При наличии активных заражений домашних устройств сотрудников классическое обнаружение и устранение неисправностей в процессе подключения имеет решающее значение для сетевой безопасности.
➤ Фильтрация спама. Надежный фильтр спама может остановить большинство вредоносного спама и снизить риск заражения вредоносным ПО через вредоносные URL-адреса и вложения. Можно настроить фильтры для предотвращения доставки типов вложений (например, документов с макросом).
➤ Удаление PowerShell. Этот мощный инструмент администрирования часто используется злоумышленниками на ранних этапах атаки. Если в нём нет необходимости, организациям желательно удалить PowerShell с удалённых конечных точек. Если он нужен, то должен быть правильно защищен (например, ограничить его использование лишь теми пользователями, которым он нужен, и разрешить выполнение сценариев только с цифровой подписью).
➤ Подтверждение запросов. Обычные рабочие процессы были нарушены и изменены во время перехода к удалённой работе, что может увеличить риск мошенничества. Сотрудники должны помнить о действиях мошенников и запрашивать подтверждения всех необычных запросов и инструкций, в том числе от клиентов, коллег, поставщиков и начальства. Подтверждение нужно запрашивать через дополнительный канал связи в случае взлома учётной записи отправителя.
➤ Принцип наименьших привилегий. Это практика ограничения доступа пользователей до минимума. Этот принцип должен быть реализован во всех системах, учётных записях, программном обеспечении и функциях, чтобы предотвратить несанкционированный доступ к критическим системам и заблокировать боковое перемещение по сети, которое позволяет злоумышленнику получать информацию из удалённых систем без использования дополнительных инструментов, таких как RAT (троян удалённого доступа).
➤ Создание бэкапов. В удалённой рабочей среде надёжная стратегия резервного копирования остаётся важным компонентом защиты от вымогателей. Проблемы безопасности и ограничения полосы пропускания могут помешать организации отправлять бэкапы на свои локальные NAS через VPN, а реализация локальных бэкапов для каждого удалённого работника логистически сложна. С учётом этих факторов облачная система резервного копирования может стать практичным вариантом для большинства организаций. См. статью "Защита резервных копий от вымогателей".
Вывод
COVID-19, возможно, навсегда изменил нашу работу. Глобальный переход к удалённой работе важен для поддержания непрерывности бизнеса при соблюдении принципов социальной дистанции, но смена шаблонов работы также открывает уникальные возможности для киберпреступников, жаждущихся извлечь выгоду из хаоса.
Компании любого размера должны помнить о проблемах безопасности, связанных с удалённой работой, и принимать меры для защиты своих удалённых конечных точек, сетей и корпоративных средств. Применение методов обеспечения безопасности из этой статьи поможет вам значительно снизить риск взлома и не даст стать следующей жертвой вымогателей.
Thanks to Jareth for the article.
___
EDR - защита конечных точек от сложных и целевых атак (англ. Endpoint Detection and Response).
MFA - технология "Многофакторная аутентификация" (англ. Multi-factor authentication).
RDP - технология "Протокол удалённого рабочего стола" (англ. Remote Desktop Protocol).
VPN - технология "Виртуальная частная сеть" (англ. Virtual Private Network).
© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна.
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.