Безопасный удалённый доступ: как защитить инфраструктуру от злодеев и нерадивых сотрудников

Простой способ организовать удалённый доступ — настроить подключение через такие программы, как TeamViewer. Но производительность таких решений невысокая. А самое главное — это небезопасно:

TeamViewer часто взламывают. Был случай, когда cкомпроментировали его пула адресов: у пользователей заблокировали компьютеры и украли информацию. Однажды мы даже встречались с ситуацией, когда к TeamViewer кто-то подключился и начал отправлять платежи в системе «Банк клиент». Злоумышленник дождался удобного случая и в момент отправки платежа заменил его реквизиты. К счастью, банк заблокировал платеж, и компания не пострадала.

Производители ПО для удаленного доступа не идут на контакт, когда у пользователей возникают проблемы с безопасностью. Людей, которые подключаются к рабочему столу через подобные системы, невозможно вычислить.

С клиент-серверным подключением можно организовать доступ к рабочему месту напрямую, не через серверы сторонней организации. Чаще всего это делается с помощью терминальных серверов Microsoft Windows. Безопасность клиент-серверного подключения зависит от того, как настроен контроль доступа. Основные варианты подключений:

Самый быстрый способ настроить клиент-серверное подключение — сделать открытый доступ к терминалу и рабочим местам. Любой компьютер может подключиться к серверу и работать с ним так, как если бы находился в офисе. В некоторых компаниях такое подключение используется даже для работы с 1С.

Открытый доступ к серверу небезопасен. В интернете всего около 4 млр. устройств, а в активном состоянии — ещё меньше. Чтобы просканировать сеть по всем возможным портам протоколам, достаточно двух месяцев. Если злоумышленник сканирует сеть не с одного, а с десятков или сотен устройств, время уменьшается в несколько раз.

И если к инфраструктуре открыт доступ, по общеизвестному порту rdp tcp/3389, злоумышленники могут выполнить произвольный код на стороне сервера. За последние несколько лет в протоколе rdp несколько раз находили уязвимости, которые позволяют это сделать.

Неконтролируемым доступом к инфраструктуре пользуются, чтобы заработать:

Есть несколько вариантов организовать безопасный доступ к серверам компании.

Доступ по списку IP-адресов сотрудников. Для его организации можно приобрести для сотрудников статический IP-адрес или настроить подключение по адресам подсети домашнего оператора. Атаку на ваш сервер могут провести только из подсети конкретного сотрудника – это уже гораздо лучше и удобнее, чем когда мы открываем двери всему интернету.

Доступ по динамическому списку (Port Knocking). Это динамический доступ, основанный на действиях сотрудников. Можно написать скрипт, который, будет производить последовательные действия, чтобы получить доступ к нашей системе. Например: «пропинговать IP-адрес три раза, затем — с другим размером пакета, затем постучаться на другой порт – после этого откроется доступ».

VPN-доступ. Это виртуальная приватная сеть, которую организуют технические специалисты. Технологий VPN достаточно много. Выбор VPN-решения зависит от того, что важнее для компании: производительность, цена или универсальность.

Идея Zero Trust в том, что для пользователей нет прямых препятствий доступа к системе, но сама система максимально безопасна.

Пример Zero Trust – «Сбербанк.Онлайн». В него встроена собственная защита: система следит за количеством попыток входа, мониторит уязвимости, отслеживает атаки. Пользователи получают доступ информации без дополнительных средств, отделённых от информационной системы.

Для небольшого корпоративного клиента Zero Trust может включать двухфакторную авторизацию, концепцию защиты от подбора паролей, обязательные сертификаты, регулярную проверка на уязвимости.

Подход Zero Trust очень надёжный, но для его качественной организации нужно много денег. Для небольших компаний это недоступное решение.

Чтобы организовать безопасную удалённую работу, нужно подготовиться к этом заранее. Если раньше в организации работали 20-30 сотрудников без централизованной системы безопасности, перейти на удалённую работу будет достаточно сложно. Когда администраторы закупают и настраивают оборудование в спешке, ошибок не избежать. Выходом может быть аренда облака. Это недешевый сервис, но он позволяет быстро получить безопасные ресурсы.

Краткая история виртуализации

В офисе не приходится специально контролировать рабочее время , потому что действует корпоративная культура: сотрудники начинают рабочий день в 9, уходят на обед и возвращаются с него.

На «удалёнке» следить за рабочим графиком сложнее. Ответственные сотрудники, у которых много работы, могут не вставать из-за компьютера целый день. Но таких людей не так много. Все остальные могут заниматься своими делами, пока за ними не следят. У всех дома есть дети, кошки, холодильники – много интересных вещей, которые отвлекают. Я даже знаю примеры, когда люди пьянствовали целый день.

Возникает вопрос, как контролировать людей — ведь нельзя поставить каждому сотруднику камеру и постоянно следить за ним.

Программы для учёта рабочего времени, такие как CrocoTime или «Стахановец», фиксируют чем сотрудник занимался целый день. На эти отчёты нужны не для того, чтобы их смотрели — они используются как «театр безопасности». Когда человек знает, что за его действиями следят, он будет придерживаться рабочего времени и стараясь работать производительно. Это полезная вещь, которую можно применять.

Я знаю случаи, когда после перехода на удаленку у компании в несколько раз падали продажи. При этом число лидов не изменилось: клиенты, как и прежде, обращались к менеджерам, но сделки не заключались. В чем же дело?

Когда сотрудники работают в офисе, они негласно присматривают друг за другом: никто не будет фотографировать экран, пересылать закрытую информацию по электронной почте или пересказывать её по телефону.

Ценность информации, которую можно украсть, сфотографировав экран, бывает велика. Особенно это касается компаний, у которых дорогой лид: из сферы недвижимости или автомобильного бизнеса. В этих компаниях очень ценен даже сам номер телефона клиента.

Менеджеры, которые его видят, могут обработать заявку в своей компании и не получить ничего, кроме зарплаты. А могут продать информацию конкурентам и получить бонусы. Компания потеряет клиента, понесёт финансовые и репутационные потери.

Единственная защита от кражи лидов – оградить контактные данные лида от человека, который с ними работает. Для этого в CRM-системе должен быть скрыт номер телефона. Такая возможность есть, например в 1С-Рарус: Call Center. В ней не отображаются номера.

Телефонная станция сама делает вызов. Оператору приходит уже обезличенная информация: «Звонит клиент Роман». В CRM нет никакой информации, которую можно с выгодой украсть. Такие программы не уберегут от топовых сотрудников, которые, обычно, имеют доступ ко всей информации и от технических сотрудников, обслуживающих систему. Но риск потерять клиента снизится.

Люди часто работают из дома на собственных компьютерах. Контролировать, какое на них установлено ПО, невозможно. Часто на домашних устройствах отсутствует антивирус, может стоять Windows XP, скачанный с торрентов, троянские программы. Когда этот же компьютер используется для доступа в рабочее пространство, финансовая информации может утечь.

Решить проблему с небезопасными домашними станциями могут бездисковые терминалы. Это небольшая коробка, на которую установлена облегченная ОС со встроенным VPN. Каждому сотруднику рассылается такое устройство. Сотрудник подключает коробку к сети и сразу получает доступ к терминалу или VDI (системе виртуальных рабочих мест). Это удобный и экономичный вариант: один бездисковый терминал стоит от 6 до 12 тыс рублей. При этом нет никакой прослойки в виде домашнего компьютера.

Как организовать удалённый рабочий стол с помощью VMmanager .