Кейс BROCARD: как перейти на удаленку без ущерба для инфобеза

Как все начиналось

На самом деле, переход на удаленный режим работы для BROCARD оказался довольно безболезненным. Этому способствовало несколько факторов: в компании уже частично практиковалась удаленная работа, имелся неплохой парк ноутбуков, было оптимально потрачено время на подготовку к объявлению локдауна: докупалась мобильная техника, проводилось обучение сотрудников и подготовка их к удаленной работе, адаптировались рабочие процессы, в первую очередь техподдержка.

IT-отдел в результате реализовал следующую схему: на базе UTM-устройства Fortigate был развернут VPN-шлюз. Подключение с помощью ПО FortiClient. Основные устройства — корпоративные ноутбуки, неттопы и десктопы. Нехватку оборудования решали за счет использования личных ноутбуков.

Вопросы по информационной безопасности решали, исходя из того, что первое, главное и основное тут — человеческий фактор. По той простой причине, что во всем техническом многообразии именно люди в подавляющем большинстве случаев являются либо первоисточником инцидента, либо объектом воздействия злоумышленников. Соответственно, эти риски компенсировали обучающими мероприятиями по правилам информбезопасности.

Не менее тщательно подошли и к технической составляющей. Все компьютеры были оснащены комплексной системой безопасности FortiClient, состоящей из нескольких модулей: антивирус, поиск уязвимостей, файрволл, веб-фильтр, песочница. Принципиальное различие между сценариями использования корпоративных и личных устройств: в первом случае полная локальная эмуляция рабочего пространства, во втором — дополнительное использование служб удаленного рабочего стола и подключение к компьютеру в офисе.

Сегодняшняя ситуация

На сегодняшний день в компании чаще всего все так же применяется схема удаленной работы, с которой и начинали: VPN-подключения с помощью решений от FortiNet. Дополнительно провели мероприятия по централизации места хранения документов — максимально перенесли их с рабочих станций на сетевые хранилища. Так решаются две задачи: минимизация рисков в случае кражи компьютера и повышение отказоустойчивости путем создания резервных копий.

Еще одно достижение — переход в облачные сервисы. На данный момент используется рабочее пространство Microsoft 365 и Office 365. Эти решения позволяют организовывать виртуальный офис с помощью создания отдельных команд, чатов и конференций. Такой подход существенно снижает риски ИБ с точки зрения подготовки и администрирования рабочих станций, находящихся за периметром корпоративной сети, — все операции по доступу к файлам и работе с ними можно проводить непосредственно в браузере.

Отдельно стоит сказать об удаленной работе привилегированных пользователей — администраторов, подрядчиков, разработчиков и т. п. Допуск в корпоративную сеть таких категорий работников осуществляется через систему PAM (Privileged Account Management) — реализовано журналирование и видеозапись проводимых действий, блокировка "критических" и "фатальных" команд. Дополнительно внедрили двухфакторную аутентификацию к критическим сервисам, расположенным в облачной инфраструктуре: AWS, Cloudflare.

Направление движения

Компания по-прежнему планирует использовать проверенную схему VPN-подключений. Ее активно улучшают и развивают в соответствии с сегодняшними требованиями. Так, несколько решений от FortiNet — FortiGate, Forti EMS&Client, FortiMail, Sandbox, FortiAnalyzer — объединены в одну цельную экосистему Forti Fabric. Это позволяет реализовывать идеологию ZTNA (Zero Trust Network Access) — гибкое управление допуском к ресурсам компании в зависимости от статуса устройства, с которого осуществляется доступ, и от статуса учетной записи пользователя.

Следующий интересный вектор развития — концепция BYOD (Bring Your Own Device), которую в компании разделили на два направления:

• VDI (Virtual Desktop Infrastructure). Эта технология обеспечивает более высокий уровень контроля и управления процессом удаленного подключения к виртуальным рабочим столам, независимо от устройств, с которых осуществляется подключение: личное или корпоративное, ноутбук или планшет и т. д.;
• Microsoft 365 Endpoint Manager (ранее Intune). Позволяет создать на личном устройстве, будь то десктоп, ноутбук, планшет или телефон, управляемое и контролируемое рабочее пространство, отдельное от личного.

Что касается инструментов ИБ как таковых, то это:

• распространение механизмов двухфакторной аутентификации не только на администраторов, но и на обычных пользователей;
• внедрение Microsoft 365 Endpoint Data Loss Prevention для более тщательного контроля за контентом.

Павел Ларьков, офицер систем информационной безопасности

— Если даже не брать период пандемии COVID-19, а говорить в целом, то с чем вам чаще приходится сталкиваться — с утечками или порчей информации по вине, условно говоря, хакеров или с проблемами, которые создают сами пользователи?

— В мировой практике общее количество инцидентов информбезопасности, связанных с человеческим фактором, существенно превышает все остальные и достигает, по некоторым данным, 90%. Мы не являемся каким-то исключением. Для нас люди — первое, главное и основное. Соответственно, и работа акцентируется на это направление. Например, каждый сотрудник, получающий доступ к информационным ресурсам компании, в обязательном порядке знакомится с правилами ИБ; проводятся периодические информационные рассылки по вопросам ИБ; со "штрафниками" проводятся беседы как по теме инцидента, так и по общим правилам ИБ.

— Как выглядит ситуация с момента начала перехода на удаленную работу? Какие киберпроблемы добавились, а какие, может быть, исчезли?

— Ну… "Проблем стало меньше" звучит слишком утопично. Развитие IT только добавляет что-то новое в сферу ИБ. Переход на удаленную работу остро поднял вопросы контроля и администрирования компьютеров за пределами корпоративной сети. И не только компьютеров. И не только корпоративных. Следующий момент — облачные технологии. Очень удобный инструмент для работы, требующий только наличия браузера и доступа в интернет. И в то же время очень проблемный для любого безопасника — понять, что происходит "на том конце", и принять соответствующие меры бывает крайне сложно.

В данном случае на помощь приходят новые технологии, в числе которых ZTNA (Zero Trust Network Access) — гибкое управление допуском к ресурсам компании в зависимости от статуса устройства, с которого осуществляется доступ, и от статуса учетной записи пользователя. То есть если сотрудник, например, пытается получить доступ в корпоративную сеть с рабочего ноутбука — это один уровень доступа. Если же с личного или с помощью браузера — это другой уровень, существенно более строгий и ограниченный. Также проверяется наличие антивируса, актуальность его сигнатур. Более того, корпоративная техника дополнительно проверяется на наличие необходимых обновлений и исправлений для операционной системы и установленного ПО.

— Насколько дороже и сложнее обеспечивать информбезопасность удаленного работника по сравнению с офисным?

— Однозначно сложнее. Простота и удобство для пользователя обеспечиваются за счет дополнительного функционала, выполняемого сотрудниками подразделений IT и безопасности, — там, где достаточно было сделать пару настроек, сейчас их не менее нескольких десятков. Плюс новые технологии требуют внедрения новых систем и решений. Например, удаленная работа в облаке предполагает наличие определенной инфраструктуры, которую необходимо синхронизировать с наземной, зачастую с использованием дополнительного инструментария.

Относительно дороговизны не скажу. С одной стороны, многие новые IТ-продукты и решения уже несут в себе множество функционала из сферы ИБ, что уменьшает прямые затраты именно по безопасности. С другой — возрастает стоимость самих этих продуктов, что, в свою очередь, нивелирует кажущуюся экономию. А учитывая общую тенденцию удорожания сферы IТ, то и безопасность, соответственно, обходится дороже.

— Существует ли в BROCARD четко прописанная для каждого сотрудника политика по информационной безопасности? Знает ли этот сотрудник, что ему делать в случае возникновения проблем?

— Для каждого сотрудника нет. Есть общая политика информационной безопасности, которая применима к предприятию в целом, и более практические правила информационной безопасности, обязательные к соблюдению всеми сотрудниками.

Что же касается действий в отношении возникающих проблем — стандартные и понятные ситуации описаны. Если же возникший инцидент является сложным для восприятия — в доступе у сотрудников есть контакты офицера по информбезопасности либо же контакты сервис-деска, который сможет перенаправить обращение по адресу.

— Если не секрет, какие за последние три года в компании были самые серьезные инциденты в сфере ИБ? Как вы преодолевали возникшие проблемы?

— Из такого, чем можно поделиться, — это компрометация одной из учетных записей. В качестве последствий получили спам-рассылку от имени указанной учетки, что привело к невозможности отправки легитимных писем — наш IP-адрес внесли в черные списки спамеров. Проблему решали блокировкой взломанной учетной записи и взаимодействием со спам-агрегаторами (Spamhaus и Barracuda) и провайдерами каналов связи. В дальнейшем проводили аудит учетных записей, меняли нестойкие пароли, применяли более строгую политику парольной защиты, ужесточили настройки на почтовом шлюзе, задействовали мониторинг почтовых сообщений, включая такой инструмент, как веб-ресурс Cisco Talos.

Также пережили сбой сетевого хранилища, результатом которого стала недоступность личных папок сотрудников. Восстанавливались из резервных копий. Из существенных потерь — время простоя по причине работ по возврату сетевых дисков в рабочее состояние. Из существенных плюсов — пересмотрели концепцию использования дискового пространства. Провели инвентаризацию накопленной информации. Сделали категоризацию: избавились от архаизмов, выделили отдельное место для мультимедийных и архивных данных, обозначили статус личных папок пользователей как хранилище оперативных и важных документов и настроили для них более эффективные правила резервного копирования и восстановления.

Еще из интересного — попытки взлома нашего интернет-магазина. Решение проблемы заключалось, во-первых, в превентивных мерах: зная, что востребованность данного ресурса во время ограничений в реальной жизни будет довольно высока, мы проводили несколько пен-тестов (Penetration Test — тест на проникновение, проверка ресурса на взлом, внедрение вредоносного кода и перехвата управления). По результатам этих мероприятий улучшали код, исправляли уязвимости.

Во-вторых, это использование специализированного ПО для защиты от атак подобной этимологии — WAF (Web Application Firewall). Зловредная активность была своевременно обнаружена и купирована путем блокировки IP-адресов злоумышленников и сгенерированных ими деструктивных запросов.

Дмитрий Юшин, IT-директор холдинга

— Для очень многих предприятий и Украины, и всего мира первая половина 2020 года стала тем переломным моментом, когда очень значительную часть работников пришлось отправлять на удаленную работу. Насколько к этому была готова ваша компания? Был ли у BROCARD раньше такой опыт, когда достаточно большое количество сотрудников работает не из офиса?

— Да, первая половина 2020 года была достаточно сложной как для бизнеса в целом, так и для IТ в частности. Однако не скажу, что все произошедшее было для нас неожиданностью. Во-первых, часть сотрудников компании уже работала в удаленном режиме. Не постоянно. Не большое количество. Но, все же. И концептуальное решение данной задачи было.

Вопрос заключался в масштабировании — перевести на удаленку практически всех. А вот тут — во-вторых, еще задолго до кризиса мы начали оптимизацию инфраструктуры с помощью облачных сервисов. В итоге у нас получилась некая гибридная схема: часть сотрудников продолжала работать в офисе, насколько позволяли карантинные ограничения, возможность добраться до рабочего места и, самое главное, важность работы и ценность обрабатываемой информации; часть сотрудников (довольно-таки большая) перешла на удаленку с корпоративной техникой; часть вынуждена была работать с помощью личных компьютеров.

— С какими трудностями вы столкнулись при переводе сотрудников на удаленку? Что оказалось самым затратным, а что — самым технически сложным?

— Самым сложным во всем этом было обеспечить коллег необходимым числом ноутбуков. Это, по сути, и было и самым затратным, и самым технически сложным. Финансовый вопрос решили перераспределением бюджета и дополнительной закупкой техники. Технические же задачи по настройке, подключению и наладке были выполнены благодаря самоотверженности специалистов вверенного мне подразделения. За что им огромное спасибо.

Также хочу отметить, что много работы проделано в области техподдержки. Были составлены инструкции, проведено обучение сотрудников, оказана немалая удаленная техническая методологическая помощь. Особенно в первые дни.

— При подобном переходе, как показала практика, многие IT-директора, имея ограниченные бюджеты, пускали вопросы безопасности на самотек. Мол, сейчас главное организовать работу, а там и с хакерами будем разбираться. А как действовали вы?

— Это не наш случай, мы максимально закладывали доступные механизмы безопасности, стараясь не потерять в функциональности. Как показала практика, такой подход себя оправдал: и рабочий процесс не остановился, и серьезных инцидентов ИБ удалось избежать.

— Что, на ваш взгляд, представляет для компании бо́льшую опасность — профессиональные киберпреступники извне, собственные сотрудники-инсайдеры (действующие во вред, например, сливая базы данных или служебные документы) или просто неразумные сотрудники (из тех, кто ставит пароль password и теряет флешки с документами)?

— Вопрос, наверное, больше к профильному специалисту… С моей же точки зрения, однозначного ответа на этот вопрос нет. Несомненно, больший вред наносят всякие хакеры/киберпреступники — на то они и профессионалы. Однако они же получают и наибольший отпор. Поэтому успешных атак мало, но они очень болезненны.

Те же рядовые сотрудники, даже при довольно высоком уровне безалаберности и беспечности, существенный вред, скорее всего, не нанесут. Но могут набрать некую критическую массу вроде бы незначительных утечек, которые в итоге трансформируются в серьезные убытки.

А вот сотрудники-инсайдеры — это вообще отдельная история, которая выходит за пределы непосредственно ИБ: здесь и проверки кандидатов при приеме на работу, и взаимоотношения в коллективе и с руководством, и много чего еще. Если же смотреть на эту проблему чисто с технической точки зрения, то есть, например, такие решения, как UEBA (User [and Entity] Behavioral Analytics) — класс систем, позволяющих на основе массивов данных о пользователях и IТ-сущностях (конечных станциях, серверах, коммутаторах и т. д.) с помощью алгоритмов машинного обучения и статистического анализа строить модели поведения пользователей и определять отклонения от этих моделей как в режиме реального времени, так и ретроспективно. Тут уже необходимо исходить из стоимости информации и затрат на обеспечение ее безопасности.

— В большинстве стран мира корпоративные расходы на информбезопасность стабильно растут. В Украине, как показывает анализ, они колеблются — например, в минувшем году объем рынка ИБ-решений уменьшился на 22%, хотя в 2019-м он вырос на 52%. Почему так происходит?

— Полагаю, что причина кроется в совокупности менталитета и фактического финансового состояния. Нечто похожее было и с печально известным вирусом Petya: "гром грянул — мужик перекрестился". Тогда тоже был всплеск затрат на ИБ, который со временем уменьшился. Вот и сейчас вынужденный переход на удаленку заставил так или иначе вкладываться в безопасность, расходы на которую, как правило, планируются по остаточному принципу. Ситуация стабилизировалась — деньги перенаправлены на другие цели. Ну, и общее финансовое состояние — наша страна, к сожалению, очень чувствительна к подобным событиям. Ресурсов часто банально не хватает.