Кейс BROCARD: как перейти на удаленку без ущерба для инфобеза

Компания BROCARD, как и тысячи других компаний в Украине, с началом пандемии перевела большинство своих сотрудников на удаленную работу. Но такой переход всегда чреват рисками с точки зрения кибербезопасности. Как с ними справилась компания?

Как все начиналось

На самом деле, переход на удаленный режим работы для BROCARD оказался довольно безболезненным. Этому способствовало несколько факторов: в компании уже частично практиковалась удаленная работа, имелся неплохой парк ноутбуков, было оптимально потрачено время на подготовку к объявлению локдауна: докупалась мобильная техника, проводилось обучение сотрудников и подготовка их к удаленной работе, адаптировались рабочие процессы, в первую очередь техподдержка.

IT-отдел в результате реализовал следующую схему: на базе UTM-устройства Fortigate был развернут VPN-шлюз. Подключение с помощью ПО FortiClient. Основные устройства — корпоративные ноутбуки, неттопы и десктопы. Нехватку оборудования решали за счет использования личных ноутбуков.

Вопросы по информационной безопасности решали, исходя из того, что первое, главное и основное тут — человеческий фактор. По той простой причине, что во всем техническом многообразии именно люди в подавляющем большинстве случаев являются либо первоисточником инцидента, либо объектом воздействия злоумышленников. Соответственно, эти риски компенсировали обучающими мероприятиями по правилам информбезопасности.

Не менее тщательно подошли и к технической составляющей. Все компьютеры были оснащены комплексной системой безопасности FortiClient, состоящей из нескольких модулей: антивирус, поиск уязвимостей, файрволл, веб-фильтр, песочница. Принципиальное различие между сценариями использования корпоративных и личных устройств: в первом случае полная локальная эмуляция рабочего пространства, во втором — дополнительное использование служб удаленного рабочего стола и подключение к компьютеру в офисе.

Сегодняшняя ситуация

На сегодняшний день в компании чаще всего все так же применяется схема удаленной работы, с которой и начинали: VPN-подключения с помощью решений от FortiNet. Дополнительно провели мероприятия по централизации места хранения документов — максимально перенесли их с рабочих станций на сетевые хранилища. Так решаются две задачи: минимизация рисков в случае кражи компьютера и повышение отказоустойчивости путем создания резервных копий.

Еще одно достижение — переход в облачные сервисы. На данный момент используется рабочее пространство Microsoft 365 и Office 365. Эти решения позволяют организовывать виртуальный офис с помощью создания отдельных команд, чатов и конференций. Такой подход существенно снижает риски ИБ с точки зрения подготовки и администрирования рабочих станций, находящихся за периметром корпоративной сети, — все операции по доступу к файлам и работе с ними можно проводить непосредственно в браузере.

Отдельно стоит сказать об удаленной работе привилегированных пользователей — администраторов, подрядчиков, разработчиков и т. п. Допуск в корпоративную сеть таких категорий работников осуществляется через систему PAM (Privileged Account Management) — реализовано журналирование и видеозапись проводимых действий, блокировка "критических" и "фатальных" команд. Дополнительно внедрили двухфакторную аутентификацию к критическим сервисам, расположенным в облачной инфраструктуре: AWS, Cloudflare.

Направление движения

Компания по-прежнему планирует использовать проверенную схему VPN-подключений. Ее активно улучшают и развивают в соответствии с сегодняшними требованиями. Так, несколько решений от FortiNet — FortiGate, Forti EMS&Client, FortiMail, Sandbox, FortiAnalyzer — объединены в одну цельную экосистему Forti Fabric. Это позволяет реализовывать идеологию ZTNA (Zero Trust Network Access) — гибкое управление допуском к ресурсам компании в зависимости от статуса устройства, с которого осуществляется доступ, и от статуса учетной записи пользователя.

Следующий интересный вектор развития — концепция BYOD (Bring Your Own Device), которую в компании разделили на два направления:

  • VDI (Virtual Desktop Infrastructure). Эта технология обеспечивает более высокий уровень контроля и управления процессом удаленного подключения к виртуальным рабочим столам, независимо от устройств, с которых осуществляется подключение: личное или корпоративное, ноутбук или планшет и т. д.;
  • Microsoft 365 Endpoint Manager (ранее Intune). Позволяет создать на личном устройстве, будь то десктоп, ноутбук, планшет или телефон, управляемое и контролируемое рабочее пространство, отдельное от личного.

Что касается инструментов ИБ как таковых, то это:

  • распространение механизмов двухфакторной аутентификации не только на администраторов, но и на обычных пользователей;
  • внедрение Microsoft 365 Endpoint Data Loss Prevention для более тщательного контроля за контентом.

Павел Ларьков, офицер систем информационной безопасности

Павел Ларьков, офицер систем информационной безопасности

Если даже не брать период пандемии COVID-19, а говорить в целом, то с чем вам чаще приходится сталкиваться — с утечками или порчей информации по вине, условно говоря, хакеров или с проблемами, которые создают сами пользователи?

— В мировой практике общее количество инцидентов информбезопасности, связанных с человеческим фактором, существенно превышает все остальные и достигает, по некоторым данным, 90%. Мы не являемся каким-то исключением. Для нас люди — первое, главное и основное. Соответственно, и работа акцентируется на это направление. Например, каждый сотрудник, получающий доступ к информационным ресурсам компании, в обязательном порядке знакомится с правилами ИБ; проводятся периодические информационные рассылки по вопросам ИБ; со "штрафниками" проводятся беседы как по теме инцидента, так и по общим правилам ИБ.

Как выглядит ситуация с момента начала перехода на удаленную работу? Какие киберпроблемы добавились, а какие, может быть, исчезли?

— Ну… "Проблем стало меньше" звучит слишком утопично. Развитие IT только добавляет что-то новое в сферу ИБ. Переход на удаленную работу остро поднял вопросы контроля и администрирования компьютеров за пределами корпоративной сети. И не только компьютеров. И не только корпоративных. Следующий момент — облачные технологии. Очень удобный инструмент для работы, требующий только наличия браузера и доступа в интернет. И в то же время очень проблемный для любого безопасника — понять, что происходит "на том конце", и принять соответствующие меры бывает крайне сложно.

В данном случае на помощь приходят новые технологии, в числе которых ZTNA (Zero Trust Network Access) — гибкое управление допуском к ресурсам компании в зависимости от статуса устройства, с которого осуществляется доступ, и от статуса учетной записи пользователя. То есть если сотрудник, например, пытается получить доступ в корпоративную сеть с рабочего ноутбука — это один уровень доступа. Если же с личного или с помощью браузера — это другой уровень, существенно более строгий и ограниченный. Также проверяется наличие антивируса, актуальность его сигнатур. Более того, корпоративная техника дополнительно проверяется на наличие необходимых обновлений и исправлений для операционной системы и установленного ПО.

Насколько дороже и сложнее обеспечивать информбезопасность удаленного работника по сравнению с офисным?

— Однозначно сложнее. Простота и удобство для пользователя обеспечиваются за счет дополнительного функционала, выполняемого сотрудниками подразделений IT и безопасности, — там, где достаточно было сделать пару настроек, сейчас их не менее нескольких десятков. Плюс новые технологии требуют внедрения новых систем и решений. Например, удаленная работа в облаке предполагает наличие определенной инфраструктуры, которую необходимо синхронизировать с наземной, зачастую с использованием дополнительного инструментария.

Относительно дороговизны не скажу. С одной стороны, многие новые IТ-продукты и решения уже несут в себе множество функционала из сферы ИБ, что уменьшает прямые затраты именно по безопасности. С другой — возрастает стоимость самих этих продуктов, что, в свою очередь, нивелирует кажущуюся экономию. А учитывая общую тенденцию удорожания сферы IТ, то и безопасность, соответственно, обходится дороже.

Существует ли в BROCARD четко прописанная для каждого сотрудника политика по информационной безопасности? Знает ли этот сотрудник, что ему делать в случае возникновения проблем?

— Для каждого сотрудника нет. Есть общая политика информационной безопасности, которая применима к предприятию в целом, и более практические правила информационной безопасности, обязательные к соблюдению всеми сотрудниками.

Что же касается действий в отношении возникающих проблем — стандартные и понятные ситуации описаны. Если же возникший инцидент является сложным для восприятия — в доступе у сотрудников есть контакты офицера по информбезопасности либо же контакты сервис-деска, который сможет перенаправить обращение по адресу.

Если не секрет, какие за последние три года в компании были самые серьезные инциденты в сфере ИБ? Как вы преодолевали возникшие проблемы?

— Из такого, чем можно поделиться, — это компрометация одной из учетных записей. В качестве последствий получили спам-рассылку от имени указанной учетки, что привело к невозможности отправки легитимных писем — наш IP-адрес внесли в черные списки спамеров. Проблему решали блокировкой взломанной учетной записи и взаимодействием со спам-агрегаторами (Spamhaus и Barracuda) и провайдерами каналов связи. В дальнейшем проводили аудит учетных записей, меняли нестойкие пароли, применяли более строгую политику парольной защиты, ужесточили настройки на почтовом шлюзе, задействовали мониторинг почтовых сообщений, включая такой инструмент, как веб-ресурс Cisco Talos.

Также пережили сбой сетевого хранилища, результатом которого стала недоступность личных папок сотрудников. Восстанавливались из резервных копий. Из существенных потерь — время простоя по причине работ по возврату сетевых дисков в рабочее состояние. Из существенных плюсов — пересмотрели концепцию использования дискового пространства. Провели инвентаризацию накопленной информации. Сделали категоризацию: избавились от архаизмов, выделили отдельное место для мультимедийных и архивных данных, обозначили статус личных папок пользователей как хранилище оперативных и важных документов и настроили для них более эффективные правила резервного копирования и восстановления.

Еще из интересного — попытки взлома нашего интернет-магазина. Решение проблемы заключалось, во-первых, в превентивных мерах: зная, что востребованность данного ресурса во время ограничений в реальной жизни будет довольно высока, мы проводили несколько пен-тестов (Penetration Test — тест на проникновение, проверка ресурса на взлом, внедрение вредоносного кода и перехвата управления). По результатам этих мероприятий улучшали код, исправляли уязвимости.

Во-вторых, это использование специализированного ПО для защиты от атак подобной этимологии — WAF (Web Application Firewall). Зловредная активность была своевременно обнаружена и купирована путем блокировки IP-адресов злоумышленников и сгенерированных ими деструктивных запросов.

Дмитрий Юшин, IT-директор холдинга

Дмитрий Юшин, IT-директор холдинга

Для очень многих предприятий и Украины, и всего мира первая половина 2020 года стала тем переломным моментом, когда очень значительную часть работников пришлось отправлять на удаленную работу. Насколько к этому была готова ваша компания? Был ли у BROCARD раньше такой опыт, когда достаточно большое количество сотрудников работает не из офиса?

— Да, первая половина 2020 года была достаточно сложной как для бизнеса в целом, так и для IТ в частности. Однако не скажу, что все произошедшее было для нас неожиданностью. Во-первых, часть сотрудников компании уже работала в удаленном режиме. Не постоянно. Не большое количество. Но, все же. И концептуальное решение данной задачи было.

Вопрос заключался в масштабировании — перевести на удаленку практически всех. А вот тут — во-вторых, еще задолго до кризиса мы начали оптимизацию инфраструктуры с помощью облачных сервисов. В итоге у нас получилась некая гибридная схема: часть сотрудников продолжала работать в офисе, насколько позволяли карантинные ограничения, возможность добраться до рабочего места и, самое главное, важность работы и ценность обрабатываемой информации; часть сотрудников (довольно-таки большая) перешла на удаленку с корпоративной техникой; часть вынуждена была работать с помощью личных компьютеров.

С какими трудностями вы столкнулись при переводе сотрудников на удаленку? Что оказалось самым затратным, а что — самым технически сложным?

— Самым сложным во всем этом было обеспечить коллег необходимым числом ноутбуков. Это, по сути, и было и самым затратным, и самым технически сложным. Финансовый вопрос решили перераспределением бюджета и дополнительной закупкой техники. Технические же задачи по настройке, подключению и наладке были выполнены благодаря самоотверженности специалистов вверенного мне подразделения. За что им огромное спасибо.

Также хочу отметить, что много работы проделано в области техподдержки. Были составлены инструкции, проведено обучение сотрудников, оказана немалая удаленная техническая методологическая помощь. Особенно в первые дни.

При подобном переходе, как показала практика, многие IT-директора, имея ограниченные бюджеты, пускали вопросы безопасности на самотек. Мол, сейчас главное организовать работу, а там и с хакерами будем разбираться. А как действовали вы?

— Это не наш случай, мы максимально закладывали доступные механизмы безопасности, стараясь не потерять в функциональности. Как показала практика, такой подход себя оправдал: и рабочий процесс не остановился, и серьезных инцидентов ИБ удалось избежать.

Что, на ваш взгляд, представляет для компании бо́льшую опасность — профессиональные киберпреступники извне, собственные сотрудники-инсайдеры (действующие во вред, например, сливая базы данных или служебные документы) или просто неразумные сотрудники (из тех, кто ставит пароль password и теряет флешки с документами)?

— Вопрос, наверное, больше к профильному специалисту… С моей же точки зрения, однозначного ответа на этот вопрос нет. Несомненно, больший вред наносят всякие хакеры/киберпреступники — на то они и профессионалы. Однако они же получают и наибольший отпор. Поэтому успешных атак мало, но они очень болезненны.

Те же рядовые сотрудники, даже при довольно высоком уровне безалаберности и беспечности, существенный вред, скорее всего, не нанесут. Но могут набрать некую критическую массу вроде бы незначительных утечек, которые в итоге трансформируются в серьезные убытки.

А вот сотрудники-инсайдеры — это вообще отдельная история, которая выходит за пределы непосредственно ИБ: здесь и проверки кандидатов при приеме на работу, и взаимоотношения в коллективе и с руководством, и много чего еще. Если же смотреть на эту проблему чисто с технической точки зрения, то есть, например, такие решения, как UEBA (User [and Entity] Behavioral Analytics) — класс систем, позволяющих на основе массивов данных о пользователях и IТ-сущностях (конечных станциях, серверах, коммутаторах и т. д.) с помощью алгоритмов машинного обучения и статистического анализа строить модели поведения пользователей и определять отклонения от этих моделей как в режиме реального времени, так и ретроспективно. Тут уже необходимо исходить из стоимости информации и затрат на обеспечение ее безопасности.

В большинстве стран мира корпоративные расходы на информбезопасность стабильно растут. В Украине, как показывает анализ, они колеблются — например, в минувшем году объем рынка ИБ-решений уменьшился на 22%, хотя в 2019-м он вырос на 52%. Почему так происходит?

— Полагаю, что причина кроется в совокупности менталитета и фактического финансового состояния. Нечто похожее было и с печально известным вирусом Petya: "гром грянул — мужик перекрестился". Тогда тоже был всплеск затрат на ИБ, который со временем уменьшился. Вот и сейчас вынужденный переход на удаленку заставил так или иначе вкладываться в безопасность, расходы на которую, как правило, планируются по остаточному принципу. Ситуация стабилизировалась — деньги перенаправлены на другие цели. Ну, и общее финансовое состояние — наша страна, к сожалению, очень чувствительна к подобным событиям. Ресурсов часто банально не хватает.