Кейс BROCARD: як перейти на віддалення без шкоди для інфобезу
Компанія BROCARD, як і тисячі інших компаній в Україні, з початком пандемії перевела більшість своїх співробітників на віддалену роботу. Але такий перехід завжди загрожує ризиками з погляду кібербезпеки. Як із ними впоралася компанія?
Як все починалося
Насправді перехід на віддалений режим роботи для BROCARD виявився досить безболісним. Цьому сприяло кілька факторів: у компанії вже частково практикувалася віддалена робота, був непоганий парк ноутбуків, було оптимально витрачено час на підготовку до оголошення локдауну: докуповувалась мобільна техніка, проводилося навчання співробітників та підготовка їх до віддаленої роботи, адаптувалися робочі процеси, насамперед техпідтримка. .
IT-відділ у результаті реалізував таку схему: на базі UTM-пристрою Fortigate було розгорнуто VPN-шлюз. Підключення за допомогою ПЗ FortiClient. Основні пристрої – корпоративні ноутбуки, неттопи та десктопи. Нестачу обладнання вирішували за рахунок використання власних ноутбуків.
Питання з інформаційної безпеки вирішували, зважаючи на те, що перше, головне і основне тут — людський фактор. З тієї простої причини, що в усьому технічному різноманітті саме люди в переважній більшості випадків є першоджерелом інциденту, або об'єктом впливу зловмисників. Відповідно, ці ризики компенсували навчальними заходами за правилами інформбезпеки.
Не менш ретельно підійшли і до технічної складової. Всі комп'ютери були оснащені комплексною системою безпеки FortiClient, що складається з кількох модулів: антивірус, пошук уразливостей, файрвол, веб-фільтр, пісочниця. Принципова різниця між сценаріями використання корпоративних та особистих пристроїв: у першому випадку повна локальна емуляція робочого простору, у другому – додаткове використання служб віддаленого робочого столу та підключення до комп'ютера в офісі.
Сьогоднішня ситуація
На сьогоднішній день в компанії найчастіше так само застосовується схема віддаленої роботи, з якої і починали: VPN-підключення за допомогою рішень від FortiNet. Додатково провели заходи щодо централізації місця зберігання документів — максимально перенесли їх із робочих станцій на мережеві сховища. Так вирішуються два завдання: мінімізація ризиків у разі крадіжки комп'ютера та підвищення стійкості до відмови шляхом створення резервних копій.
Ще одне досягнення – перехід у хмарні послуги. На даний момент використовується робочий простір Microsoft 365 та Office 365. Ці рішення дозволяють організовувати віртуальний офіс за допомогою створення окремих команд, чатів та конференцій. Такий підхід суттєво знижує ризики ІБ з погляду підготовки та адміністрування робочих станцій, що знаходяться за периметром корпоративної мережі, — всі операції з доступу до файлів та роботи з ними можна проводити безпосередньо у браузері.
Окремо варто сказати про віддалену роботу привілейованих користувачів — адміністраторів, підрядників, розробників тощо. Додатково впровадили двофакторну автентифікацію до критичних сервісів, які розташовані в хмарній інфраструктурі: AWS, Cloudflare.
Напрямок руху
Компанія, як і раніше, планує використовувати перевірену схему VPN-підключень. Її активно покращують та розвивають відповідно до сьогоднішніх вимог. Так, кілька рішень від FortiNet — FortiGate, Forti EMS & Client, FortiMail, Sandbox, FortiAnalyzer — об'єднані в одну цілісну екосистему Forti Fabric. Це дозволяє реалізовувати ідеологію ZTNA (Zero Trust Network Access) — гнучке керування допуском до ресурсів компанії в залежності від статусу пристрою, з якого здійснюється доступ, та статусу облікового запису користувача.
Наступний цікавий вектор розвитку – концепція BYOD (Bring Your Own Device), яку в компанії розділили на два напрямки:
- VDI (Virtual Desktop Infrastructure). Ця технологія забезпечує більш високий рівень контролю та керування процесом віддаленого підключення до віртуальних робочих столів, незалежно від пристроїв, з яких здійснюється підключення: особисте чи корпоративне, ноутбук чи планшет тощо;
- Microsoft 365 Endpoint Manager (раніше Intune). Дозволяє створити на особистому пристрої, будь то десктоп, ноутбук, планшет або телефон, керований і контрольований робочий простір, окремий від особистого.
Що стосується інструментів ІБ як таких, то це:
- поширення механізмів двофакторної аутентифікації як на адміністраторів, а й у звичайних користувачів;
- Використання Microsoft 365 Endpoint Data Loss Prevention більш ретельного контролю над контентом.
Павло Ларьков, офіцер систем інформаційної безпеки
— Якщо навіть не брати період пандемії COVID-19, а говорити загалом, то з чим вам частіше доводиться стикатися — із витоком чи псуванням інформації з вини, умовно кажучи, хакерів чи проблем, які створюють самі користувачі?
— У світовій практиці загальна кількість інцидентів інформбезпеки, пов'язаних із людським фактором, суттєво перевищує всі інші та сягає, за деякими даними, 90%. Ми не є винятком. Для нас люди – перше, головне та основне. Відповідно і робота акцентується на цей напрямок. Наприклад, кожен співробітник, який отримує доступ до інформаційних ресурсів компанії, обов'язково знайомиться з правилами ІБ; проводяться періодичні інформаційні розсилки з питань ІХ; зі "штрафниками" проводяться розмови як з теми інциденту, і за загальним правилам ІБ.
— Яка ситуація з моменту початку переходу на віддалену роботу? Які кіберпроблеми додалися, а які, можливо, зникли?
— Ну… "Проблем поменшало" звучить надто утопічно. Розвиток IT лише додає щось нове у сферу ІБ. Перехід на віддалену роботу гостро порушив питання контролю та адміністрування комп'ютерів за межами корпоративної мережі. І не лише комп'ютерів. І не лише корпоративних. Наступний момент – хмарні технології. Дуже зручний інструмент для роботи, що вимагає лише наявності браузера та доступу до інтернету. І водночас дуже проблемний для будь-якого безпечника — зрозуміти, що відбувається "на тому кінці", і вжити відповідних заходів буває дуже складно.
У цьому випадку на допомогу приходять нові технології, серед яких ZTNA (Zero Trust Network Access) — гнучке керування допуском до ресурсів компанії в залежності від статусу пристрою, з якого здійснюється доступ, та від облікового запису користувача. Тобто якщо співробітник, наприклад, намагається отримати доступ до корпоративної мережі з робочого ноутбука, це один рівень доступу. Якщо ж з особистого або за допомогою браузера — це інший рівень, суттєво суворіший і обмеженіший. Також перевіряється наявність антивірусу, актуальність його сигнатур. Більше того, корпоративна техніка додатково перевіряється на наявність необхідних оновлень та виправлень для операційної системи та встановленого програмного забезпечення.
— Наскільки дорожче та складніше забезпечувати інформбезпеку віддаленого працівника порівняно з офісним?
— Однозначно складніше. Простота і зручність для користувача забезпечуються за рахунок додаткового функціоналу, який виконують співробітники підрозділів IT та безпеки, — там, де достатньо було зробити пару налаштувань, зараз їх не менше кількох десятків. Плюс нові технології вимагають впровадження нових систем та рішень. Наприклад, віддалена робота у хмарі передбачає наявність певної інфраструктури, яку необхідно синхронізувати з наземною, найчастіше з використанням додаткового інструментарію.
Щодо дорожнечі не скажу. З одного боку, багато нових ІТ-продуктів і рішень вже несуть у собі безліч функціоналу зі сфери ІБ, що зменшує прямі витрати саме з безпеки. З іншого — зростає вартість самих цих продуктів, що, у свою чергу, нівелює економію. А враховуючи загальну тенденцію подорожчання сфери ІТ, то й безпека відповідно обходиться дорожче.
— Чи існує у BROCARD чітко прописана для кожного співробітника політика з питань інформаційної безпеки? Чи знає цей співробітник, що робити у разі виникнення проблем?
- Для кожного співробітника немає. Є загальна політика інформаційної безпеки, яка може бути застосована до підприємства в цілому, і більш практичні правила інформаційної безпеки, обов'язкові до дотримання всіма співробітниками.
Що ж до дій щодо проблем, що виникають — стандартні та зрозумілі ситуації описані. Якщо ж інцидент, що виник, є складним для сприйняття — у доступі у співробітників є контакти офіцера з інформбезпеки або контакти сервіс-диска, який зможе перенаправити звернення за адресою.
— Якщо не секрет, які за останні три роки у компанії були найсерйозніші інциденти у сфері ІБ? Як ви долали проблеми, що виникли?
— З того, чим можна поділитися, — це компрометація одного з облікових записів. Як наслідки отримали спам-розсилку від імені зазначеного обліку, що призвело до неможливості надсилання легітимних листів — нашу IP-адресу внесли до чорних списків спамерів. Проблему вирішували блокуванням зламаного облікового запису та взаємодією зі спам-агрегаторами (Spamhaus та Barracuda) та провайдерами каналів зв'язку. Надалі проводили аудит облікових записів, змінювали нестійкі паролі, застосовували суворішу політику парольного захисту, посилили налаштування на поштовому шлюзі, задіяли моніторинг поштових повідомлень, включаючи такий інструмент, як веб-ресурс Cisco Talos.
Також пережили збій сховища мережі, результатом якого стала недоступність особистих папок співробітників. Відновлювалися з резервних копій. Зі суттєвих втрат — час простою через роботи з повернення мережевих дисків у робочий стан. Зі суттєвих плюсів — переглянули концепцію використання дискового простору. Провели інвентаризацію накопиченої інформації. Зробили категоризацію: позбулися архаїзмів, виділили окреме місце для мультимедійних та архівних даних, позначили статус особистих папок користувачів як сховище оперативних та важливих документів та налаштували для них ефективніші правила резервного копіювання та відновлення.
Ще з цікавого – спроби злому нашого інтернет-магазину. Вирішення проблеми полягало, по-перше, у превентивних заходах: знаючи, що затребуваність даного ресурсу під час обмежень у реальному житті буде досить високою, ми проводили кілька пен-тестів (Penetration Test — тест на проникнення, перевірка ресурсу на злам, впровадження шкідливого коду та перехоплення управління). За результатами цих заходів покращували код, виправляли вразливість.
По-друге, це використання спеціалізованого програмного забезпечення для захисту від атак подібної етимології — WAF (Web Application Firewall). Шкідлива активність була своєчасно виявлена та купована шляхом блокування IP-адрес зловмисників та згенерованих ними деструктивних запитів.
Дмитро Юшин, IT-директор холдингу
— Для багатьох підприємств і України, і всього світу перша половина 2020 року стала тим переломним моментом, коли дуже значну частину працівників довелося відправляти на віддалену роботу. Наскільки була готова ваша компанія? Чи був у BROCARD раніше такий досвід, коли досить багато співробітників працює не з офісу?
— Так, перша половина 2020 року була досить складною як для бізнесу загалом, так і для ІТ, зокрема. Однак не скажу, що все, що сталося, було для нас несподіванкою. По-перше, частина співробітників компанії вже працювала у віддаленому режимі. Не завжди. Невелика кількість. Але все ж. І концептуальне вирішення цього завдання було.
Питання полягало у масштабуванні — перевести на віддалення практично всіх. А ось тут — по-друге, ще задовго до кризи ми розпочали оптимізацію інфраструктури за допомогою хмарних сервісів. У результаті вийшла якась гібридна схема: частина співробітників продовжувала працювати в офісі, наскільки дозволяли карантинні обмеження, можливість дістатися до робочого місця і, найголовніше, важливість роботи і цінність оброблюваної інформації; частина співробітників (досить велика) перейшла на віддалення з корпоративною технікою; частина змушена була працювати з допомогою особистих комп'ютерів.
— З якими труднощами ви зіткнулися під час перекладу працівників на віддалення? Що виявилося найзатратнішим, а що — найтехнічнішим складним?
— Найскладнішим у всьому цьому було забезпечити колег необхідною кількістю ноутбуків. Це, по суті, і було і найвитратнішим, і технічно складним. Фінансове питання вирішили перерозподілом бюджету та додатковою закупівлею техніки. Технічні ж завдання з налаштування, підключення та налагодження були виконані завдяки самовідданості фахівців довіреного підрозділу. За що їм велике спасибі.
Також хочу зазначити, що багато роботи зроблено в галузі техпідтримки. Було складено інструкції, проведено навчання співробітників, надана чимала віддалена технічна методологічна допомога. Особливо у перші дні.
— За такого переходу, як показала практика, багато IT-директорів, маючи обмежені бюджети, пускали питання безпеки на самоплив. Мовляв, зараз головне організувати роботу, а там і з хакерами розбиратимемося. А як ви діяли?
— Це не наш випадок, ми максимально закладали доступні механізми безпеки, намагаючись не втратити функціональність. Як показала практика, такий підхід виправдав себе: і робочий процес не зупинився, і серйозних інцидентів ІБ вдалося уникнути.
— Що, на вашу думку, становить для компанії більшу небезпеку — професійні кіберзлочинці ззовні, власні співробітники-інсайдери (які діють на шкоду, наприклад, зливаючи бази даних або службові документи) або просто нерозумні співробітники (з тих, хто ставить пароль password і втрачає флешки з документами)?
— Запитання, напевно, більше до профільного фахівця… На мій погляд, однозначної відповіді на це питання немає. Безсумнівно, більшої шкоди завдають будь-які хакери/кіберзлочинці — на те вони й професіонали. Однак вони ж одержують і найбільшу відсіч. Тому успішних атак мало, але вони дуже болючі.
Ті ж рядові співробітники, навіть за досить високого рівня безладності та безтурботності, істотної шкоди, швидше за все, не завдадуть. Але можуть набрати якусь критичну масу начебто незначних витоків, які в результаті трансформуються на серйозні збитки.
А ось співробітники-інсайдери — це взагалі окрема історія, яка виходить за межі безпосередньо ІБ: тут і перевірки кандидатів під час прийому на роботу, і взаємини в колективі і з керівництвом, і ще багато чого. Якщо ж дивитися на цю проблему чисто з технічної точки зору, тобто, наприклад, такі рішення, як UEBA (User [and Entity] Behavioral Analytics) — клас систем, що дозволяють на основі масивів даних про користувачів та ІТ-сутності (кінцевих станціях, серверах, комутаторах і т. д.) за допомогою алгоритмів машинного навчання та статистичного аналізу будувати моделі поведінки користувачів та визначати відхилення від цих моделей як у режимі реального часу, так і ретроспективно. Тут уже необхідно виходити із вартості інформації та витрат на забезпечення її безпеки.
— У більшості країн світу корпоративні витрати на інформбезпеку стабільно зростають. В Україні, як показує аналіз, вони вагаються — наприклад, минулого року обсяг ринку ІБ-рішень зменшився на 22%, хоча 2019-го він зріс на 52%. Чому так відбувається?
— Гадаю, що причина полягає у сукупності менталітету та фактичного фінансового стану. Щось схоже було і з сумнозвісним вірусом Petya: "грім гримнув — мужик перехрестився". Тоді теж був сплеск витрат на ІБ, який згодом зменшився. Ось і зараз вимушений перехід на видалення змусив так чи інакше вкладатися в безпеку, витрати на яку, як правило, плануються за залишковим принципом. Ситуація стабілізувалася – гроші переспрямовані на інші цілі. Ну, і загальний фінансовий стан — наша країна, на жаль, дуже чутлива до таких подій. Ресурсів часто не вистачає.