Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Новости

Как обеспечить безопасный удаленный доступ к ресурсам компании

Газета PC WEEK/UE от 6 апреля

Сергей Самойлов, руководитель проектной группы Центра Информационной Безопасности, Softline Security Center, раскрыл проблему обеспечения удаленного доступа к IT-ресурсам в корпоративной среде. В этой статье рассмотрено, какие риски в обеспечении информационной безопасности компании возникают во время предоставления удаленного доступа, а также способы управления этими рисками.

На сегодняшний день сложно организовать под одной крышей всю информационную инфраструктуру компании, ведь филиалы предприятия и их сотрудники нередко находятся в различных регионах страны или даже разных частях земного шара. При этом IT-служба обязана обеспечить доступ работников к информационным системам компании.

Решить вышеобозначенную задачу возможно посредством предоставления удаленного доступа сотрудникам организации. Вот почему в современной бизнес-среде руководство осознанно принимает решение о разрешении удаленного доступа для своих коллег и партнеров, ведь при правильном подходе это позволяет им работать в домашних или «полевых» условиях. А такой подход позволяет получить явные конкурентные преимущества.

Проблемы и их решения

На сегодня существуют различные технологии, позволяющие предоставить защищенный удаленный доступ, например IPsec или SSL. Однако к уже угрозам безопасности, давно известным в локальной сети, добавляются новые, вызванные тем, что IT-служба не всегда в состоянии в должной степени контролировать удаленную систему, посредством которой сотрудники пытаются подсоединиться к корпоративной сети. Действительно, когда компьютер находится в офисе, можно с высокой степенью уверенности утверждать, что на нем установлено необходимое антивирусное ПО, что к нему имеют доступ только определенные люди и т. д. Когда же речь заходит об удаленных устройствах, что-либо гарантировать сложно. До недавнего времени IT-персонал был вынужден полагаться в вопросах обеспечения безопасности мобильных устройств на своих работников, однако зачастую им просто не хватает знаний или квалификации, чтобы защитить свой ПК. Нередко сотрудники могут по незнанию посещать опасные web-ресурсы или не соблюдать правил безопасности при работе с почтой, или не устанавливать всех необходимых обновлений ОС и других приложений.

По данным последнего опроса, на североамериканском рынке 42% сотрудников в той или иной степени работают удаленно (в 2009 прирост составил 30% по данным World at Work 2009). Тенденция к росту данного сегмента пользователей ожидается во всех странах, а отсутствие системных либо антивирусных обновлений, недостаточный физический контроль безопасности на удаленно подключающихся устройствах может привести к компрометации или неавторизованному доступу к данным. Из-за огромного разнообразия техники зачастую нет централизованного управления, а значит защита мобильных устройств и компьютеров для удаленного доступа слабее, чем стандартные корпоративные компьютеры. Кроме того, связь и доступ осуществляется в агрессивной среде. В ней возможен контроль и управление некоторых сетевых участков злоумышленником, например, развертывание фальшивой беспроводной точки доступа. Уязвимости программного обеспечения в случае использования удаленной работы могут привести к использованию злоумышленником информационных активов компании, получению несанкционированного доступа к ресурсам путем фишинга, внедрению кейлогеров, сбору информации об аутентификации и прочих конфиденциальных сведений. Кроме того, уязвимости могут привести к сохра-нению вложений на неуправляемых компьютерах и загрузке потенциально вредоносных файлов.

Как правило, готового решения на все случаи жизни не существует. Однако, множество крупных и высоко технологичных компаний со значимым именем на IT-рынке, например Microsoft, Cisco, Check Point, Juniper и другие, предоставляют ряд продуктов для удаленного доступа, используя SSL-соединение. Причем это касается не только доступа к web-приложениям, но и полноценной поддержки дистанционной работы с большинством популярных на рынке офисных и бизнес-приложений. Современные системы для предоставления удаленного доступа, как правило, выполняют проверки на соответствие корпоративным политикам и стандартам, прежде чем будет осуществлен доступ к ресурсам. То есть учетная запись одна, а доступ зависит от типа устройства и его настроек, наличия обновлений и т. д.

Далее будут рассмотрены наиболее популярные решения для удаленного доступа, использующих SSL-соединение. В последней главе данной статьи приведены рекомендации по обеспечению безопаностис при удаленном подключении к информационным ресурсам организации.

Check Point

Новейший продукт в линейке производителя – Check Point Abra – буквально обеспечивает офис в кармане. Это безопасное виртуальное рабочее пространство, которое изменяет стиль мобильной работы пользователей. Abra мгновенно превращает любой ПК в корпоративный декстоп и предоставляет пользователям доступ к файлам и приложениям в любом месте, в любое время, без необходимости носить с собой ноутбук или рабочие файлы. Форм фактор USB обеспечивает портативность, при этом не требуется перегрузка и права администратора. Данные защищаются путем разделения на защищенное виртуальное пространство и обычное рабочее пространство ПК. Встроенное шифрование защищает данные хранимые в виртуальном пространстве. Пользователь может работать в автономном режиме с зашифрованного диска или интерактивно, получив доступ к корпоративным ресурсам, используя встроенный VPN клиент Abra. В качестве клиентов под-держиваются 32-битные Windows 7, Vista, XP.

Если нет возможности использовать USB-подключение, можно применять SSL-клиент Endpoint Security on Demand (EDOS). Он входит в состав продукта Connectra и позволяет проверить является ли компьютер собственностью компании и выполнить принудительную проверку на соответствие необходимым требованиям безопасности. При этом, исходя из результатов проверки, не просто обеспечить либо заблокировать доступ, а предоставить доступ к определенной категории инфор-мации в зависимости от качества защиты конечного пользователя.

Secure Workspace, также модуль продукта Connectra компании Check Point, позволяет организовать виртуальную рабочую область, в которой работает клиент. Применение политик осуществляется на уровне функций конкретного приложения с использованием SSO – технологии единого входа (Single Sign On). То есть, пройдя строгую аутентификацию на web-портале Connectra, пользователю в дальнейшем не придется водить логин и пароль. Управление всех выше перечисленных продуктов производится через централизованную консоль SmartCenter.

Microsoft – IAG 2007

По информации от производителя, IAG поддерживает все приложения посредством SSL VPN, дос-туп к web-ресурсам класса Client/Server и к файлам. Так же стоит упомянуть о специфических приложениях (Citrix, IBM, Lotus, SAP и многих других), которые активно используются служащими корпораций по всему миру. Продукт создан для работы как с управляемыми, так и неуправляемыми клиентскими системами, есть возможность автоматического определения системы клиента, его программного обеспечения и конфигурации. Администратор может настроить ограничения доступа на основе соответствия политикам, очистку кэша и вложений, блокировку для загрузки файлов, таймауты при активности либо ожидания уделенной сессии и применение политик на уровне функций конкретного приложения, используя SSO. Возможен предустановленный набор разрешающих правил для конкретного web-приложения с запретом всего остального.

Cisco – WebVPN

Cisco WebVPN – Cisco Secure Desktop (защищенный рабочий стол) – основной компонент при реализации защищенного удаленного доступа в инфраструктуре. Его необходимо использовать с платформами, которые поддерживают данную технологию. Это устройства защиты серии Cisco ASA 5500 Series Security Appliances, маршрутизаторы с операционной системой Cisco IOS версии 12.4(6)T или выше, концентраторы Cisco VPN 3000 Series, модуль Cisco WebVPN Services Module для Cisco Catalyst 6500 Series и Cisco 7600 Series. При использовании Cisco WebVPN гарантированно удаляются временные файлы, cookies, журнал посещения web-страниц, сохраненные пароли и загруженные файлы. Все сеансовые данные хранятся в едином защищенном хранилище и удаляются после выхода пользователя из системы либо завершения сессии по таймауту.

Juniper

Устройства от Juniper серии SA поставляются с набором функций, которые необходимы для обеспечения защищенного удаленного доступа. Есть возможность приобретения как базового так расширенного функционала. Juniper Networks SA предоставляет своим пользователям обеспечение защищенного доступа к ресурсам любого типа (аналогично тому, как это делается в традиционных VPN технологиях). Есть возможность запрета загрузки прикрепленных к почтовым сообщениям документов (в режиме Web-mail), аудит клиентского ПК на предмет удовлетворения требованиям по безопасности перед тем, как предоставить доступ к защищенным ресурсам (Host Checker), защита от шпионского ПО, защита пользовательских данных во время сеанса (Secure Virtual Workspace). Имеется принудительная очистка кэша браузера после завершения пользовательской сессии или по таймауту, динамическая авторизация (назначение ролей пользователям в зависимости от их принадлежности к той или иной категории), поддержка режима Single Sign-On (при работе с приложениями сторонних производителей) и организация защищенных web-конференций. Настройка и конфигурирование устройств SA осуществляются с помощью web-интерфейса.

Рекомендации

Стратегию построения информационной безопасности желательно начать с написания ясной для всех участников политики и условий для доступа к корпоративным ресурсам при удаленном подключении к информационным ресурсам организации. Наиболее характерная ошибка некоторых компаний: внедрять технические средства еще до того, как до конца определены организационно административные вопросы и положения. Не менее важно сделать распоряжение о том, кто будет отвечать за сохранность информации и как будет уведомлять о нарушениях или подозрениях в нецелевом использовании информационных ресурсов. Решение о разрешении доступа и адекватной защите должно быть экономически оправдано.

А над чем стоит дополнительно подумать, если вы решили предоставить удаленный доступ к ресурсам компании? Ниже перечислен набор правил, заслуживающий внимания.

  • Все удаленные подключения должны быть аутентифицированы с помощью строгой процедуры аутентификации (таких, как использование паролей в сочетании с токенами). Сейчас все большую популярность получают одноразовые пароли (OTP) или SMS-коды для доступа в сеть, приходящие на мобильный телефон сотрудника после ввода имени пользователя. Одного пароля не достаточно, так как он может быть подсмотрен либо похищен при помощи вредоносного программного обеспечения.
  • Все конфиденциальные данные, передаваемые с использованием удаленного доступа, должны быть зашифрованы, чтобы защитить их от несанкционированного разглашения. Можно использовать RMS либо криптосредства, разрешенные государственными органами для распространения на территории страны, где будут использоваться. Об этом стоит крепко подумать, так как в разных странах приняты разные законы, которые, тем не менее, следует соблюдать.
  • Все политики безопасности, принятые в корпоративной инфраструктуре, необходимо соблюдать при использовании удаленного доступа к ресурсам компании независимо от сетевого окружения и оборудования клиента (сотрудника). То есть надо использовать системы NAC / NAP. Если мы имеем дело с неуправляемым устройством, разумнее ограничить доступ к конфиденциальной информации. По сути, устройства, которые нельзя контролировать, надо запретить и заблокировать с них доступ, либо быть готовым принять риск утечки информации. Универсальных рецептов на все случаи не предвидится, поэтому лучше, чтобы владелец информации самостоятельно определил предел допустимого риска. Если потребуется, всегда можно обратиться за советом к профессионалам в области защиты информации.
  • Продолжая развивать предыдущий пункт, стоит отметить, что любое личное оборудование, включая домашний ПК, используемый для подключения к информационным ресурсам компании, должно соответствовать корпоративным стандартам удаленного доступа. Здесь надо учитывать и антивирусную программу, которая правильно сконфигурирована и включает последние обновления.
  • Конфиденциальные данные не должны храниться на компьютере, не принадлежащем компании. Для этого можно посоветовать использовать решение, обеспечивающее защищенное виртуальное пространство, либо агента DLP в сочетании с системами NAC / NAP, либо использовать RMS, что позволит зашифровать необходимые документы семейства Microsoft Office.
  • Важно, чтобы персональные устройства для удаленного доступа и удаленное соединение не использовались посторонними лицами, включая членов семьи. Для этого надо задать обязательную аутентификацию после определенного промежутка времени либо принуди-тельную аутентификацию, если сессия была неактивна.
  • У рядового пользователя не должно быть возможности изменить конфигурацию операционной системы, установить новое программное обеспечение или оборудование. Например, должна быть запрещена возможность поменять или добавить процессор, память, беспроводную карту, либо скачать программное обеспечение из внешних источников на компьютер, который обеспечивает удаленный доступ.
  • Чтобы предотвратить несанкционированный доступ к конфиденциальной информации, пользователи должны выйти из информационной системы, прежде чем инициируют завершение сеанса удаленной работы. То есть, всегда надо дожидаться подтверждения выхода из системы. Отмечу, что некоторые приложения, прежде чем завершиться, ожидают подтверждения и могут «висеть» в таком статусе достаточно длительное время. И, что немаловажно, при отрицательном ответе на завершение «подвисшей» сессии она может быть продолжена совсем не авторизованным пользователем.
  • Чтобы адекватно быстро реагировать на события, потребуется централизованное управление, а именно единая консоль управления и
  • Необходимо регулярно проводить аудит удаленного доступа на соответствие корпоративной политике.
  • Не забывайте о регулярном резервном копировании данных, хранимых на мобильном устройстве.
  • Позаботьтесь о настройке системы обнаружения вторжений. И не забывайте просматривать журналы событий либо организуйте отправку уведомлений администратору при подозрительных событиях. В настройке IDS/IPS может понадобиться помощь профессионала и некоторое время, чтобы определить типичный нормальный сетевой рисунок трафика в сети. Как правило, само решение устанавливается быстро, но вначале генерируется большое количество ложноположительных срабатываний. Систему надо обучить, чтобы не отвлекала ответственных за безопасность сотрудников компании без надобности.
  • Обязательно стоит учитывать отраслевые стандарты, которые, как правило, достаточно четко определяют условия использования доступа к ресурсам.

Новости, истории и события
Смотреть все
Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представляет ИИ-ассистента линейки продуктов Citeck
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представляет ИИ-ассистента линейки продуктов Citeck

29.08.2025

Softline Security Summit 2025: ГК Softline обсудила с лидерами ИБ-рынка и заказчиками актуальные вопросы кибербезопасности
Новости

Softline Security Summit 2025: ГК Softline обсудила с лидерами ИБ-рынка и заказчиками актуальные вопросы кибербезопасности

29.08.2025

«Софтлайн Решения» (ГК Softline) разработала инструмент для упрощения и ускорения интеграции платформы Directum RX с другими системами
Новости

«Софтлайн Решения» (ГК Softline) разработала инструмент для упрощения и ускорения интеграции платформы Directum RX с другими системами

28.08.2025

Роботизированный комплекс для лазерной сварки производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включен в реестр российской промышленной продукции
Новости

Роботизированный комплекс для лазерной сварки производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включен в реестр российской промышленной продукции

27.08.2025

Компания MAINTEX FabricaONE.AI (акционер – ГК Softline) приступила к выполнению работ по совершенствованию ремонтной практики на руднике «Октябрьский» Норильского Никеля
Новости

Компания MAINTEX FabricaONE.AI (акционер – ГК Softline) приступила к выполнению работ по совершенствованию ремонтной практики на руднике «Октябрьский» Норильского Никеля

27.08.2025

«Софтлайн Решения» (ГК Softline) и «Перспективный мониторинг» открыли центр киберучений Ampire в Российском университете транспорта
Новости

«Софтлайн Решения» (ГК Softline) и «Перспективный мониторинг» открыли центр киберучений Ampire в Российском университете транспорта

27.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и компания «Цифровые технологии» подтвердили совместимость ОС «МСВСфера АРМ» 9 и «КриптоАРМ ГОСТ» 3 для шифрования на рабочих станциях
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и компания «Цифровые технологии» подтвердили совместимость ОС «МСВСфера АРМ» 9 и «КриптоАРМ ГОСТ» 3 для шифрования на рабочих станциях

26.08.2025

Подтверждена совместимость продуктов «Цитрос» от SL Soft FabricaONE.AI (акционер – ГК Softline) и операционной системы РЕД ОС 8
Новости

Подтверждена совместимость продуктов «Цитрос» от SL Soft FabricaONE.AI (акционер – ГК Softline) и операционной системы РЕД ОС 8

25.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и ГК «Катюша» подтвердили совместимость ОС «МСВСфера АРМ» 9 и печатной техники «Катюша»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и ГК «Катюша» подтвердили совместимость ОС «МСВСфера АРМ» 9 и печатной техники «Катюша»

25.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и OpenYard подтверждают совместимость ОС «МСВСфера Сервер» 9 с серверами OpenYard
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и OpenYard подтверждают совместимость ОС «МСВСфера Сервер» 9 с серверами OpenYard

22.08.2025

ГК Softline и БФТ-Холдинг подписали соглашение о сотрудничестве
Новости

ГК Softline и БФТ-Холдинг подписали соглашение о сотрудничестве

21.08.2025

ПАО «СОФТЛАЙН» ПУБЛИКУЕТ ФИНАНСОВЫЕ РЕЗУЛЬТАТЫ ПО ИТОГАМ 6 МЕСЯЦЕВ 2025 ГОДА И ПОДТВЕРЖДАЕТ ПРОГНОЗ НА 2025 ГОД
Новости

ПАО «СОФТЛАЙН» ПУБЛИКУЕТ ФИНАНСОВЫЕ РЕЗУЛЬТАТЫ ПО ИТОГАМ 6 МЕСЯЦЕВ 2025 ГОДА И ПОДТВЕРЖДАЕТ ПРОГНОЗ НА 2025 ГОД

21.08.2025

Обновление «Цитрос Цифровой Платформы» от SL Soft FabricaOne.AI (акционер – ГК Softline): больше гибкости, безопасности и удобства
Новости

Обновление «Цитрос Цифровой Платформы» от SL Soft FabricaOne.AI (акционер – ГК Softline): больше гибкости, безопасности и удобства

20.08.2025

ГК Softline и OXYGEN заключили стратегическое партнерство в сфере облачных решений
Новости

ГК Softline и OXYGEN заключили стратегическое партнерство в сфере облачных решений

20.08.2025

ГК Softline на «ИТ-Пикнике»: инновации и экспертиза
Новости

ГК Softline на «ИТ-Пикнике»: инновации и экспертиза

19.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтверждает совместимость ОС «МСВСфера АРМ» 9 и системы администрирования «РЕД АДМ»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтверждает совместимость ОС «МСВСфера АРМ» 9 и системы администрирования «РЕД АДМ»

19.08.2025

ОС «МСВСфера» от «Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) признана лучшей российской серверной операционной системой
Новости

ОС «МСВСфера» от «Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) признана лучшей российской серверной операционной системой

18.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтвердил совместимость ОС «МСВСфера АРМ» и редактора «Автограф»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтвердил совместимость ОС «МСВСфера АРМ» и редактора «Автограф»

18.08.2025

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году
Блог

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году

25.08.2025

Российские операционные системы. Топ отечественных ОС 2025
Блог

Российские операционные системы. Топ отечественных ОС 2025

21.08.2025

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы
Блог

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы

13.08.2025

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты
Блог

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты

05.08.2025

Импортозамещение в 2025 году
Блог

Импортозамещение в 2025 году

01.08.2025

Искусственный интеллект для медицины: реалии 2025 года
Блог

Искусственный интеллект для медицины: реалии 2025 года

24.07.2025

Топ российских производителей ноутбуков 2025: специализация и ведущие модели
Блог

Топ российских производителей ноутбуков 2025: специализация и ведущие модели

21.07.2025

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
Блог

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак

18.07.2025

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием
Блог

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием

17.07.2025

Востребованные ИТ-профессии в 2025 году
Блог

Востребованные ИТ-профессии в 2025 году

15.07.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025