12 февраля 2018

Рекомендации по защите: удаленные подключения к корпоративной сети

Общая информация об угрозе

Удалённый доступ, который также часто называют «VPN», — востребованная во многих организациях функция, с помощью которой сотрудник может подключаться к необходимым ему системам из любой точки земного шара, где есть выход в Интернет. И, в связи с большой востребованностью, VPN становится одной из целей злоумышленников.
Атаки делятся на 2 основных типа:
1. Атака с целью получения доступа к локальной сети компании.
2. Атака с целью перехвата трафика от легитимного клиента до локальной сети компании.

Рекомендации по защите

1. Не позволяйте использовать на рабочих местах средства а-ля TeamViewer, RAdmin и прочие. Помимо того, что отследить действия сотрудников, которые используют подобные средства, весьма затратно, данные системы сами по себе часто бывают целью злоумышленников. А так как пользователи любят устанавливать слабые или «стандартные» пароли в различных системах, недоброжелатели могут получить доступ ко всем машинам, на которых пользователь установил подобное средство удалённого доступа. Так и произошло в 2016 году с TeamViewer.

2. Не используйте небезопасные алгоритмы при организации доступа. PPTP — не обеспечивает должной защиты трафика и устарел. L2TP без связки с IPsec — не шифрует трафик в принципе. Перед настройкой доступа поищите различные best-practices для вашего оборудования: возможно, вы найдете наиболее эффективный и безопасный продукт для вашей инфраструктуры. Помимо дорогостоящих решений, есть бесплатные и весьма надёжные, к примеру, OpenVPN.

3. Используйте двухфакторную аутентификацию. Она значительно усложняет жизнь злоумышленнику, чем серьёзно повышает безопасность вашей системы. В качестве 2го фактора могут быть как SMS и специальные коды, генерируемые смартфоном сотрудника, так и прочие средства: выбор зависит от структурно-функциональных характеристик вашей инфраструктуры и предпочтений.

4. Грамотно настраивайте доступ внутри локальной сети. Не должен бухгалтер, подключившись извне, получать доступ к management-сети сетевого оборудования, разумнее оставить ему веб-доступ к серверам 1С или RDP к его рабочей станции.

5. Блокируйте, по возможности, доступ из нестандартного места и в необычное время. Вряд ли ваши сотрудники будут подключаться в 5 утра из Зимбабве, чтобы дописать отчёт.

6. Не забывайте про журналы! Именно из них вы сможете понять, что происходит с вашей системой. Возможно, уже на протяжении пары недель один из администраторов, сидящий рядом с вами, подключен и активно работает откуда-то извне.

Действия в случае инцидента

Выявить перехват трафика в случае удалённых подключений проблематично, но в случае использования стойких алгоритмов такой сценарий практически исключен. При обнаружении нелегитимного подключения стоит предпринять следующее:
1. В первую очередь, отключите удалённый доступ для скомпрометированной учётной записи.

2. Из журналов определите, к каким хостам злоумышленник подключался, постарайтесь локализовать проблему. Удалось ли ему авторизоваться на данных узлах? Какие он действия там совершил? Удалите все следы пребывания в системе, просканируйте хосты антивирусом.

3. Выясните, каким образом злоумышленник попал в сеть. Слабый пароль? Проведите обучение сотрудников. Атакующий смог завладеть сертификатом и закрытым ключом для него на домашнем ноутбуке сотрудника? Посмотрите в сторону MDM-решений.
Хотите организовать защищённый доступ? Или, может быть, сомневаетесь в защищённости уже используемых у вас решений? Обращайтесь, мы с радостью поможем вам!
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Другие публикации по теме