Сергей Самойлов, Руководитель проектной группы
Центра Информационной Безопасности
Softline Security Center

На сегодняшний день сложно организовать под одной крышей всю информационную инфраструктуру компании, ведь филиалы предприятия и их сотрудники нередко находятся в различных регионах страны или даже разных частях земного шара. При этом ИТ-служба обязана обеспечить доступ работников к информационным системам компании.

Решить вышеозначенную задачу возможно посредством предоставления удаленного доступа сотрудникам организации. Вот почему в современной бизнес-среде руководство осознанно принимает решение о разрешении удаленного доступа для своих коллег и партнеров, ведь при правильном подходе это позволяет им работать в домашних или «полевых» условиях. А такой подход позволяет получить явные конкурентные преимущества.

В этой статье мы рассмотрим, какие риски в обеспечении информационной безопасности компа-нии возникают во время предоставления удаленного доступа, а также способы управления этими рисками.

Проблемы и их решения

На сегодня существуют различные технологии, позволяющие предоставить защищенный удаленный доступ, например IPsec или SSL. Однако к уже угрозам безопасности, давно известным в ло-кальной сети, добавляются новые, вызванные тем, что ИТ-служба не всегда в состоянии в долж-ной степени контролировать удаленную систему, посредством которой сотрудники пытаются под-соединиться к корпоративной сети. Действительно, когда компьютер находится в офисе, можно с высокой степенью уверенности утверждать, что на нем установлено необходимое антивирусное ПО, что к нему имеют доступ только определенные люди и т. д. Когда же речь заходит об удаленных устройствах, что-либо гарантировать сложно. До недавнего времени ИТ-персонал был вынужден полагаться в вопросах обеспечения безопасности мобильных устройств на своих работни-ков, однако зачастую им просто не хватает знаний или квалификации, чтобы защитить свой ПК. Нередко сотрудники могут по незнанию посещать опасные веб-ресурсы или не соблюдать правил безопасности при работе с почтой, или не устанавливать всех необходимых обновлений ОС и дру-гих приложений.

По данным последнего опроса, на североамериканском рынке 42% сотрудников в той или иной степени работают удаленно (в 2009 прирост составил 30% по данным World at Work 2009). Тенденция к росту данного сегмента пользователей ожидается во всех странах, а отсутствие системных либо антивирусных обновлений, недостаточный физический контроль безопасности на уда-ленно подключающихся устройствах может привести к компрометации или неавторизованному доступу к данным. Из-за огромного разнообразия техники зачастую нет централизованного управления, а значит защита мобильных устройств и компьютеров для удаленного доступа слабее, чем стандартные корпоративные компьютеры. Кроме того, связь и доступ осуществляется в агрессивной среде. В ней возможен контроль и управление некоторых сетевых участков зло-умышленником, например, развертывание фальшивой беспроводной точки доступа. Уязвимости программного обеспечения в случае использования удаленной работы могут привести к использованию злоумышленником информационных активов компании, получению несанкционированного доступа к ресурсам путем фишинга, внедрению кейлогеров, сбору информации об аутентификации и прочих конфиденциальных сведений. Кроме того, уязвимости могут привести к сохра-нению вложений на неуправляемых компьютерах и загрузке потенциально вредоносных файлов.

Как правило, готового решения на все случаи жизни не существует. Однако, множество крупных и высоко технологичных компаний со значимым именем на ИT-рынке, например Microsoft, Cisco, Check Point, Juniper и другие, предоставляют ряд продуктов для удаленного доступа, используя SSL-соединение. Причем это касается не только доступа к веб-приложениям, но и полноценной поддержки дистанционной работы с большинством популярных на рынке офисных и бизнес-приложений. Современные системы для предоставления удаленного доступа, как правило, выполняют проверки на соответствие корпоративным политикам и стандартам, прежде чем будет осуществлен доступ к ресурсам. То есть учетная запись одна, а доступ зависит от типа устройства и его настроек, наличия обновлений и т.д. Концептуальная схема применения решений для предоставления безопасного удаленного доступа показана на рисунке 1. Сравнение информации сохраняющейся на стороне пользователя в случае использования обычного рабочего пространства и защищенного рабочего пространства показано на рисунке 2.

Рисунок 1. Схема применения решений для предоставления безопасного удаленного доступа

Рисунок 2. Сравнение обычного и защищенного рабочего пространства

Далее будут рассмотрены наиболее популярные решения для удаленного доступа, использующих SSL-соединение. В последней главе данной статьи приведены рекомендации по обеспечению безопаностис при удаленном подключении к информационным ресурсам организации.

Check Point

Новейший продукт в линейке производителя — Check Point Abra — буквально обеспечивает офис в кармане. Это безопасное виртуальное рабочее пространство, которое изменяет стиль мобиль-ной работы пользователей. Abra мгновенно превращает любой ПК в корпоративный декстоп и предоставляет пользователям доступ к файлам и приложениям в любом месте, в любое время, без необходимости носить с собой ноутбук или рабочие файлы. Форм фактор USB обеспечивает портативность, при этом не требуется перегрузка и права администратора. Данные защищаются путем разделения на защищенное виртуальное пространство и обычное рабочее пространство ПК. Встроенное шифрование защищает данные хранимые в виртуальном пространстве. Пользователь может работать в автономном режиме с зашифрованного диска или интерактивно, получив дос-туп к корпоративным ресурсам, используя встроенный VPN клиент Abra. В качестве клиентов под-держиваются 32-битные Windows 7, Vista, XP.

Если нет возможности использовать USB-подключение, можно применять SSL-клиент Endpoint Security on Demand (EDOS). Он входит в состав продукта Connectra и позволяет проверить является ли компьютер собственностью компании и выполнить принудительную проверку на соответствие необходимым требованиям безопасности. При этом, исходя из результатов проверки, не просто обеспечить либо заблокировать доступ, а предоставить доступ к определенной категории инфор-мации в зависимости от качества защиты конечного пользователя.

Secure Workspace, также модуль продукта Connectra компании Check Point, позволяет организо-вать виртуальную рабочую область, в которой работает клиент. Применение политик осуществля-ется на уровне функций конкретного приложения с использованием SSO — технологии единого входа (Single Sign On). То есть, пройдя строгую аутентификацию на веб-портале Connectra, пользо-вателю в дальнейшем не придется водить логин и пароль. Управление всех выше перечисленных продуктов производится через централизованную консоль SmartCenter.

Microsoft – IAG 2007

По информации от производителя, IAG поддерживает все приложения посредством SSL VPN, дос-туп к веб-ресурсам класса Client/Server и к файлам. Так же стоит упомянуть о специфических при-ложениях (Citrix, IBM, Lotus, SAP и многих других), которые активно используются служащими корпораций по всему миру. Продукт создан для работы как с управляемыми, так и неуправляемыми клиентскими системами, есть возможность автоматического определения системы клиента, его программного обеспечения и конфигурации. Администратор может настроить ограничения доступа на основе соответствия политикам, очистку кэша и вложений, блокировку для загрузки файлов, таймауты при активности либо ожидания уделенной сессии и применение политик на уровне функций конкретного приложения, используя SSO. Возможен предустановленный набор разрешающих правил для конкретного веб-приложения с запретом всего остального.

Cisco – WebVPN

Cisco WebVPN – Cisco Secure Desktop (защищенный рабочий стол) — основной компонент при реа-лизации защищенного удаленного доступа в инфраструктуре. Его необходимо использовать с платформами, которые поддерживают данную технологию. Это устройства защиты серии Cisco ASA 5500 Series Security Appliances, маршрутизаторы с операционной системой Cisco IOS версии 12.4(6)T или выше, концентраторы Cisco VPN 3000 Series, модуль Cisco WebVPN Services Module для Cisco Catalyst 6500 Series и Cisco 7600 Series. При использовании Cisco WebVPN гарантирован-но удаляются временные файлы, cookies, журнал посещения веб-страниц, сохраненные пароли и загруженные файлы. Все сеансовые данные хранятся в едином защищенном хранилище и удаля-ются после выхода пользователя из системы либо завершения сессии по тайм-ауту.

Juniper

Устройства от Juniper серии SA поставляются с набором функций, которые необходимы для обес-печения защищенного удаленного доступа. Есть возможность приобретения как базового так расширенного функционала. Juniper Networks SA предоставляет своим пользователям обеспече-ние защищенного доступа к ресурсам любого типа (аналогично тому, как это делается в традици-онных VPN технологиях). Есть возможность запрета загрузки прикрепленных к почтовым сообще-ниям документов (в режиме Web-mail), аудит клиентского ПК на предмет удовлетворения требо-ваниям по безопасности перед тем, как предоставить доступ к защищенным ресурсам (Host Checker), защита от шпионского ПО , защита пользовательских данных во время сеанса (Secure Virtual Workspace). Имеется принудительная очистка кэша браузера после завершения пользовательской сессии или по таймауту, динамическая авторизация (назначение ролей пользователям в зависимости от их принадлежности к той или иной категории), поддержка режима Single Sign-On (при работе с приложениями сторонних производителей) и организация защищенных веб-конференций. Настройка и конфигурирование устройств SA осуществляются с помощью веб-интерфейса.

Ниже приведен магический квадрант Gartner с решениями для SSL VPN, данные были опубликованы Gartner 15 декабря 2009.

Рисунок 3. Magic Quadrant для SSL VPN

Рекомендации

Стратегию построения информационной безопасности желательно начать с написания ясной для всех участников политики и условий для доступа к корпоративным ресурсам при удаленном подключении к информационным ресурсам организации. Наиболее характерная ошибка некоторых компаний: внедрять технические средства еще до того, как до конца определены организационно административные вопросы и положения. Не менее важно сделать распоряжение о том, кто будет отвечать за сохранность информации и как будет уведомлять о нарушениях или подозрениях в нецелевом использовании информационных ресурсов. Решение о разрешении доступа и адекватной защите должно быть экономически оправдано.

А над чем стоит дополнительно подумать, если вы решили предоставить удаленный доступ к ресурсам компании? Ниже перечислен набор правил, заслуживающий внимания.

• Все удаленные подключения должны быть аутентифицированы с помощью строгой процедуры аутентификации (таких, как использование паролей в сочетании с токенами). Сейчас все большую популярность получают одноразовые пароли (OTP) или SMS-коды для доступа в сеть, приходящие на мобильный телефон сотрудника после ввода имени поль-зователя. Одного пароля не достаточно, так как он может быть подсмотрен либо похищен при помощи вредоносного программного обеспечения.

• Все конфиденциальные данные, передаваемые с использованием удаленного доступа, должны быть зашифрованы, чтобы защитить их от несанкционированного разглашения. Можно использовать RMS либо криптосредства, разрешенные государственными органами для распространения на территории страны, где будут использоваться. Об этом стоит крепко подумать, так как в разных странах приняты разные законы, которые, тем не менее, следует соблюдать.

• Все политики безопасности, принятые в корпоративной инфраструктуре, необходимо соблюдать при использовании удаленного доступа к ресурсам компании независимо от сетевого окружения и оборудования клиента (сотрудника). То есть надо использовать системы NAC / NAP. Если мы имеем дело с неуправляемым устройством, разумнее ограничить доступ к конфиденциальной информации. По сути, устройства, которые нельзя контролировать, надо запретить и заблокировать с них доступ, либо быть готовым принять риск утечки информации. Универсальных рецептов на все случаи не предвидится, поэтому лучше, чтобы владелец информации самостоятельно определил предел допустимого риска. Если потребуется, всегда можно обратиться за советом к профессионалам в области защиты информации.

• Продолжая развивать предыдущий пункт, стоит отметить, что любое личное оборудование, включая домашний ПК, используемый для подключения к информационным ресурсам компании, должно соответствовать корпоративным стандартам удаленного доступа. Здесь надо учитывать и антивирусную программу, которая правильно сконфигурирована и включает последние обновления.

• Конфиденциальные данные не должны храниться на компьютере, не принадлежащем компании. Для этого можно посоветовать использовать решение, обеспечивающее защищенное виртуальное пространство, либо агента DLP в сочетании с системами NAC / NAP, либо использовать RMS, что позволит зашифровать необходимые документы семейства Microsoft Office.

• Важно, чтобы персональные устройства для удаленного доступа и удаленное соединение не использовались посторонними лицами, включая членов семьи. Для этого надо задать обязательную аутентификацию после определенного промежутка времени либо принуди-тельную аутентификацию, если сессия была неактивна.
• У рядового пользователя не должно быть возможности изменить конфигурацию операционной системы, установить новое программное обеспечение или оборудование. Например, должна быть запрещена возможность поменять или добавить процессор, память, беспроводную карту, либо скачать программное обеспечение из внешних источников на компьютер, который обеспечивает удаленный доступ.

• Чтобы предотвратить несанкционированный доступ к конфиденциальной информации, пользователи должны выйти из информационной системы, прежде чем инициируют завершение сеанса удаленной работы. То есть, всегда надо дожидаться подтверждения выхода из системы. Отмечу, что некоторые приложения, прежде чем завершиться, ожидают подтверждения и могут «висеть» в таком статусе достаточно длительное время. И, что немаловажно, при отрицательном ответе на завершение «подвисшей» сессии она может быть продолжена совсем не авторизованным пользователем.

• Чтобы адекватно быстро реагировать на события, потребуется централизованное управление, а именно единая консоль управления и анализа логов.

• Необходимо регулярно проводить аудит удаленного доступа на соответствие корпоративной политике.

• Не забывайте о регулярном резервном копировании данных, хранимых на мобильном устройстве.

• Позаботьтесь о настройке системы обнаружения вторжений. И не забывайте просматривать журналы событий либо организуйте отправку уведомлений администратору при подозрительных событиях. В настройке IDS/IPS может понадобиться помощь профессионала и некоторое время, чтобы определить типичный нормальный сетевой рисунок трафика в сети. Как правило, само решение устанавливается быстро, но вначале генерируется большое количество ложноположительных срабатываний. Систему надо обучить, чтобы не отвлекала ответственных за безопасность сотрудников компании без надобности.

• Обязательно стоит учитывать отраслевые стандарты, которые, как правило, достаточно четко определяют условия использования доступа к ресурсам.

Вопросы и комментарии по данной статье просьба присылайте на e-mail: SergeySa@softline.ru