Обзор эфира AM Live про безопасный удаленный доступ

Вновь возвращаюсь к практике обзора модерируемых мной эфиров телепроекта AM Live. На этот раз он был посвящен безопасному удаленному доступу. Надо сказать, что у меня возникло чувство дежавю — в начале эпидемии COVID-19 я неоднократно проводил и участвовал в эфирах по организации удаленного доступа. Правда, тогда я это делал от имени другой компании и сама ситуация была иной — у нас не было ни текущей геополитической ситуации, ни ухода иностранных игроков с рынка. Поэтому эфир, прошедший 1-го февраля, был по-своему нов. В конце концов, за это время у нас частично поменялась и нормативка, и наработался определенный опыт и лайфхаки по тому, как организовывать то, чему мы на эфире не стали давать определение и что являются всего лишь частью дистанционной/удаленной работы.

По традиции озвучу лишь некоторые тезисы, прозвучавшие на эфире у коллег, сдобренные моими комментариями (полная версия эфира может быть вами увидена в самом низу заметки):

1. К требованиям по безопасности удаленного доступа, выпущенным нашими регуляторами (письмо ФСТЭК №240/84/389, рекомендации НКЦИ ALRT-20200320.1, приказ ФСТЭК №32) у лицензиатов ФСТЭК и ФСБ вызывают смешанные чувства — когда им выгодно, они говорят об их обязательном исполнении, когда нет — делают акцент на том, что это рекомендации (исключая дспшный 32-й приказ). Оно и понятно — не все требования регуляторов можно выполнить чисто физически.
2. В США есть сборник передового опыта по организации удаленного доступа в виде NIST SP800-46. У нас такого нет и на мой вопрос, почему ни один из разработчиков решений по удаленному доступу так и не вышел с инициативой по разработке аналогичного документа в виде ГОСТа в ТК362, так никто и не ответил. Но мне кажется, что это было бы полезной инициативой.
3. В этот раз я выстраивал вопросы для эфира таким образом, чтобы получить ответ не в формате «надо делать так», а в формате «мы у себя сделали так«. Логично предположив, что если вендор решений по удаленному доступу является экспертом в своей области, то его архитектура и выбранные решения являются неким мерилом хорошего. Но оказалось, что нет. Один из участников прямо настаивал на том, что то, что он продает заказчиком, не обязательно использовать самим. Ну и по ходу эфира в паре мест прозвучало, что участники продолжают использовать где-то OpenVPN, где-то коммерческие иностранные решения, которым пока нет замены.
4. Описанный в предыдущем пункте аспект, в целом, отражает и мое видение происходящего с импортозамещением у нас в стране. Говорят все, а вот похвастаться реальным опытом импортозамещения могут немногие. И многие участники эфира упоминают 2027-2030 годы как ориентир для импортозамещения.
5. Почти все участники запрещают удаленную работу из-за рубежа для своих сотрудников и партнеров. Интересно, что у зрителей, среди которых мы проводили опрос, контроль геолокации при удаленке включен для всех без исключения пользователей в 25% организаций. В 7% политика дифференцированная и зависит от ролей пользователей (руководство, ИТ и т.п.). В остальных случаях никакого контроля не осуществляется. Кстати, и у участников тоже в паре случае проскользнуло, что на словах-то они запрещают, но начальству, едущему в отпуск в Египет или на Мальдивы, удаленку не отрубают 🙂
6. Спросив у участников, какой стек технологий защиты удаленного доступа они используют, ответы были отчасти предсказуемы. VPN-клиент, антивирус, многофакторная аутентификация. Не все, но используют мониторинг сетевого траффика в поисках аномалий (NDR/NTA), мониторинг Web-трафика с помощью Secure Web Gateway, а также DLP для мониторинга утечек. EDR/XDR не использует никто, объясняя это возрастающим объемом телеметрии, которую должны анализировать и так перегруженные аналитик SOC (спорно). У зрителей была схожая история — с большим отрывом от всех лидировал антивирус в качестве средства защиты удаленки, на второе место попал MFA, третье заняли DLP и UEBA, а четвертое было отдано замкнутой программной среде, LiveUSB/LiveCD и особому виртуальному имиджу.
7. Интересно, что почти все участники заявили, что RDS/RDP, как и VDI, надо всегда пускать через VPN, и только из уст одного вендора отечественных СКЗИ прозвучало, что они у себя используют обычный RDS, но с TLS на базе отечественной криптографии. С терминальным доступом стоит помнить, что тяжелую графику и мультимедиа через него гонять проблематично, если вообще возможно.
8. С точки зрения архитектуры стоит отметить несколько моментов. Во-первых, стоит разделять шлюзы (кластеры шлюзов) для приземления удаленного доступа и для выхода в Интернет из компании, чтобы DDoS на периметр не повлиял на возможность удаленки (истории про DDoS на отечественных вендоров тоже звучали). Во-вторых, рекомендуется объединять все удаленные компьютеры в один сегмент, к которому присмотреться более внимательно, например, с помощью NDR/NTA-решений. Наконец, split tunneling при удаленном доступе лучше запретить.
   

   Кстати, если вам интересно, какие новые продукты планируют выпустить российские компании, то стоит посмотреть эфир. Были озвучены не только планы по выпуску NGFW, но и новые решения в области ZTNA, а также по ряду иных направлений.

9. Тема аутентификации вызвала определенные споры, отражающие места работы участников. Кто-то ограничивается обычной двухфакторной аутентификацией, используя то одноразовые коды, присылаемые на SMS, то пуши через приложение на смартфоне (хотя на мой взгляд, это никакая не 2FA, а скорее 2SV). Кто-то использует MFA, а кто-то настаивает на применении только PKI для выстраивании аутентификации как пользователей, так и устройств удаленного доступа. Ну и не обойдена была вниманием тема дифференцированной аутентификации, в рамках которой методы (просто логин-пароль, 2FA, сертификаты, токены и т.п.) применяются в зависимости от задач, модели угроз и т.п.
10. Также один из участников настойчиво продвигал две темы, с одной из которых я согласен, а с другой нет. Первая — контроль поведения работников на удаленке (да и не только), позволяющая определять нелояльных пользователей. Мы не стали глубоко погружаться в эту, глубокую как океан тему, но подумать о ней в любом случае стоит. Вторая тема — LiveUSB, применение которых прописано в нормативных документах ФСТЭК и Минцифры, и которые позволяют использовать любой недоверенный компьютер в качестве платформы запуска защищенных приложений удаленного доступа и дистанционной работы с LiveUSB. У нас завязалась дискуссия о том, можно ли и как провести аттестацию таких удаленных рабочих мест, но мы так и не пришли к общему мнению.

На этом я, пожалуй, завершу краткий пересказ эфира, посвященного удаленному доступу. Я выделил всего 10 тезисов из почти трехчасового эфира, который стал одним из самых длительных в историю AM Live. Действительно, говорили мы долго. Сразу надо сказать, что мы не успели погрузиться в детали каждого из аспектов удаленки, не ставя такой задачи, и оставляя их для самостоятельных эфиров. Но хотя бы по верхам нам удалось охватить почти все темы, связанные с безопасным удаленным доступом. Ну и, конечно, поговорили о том, как будет развиваться это направление и какие решения будут выпускать участники эфира в ближайшем будущем.