Обзор эфира AM Live про безопасный удаленный доступ

Технологии

Вновь возвращаюсь к практике обзора модерируемых мной эфиров телепроекта AM Live. На этот раз он был посвящен безопасному удаленному доступу. Надо сказать, что у меня возникло чувство дежавю — в начале эпидемии COVID-19 я неоднократно проводил и участвовал в эфирах по организации удаленного доступа. Правда, тогда я это делал от имени другой компании и сама ситуация была иной — у нас не было ни текущей геополитической ситуации, ни ухода иностранных игроков с рынка. Поэтому эфир, прошедший 1-го февраля, был по-своему нов. В конце концов, за это время у нас частично поменялась и нормативка, и наработался определенный опыт и лайфхаки по тому, как организовывать то, чему мы на эфире не стали давать определение и что являются всего лишь частью дистанционной/удаленной работы.

По традиции озвучу лишь некоторые тезисы, прозвучавшие на эфире у коллег, сдобренные моими комментариями (полная версия эфира может быть вами увидена в самом низу заметки):

  1. К требованиям по безопасности удаленного доступа, выпущенным нашими регуляторами (письмо ФСТЭК №240/84/389, рекомендации НКЦИ ALRT-20200320.1, приказ ФСТЭК №32) у лицензиатов ФСТЭК и ФСБ вызывают смешанные чувства — когда им выгодно, они говорят об их обязательном исполнении, когда нет — делают акцент на том, что это рекомендации (исключая дспшный 32-й приказ). Оно и понятно — не все требования регуляторов можно выполнить чисто физически.
  2. В США есть сборник передового опыта по организации удаленного доступа в виде NIST SP800-46. У нас такого нет и на мой вопрос, почему ни один из разработчиков решений по удаленному доступу так и не вышел с инициативой по разработке аналогичного документа в виде ГОСТа в ТК362, так никто и не ответил. Но мне кажется, что это было бы полезной инициативой.
  3. В этот раз я выстраивал вопросы для эфира таким образом, чтобы получить ответ не в формате «надо делать так», а в формате «мы у себя сделали так«. Логично предположив, что если вендор решений по удаленному доступу является экспертом в своей области, то его архитектура и выбранные решения являются неким мерилом хорошего. Но оказалось, что нет. Один из участников прямо настаивал на том, что то, что он продает заказчиком, не обязательно использовать самим. Ну и по ходу эфира в паре мест прозвучало, что участники продолжают использовать где-то OpenVPN, где-то коммерческие иностранные решения, которым пока нет замены.
  4. Описанный в предыдущем пункте аспект, в целом, отражает и мое видение происходящего с импортозамещением у нас в стране. Говорят все, а вот похвастаться реальным опытом импортозамещения могут немногие. И многие участники эфира упоминают 2027-2030 годы как ориентир для импортозамещения.
  5. Почти все участники запрещают удаленную работу из-за рубежа для своих сотрудников и партнеров. Интересно, что у зрителей, среди которых мы проводили опрос, контроль геолокации при удаленке включен для всех без исключения пользователей в 25% организаций. В 7% политика дифференцированная и зависит от ролей пользователей (руководство, ИТ и т.п.). В остальных случаях никакого контроля не осуществляется. Кстати, и у участников тоже в паре случае проскользнуло, что на словах-то они запрещают, но начальству, едущему в отпуск в Египет или на Мальдивы, удаленку не отрубают 🙂
  6. Спросив у участников, какой стек технологий защиты удаленного доступа они используют, ответы были отчасти предсказуемы. VPN-клиент, антивирус, многофакторная аутентификация. Не все, но используют мониторинг сетевого траффика в поисках аномалий (NDR/NTA), мониторинг Web-трафика с помощью Secure Web Gateway, а также DLP для мониторинга утечек. EDR/XDR не использует никто, объясняя это возрастающим объемом телеметрии, которую должны анализировать и так перегруженные аналитик SOC (спорно). У зрителей была схожая история — с большим отрывом от всех лидировал антивирус в качестве средства защиты удаленки, на второе место попал MFA, третье заняли DLP и UEBA, а четвертое было отдано замкнутой программной среде, LiveUSB/LiveCD и особому виртуальному имиджу.
  7. Интересно, что почти все участники заявили, что RDS/RDP, как и VDI, надо всегда пускать через VPN, и только из уст одного вендора отечественных СКЗИ прозвучало, что они у себя используют обычный RDS, но с TLS на базе отечественной криптографии. С терминальным доступом стоит помнить, что тяжелую графику и мультимедиа через него гонять проблематично, если вообще возможно.
  8. С точки зрения архитектуры стоит отметить несколько моментов. Во-первых, стоит разделять шлюзы (кластеры шлюзов) для приземления удаленного доступа и для выхода в Интернет из компании, чтобы DDoS на периметр не повлиял на возможность удаленки (истории про DDoS на отечественных вендоров тоже звучали). Во-вторых, рекомендуется объединять все удаленные компьютеры в один сегмент, к которому присмотреться более внимательно, например, с помощью NDR/NTA-решений. Наконец, split tunneling при удаленном доступе лучше запретить.

    Кстати, если вам интересно, какие новые продукты планируют выпустить российские компании, то стоит посмотреть эфир. Были озвучены не только планы по выпуску NGFW, но и новые решения в области ZTNA, а также по ряду иных направлений.

  9. Тема аутентификации вызвала определенные споры, отражающие места работы участников. Кто-то ограничивается обычной двухфакторной аутентификацией, используя то одноразовые коды, присылаемые на SMS, то пуши через приложение на смартфоне (хотя на мой взгляд, это никакая не 2FA, а скорее 2SV). Кто-то использует MFA, а кто-то настаивает на применении только PKI для выстраивании аутентификации как пользователей, так и устройств удаленного доступа. Ну и не обойдена была вниманием тема дифференцированной аутентификации, в рамках которой методы (просто логин-пароль, 2FA, сертификаты, токены и т.п.) применяются в зависимости от задач, модели угроз и т.п.
  10. Также один из участников настойчиво продвигал две темы, с одной из которых я согласен, а с другой нет. Первая — контроль поведения работников на удаленке (да и не только), позволяющая определять нелояльных пользователей. Мы не стали глубоко погружаться в эту, глубокую как океан тему, но подумать о ней в любом случае стоит. Вторая тема — LiveUSB, применение которых прописано в нормативных документах ФСТЭК и Минцифры, и которые позволяют использовать любой недоверенный компьютер в качестве платформы запуска защищенных приложений удаленного доступа и дистанционной работы с LiveUSB. У нас завязалась дискуссия о том, можно ли и как провести аттестацию таких удаленных рабочих мест, но мы так и не пришли к общему мнению.

На этом я, пожалуй, завершу краткий пересказ эфира, посвященного удаленному доступу. Я выделил всего 10 тезисов из почти трехчасового эфира, который стал одним из самых длительных в историю AM Live. Действительно, говорили мы долго. Сразу надо сказать, что мы не успели погрузиться в детали каждого из аспектов удаленки, не ставя такой задачи, и оставляя их для самостоятельных эфиров. Но хотя бы по верхам нам удалось охватить почти все темы, связанные с безопасным удаленным доступом. Ну и, конечно, поговорили о том, как будет развиваться это направление и какие решения будут выпускать участники эфира в ближайшем будущем.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. пофиг

    эфир посмотрел. Интересный. Понятно что сейчас капец в ИБ. Но у всех горят глаза порезать куски пирога, но пирог не испечен)))))))) одни планы…вообщем интересно.

    Ответить
    1. Алексей Лукацкий автор

      Есть такой момент. Но хотя бы уже есть желание пирог печь, а не просто продавать воздух

      Ответить
  2. Sergey Borisov

    Почему бы PT не разработать рекомендации по безопасному удаленному доступу?
    Не для выполнения требований регуляторов, а именно лучшие практики для повышения безопасности УД…

    Ответить
    1. Алексей Лукацкий автор

      Я думал об этом. Но все-таки, это немного не то, на чем специализируется компания. У нас есть своя архитектура, но я не уверен, что она подойдет всем. В этом и смысл того же стандарта, что он рассматривает, как SP800-46, разные варианта с их плюсами и минусами.

      Ответить
  3. VSX

    Любопытно, действительно ли в реальной жизни CISO считают более безопасным использовать написанные сравнительно небольшими командами разработки не вполне понятной компетенции и основанные на раскурочивании опенсорса (или, что, имхо, ещё хуже, «открытый доступ к RDS/VDI с отечественной криптографией) решения вместо хотя бы чистого well-known опенсорса вроде wireguard?

    Откуда может взяться уверенность (особенно с нашей системой сертификации) в том, что если завтра найдут критический баг в опенсорс-основе таких решений, отечественным вендором будет выкачен хотфикс-релиз?

    Какую отвественность понесёт вендор сертифицированного решения, если через его (или его опенсорс-основы) дырки поломают инфраструктуру? Тут надо добавить несравнимые риски для отечественных ООО-вендоров с уставным капиталом в 10 т.р. и IPO-вендоров в мире.

    В чём преимущества (кроме сертификации) отечественных «ПАК защиты удалённого доступа» перед опять же well-known решениями вроде pfSense и как эти решения двигают индустрию/отрасль в целом (или по-прежнему занимаются копированием фич)?

    Ответить
    1. Алексей Лукацкий автор

      Это хорошие вопросы. Но их бы самим вендорам позадавать. А что касается 3-го пункта, то по умолчанию ответственности никакой кроме непонятно как применимой статьи 1095 КоАП. Ответственность за ущерб надо вносить в договора, но мало кто это делает, продавая/продукты «AS IS»

      Ответить
      1. VSX

        Спасибо за ответ 🙂

        Просто не могу не поделиться контрастной сценой с одним и тем же прологом: в С(К)ЗИ найден серьезный эксплоит, через который поломали одного-плюс значимого Заказчика:

        1) В случае мирового вендора: обвал котировок акций, спешные хотфиксы с emergency-распространением, куча how-to и пресс релизов чтобы хоть чуть снизить репутационные/финансовые последствия, возможно, судебные разбирательства.

        2) В случае РФ-вендора: «Заказчик использовал С(К)ЗИ не в соответствии с эксплуатационной документацией (шкаф был не 2*2, не железный, и не открывался двумя ключами в двух тубусах с печатями; к тому же еще автоматизацию какую-то им надо было) — сам виноват».

        Ответить
        1. Алексей Лукацкий автор

          Справедливости ради, в первом случае обвал котировок тоже редкость 🙂

          Ответить
        2. пофиг

          Я еще могу добавить про суды РФ))))))…поэтому большого смысла в ИБ России не вижу…сейчас ИБ есть у газпрома, роснефти и финансах…у государственных контор тоже есть, но там как решето, где есть где нет…малый, средний бизнес, где люди не качают деньги-ИБ в зачатке.

          Ответить
          1. VSX

            Решето оно потому, что дизайнилось РФ-ИБ в скоупе security uber alles, причём, не технологическая security, а технологически-бумажная.

            А в бизнесе важнее бизнес. Потому там дырочку проделали, там проделали — и вот.