2020/05/13 09:00:00

«Пандемия — это масштаб»:
можно ли за пять дней перевести на удаленную работу тысячи сотрудников

Пандемия коронавируса поставила перед компаниями новую задачу — в короткие сроки на дистанционную работу пришлось переводить тысячи и десятки тысяч сотрудников. Благодаря этим запросам на рынке появляется всё больше комплексных защищенных решений для организации удаленной работы. Один из таких сервисов в марте этого года запустила компания «Ростелеком-Солар».

Содержание

Пять вызовов пандемии: что должны изменить компании с точки зрения кибербезопасности

Дистанционная работа не является чем-то новым — уже несколько десятилетий организации работают в условиях, когда необходимо предоставлять собственным сотрудникам удаленный доступ. Большинство технологий давно известны и апробированы.

Главный вызов, который бросила пандемия — это масштаб. Если раньше счет удаленных рабочих мест шел на десятки, иногда сотни, то сейчас компаниям нужно быстро организовать тысячи и десятки тысяч таких доступов. Конечно, к такому лавинообразному росту большинство бизнесов оказались не готовы и теперь организациям необходимо быстро перестраивать свои подходы, внедрять новые технологии, а времени и ресурсов на это не хватает

Руководитель отдела экспертного пресейла продуктов и сервисов Solar JSOC компании «Ростелеком-Солар» Алексей Павлов, называет пять ключевых вызовов кибербезопасности в связи с переходом на удаленную работу:

Понятно, что если компания хочет оставаться эффективной, справиться с актуальными вызовами необходимо максимально быстро. Одно из решений российского рынка, позволяющее сделать это, невзирая на количество рабочих мест — сервис защищенной удаленной работы от компании «Ростелеком-Солар».

Сделай сам, или Помехи на пути к удаленке

На примере заказчиков, обратившихся за помощью, Алексей Павлов выделяет несколько довольно типичных проблем, с которыми столкнулись ИТ-директора компаний в связи с необходимостью быстрого перехода на удаленную работу:

  1. Нехватка «железных» мощностей для обеспечения стабильной работы сотрудников в режиме удаленного доступа

  2. Нехватка или отсутствие необходимых лицензий

  3. Необходимость в расширении каналов связи под выросшие мощности и потребности

  4. Длительные процедуры закупки при решении проблем с оборудованием и лицензиями

  5. Долгие процессы проектирования и внедрения элементов удаленного доступа, когда надо здесь и сейчас

  6. Нехватка сотрудников ИТ для технической поддержки решений удаленного доступа – при размере компании в 1000 человек, как минимум у 5% сотрудников возникают сложности с работой. 50 заявок, которые прилетели одновременно, будут решаться минимум несколько дней, исходя из штатного количества ИТ-специалистов в 5-10 человек и с учетом сопутствующей нагрузки

  7. Отсутствие безопасных сервисов под ключ: многие компании предлагают отдельные компоненты, из которых необходимо собирать «паззл». У одного поставщика арендовать мощности, у другого – лицензии и инфраструктуру шлюзов, у третьего – закупить лицензии под СЗИ. А если речь заходит про ГОСТ и токены – еще и обратиться за услугами в Удостоверяющий центр и выпустить токены для сотрудников.


Именно для решения всех этих сложностей компания «Ростелеком-Солар» реализовала сервис защищенной удаленной работы «под ключ».

Базовая часть сервиса защищенной удаленной работы

Решение представляет собой взаимосвязанные сервисы: технологическая часть базируется на платформе управляемых сервисов кибербезопасности Solar MSS, а дополнительные сервисы предлагаются на базе центра мониторинга и реагирования на кибератаки Solar JSOC. Важная особенность в том, что сервис можно взять на несколько месяцев, чтобы переждать самую горячую пору. Затем компания может сократить число подключений или совсем отказаться от удаленного доступа.

«
Доступно два базовых варианта оказания сервиса, которые различаются используемыми криптографическими алгоритмами — это могут быть зарубежные или отечественные разработки, — объясняет Алексей Павлов. — Они позволяют безопасно работать с ИТ-ресурсами компании через интернет за счет туннелирования и шифрования трафика. Также заказчики смогут обеспечить защищенную аутентификацию и авторизацию, в том числе с применением цифрового сертификата.

»

Базовые функции сервиса можно развернуть всего за пять дней. На этом этапе будут обеспечены работоспособность компонентов инфраструктуры защищенного удаленного доступа, их эксплуатация и работа с запросами заказчика. В дальнейшем базовые сервисы можно расширить с применением той технологии, которая была выбрана на старте проекта: с помощью VDI-брокера, VDI-фермы или терминального сервера.TAdviser выпустил Карту российского рынка цифровизации строительства 25.3 т

Базовый сервис включает в себя несколько компонентов. Для обеспечения удаленных подключений сотрудников заказчика используется VPN-шлюз, располагаемый в ЦОД «Ростелекома». При этом доступны варианты шифрования как по SSL-, так и по ГОСТ-протоколам. В рамках сервиса также реализуется выпуск цифровых сертификатов для удаленных сотрудников заказчика с использованием различных Удостоверяющих центров – Крипто-ПРО или Microsoft CA, в зависимости от выбранного варианта.

По умолчанию в состав компонентов входят средства обнаружения и предотвращения вторжений (IDS/IPS) и потоковый антивирус – эти два компонента призваны не допустить возможное заражение корпоративной инфраструктуры заказчика с потенциально недоверенного узла – удаленной рабочей станции сотрудника (за последний месяц такие прецеденты участились в разы по сравнению со статистикой прошлого года). За VPN-шлюзом и базовыми средствами защиты по умолчанию располагается криптошлюз, создающий защищенный туннель до инфраструктуры заказчика который также может быть предоставлен в аренду в составе сервиса.

«
Базовый сервис обеспечивает неплохой уровень защиты, однако все равно остаются шансы утечек, неконтролируемого доступа, проникновения злоумышленника через зараженную рабочую стацию удаленного сотрудника. Поэтому мы предлагаем на выбор реализацию комплексного подхода: используя терминальные серверы, VDI-брокеры или VDI-ферму, – поясняет Алексей Павлов.
»

Терминальные серверы удаленного доступа – следующая ступень повышения безопасности. Реализованы они на базе Microsoft RDS. На данных серверах устанавливаются средства защиты: антивирус, хостовая система обнаружения вторжений (HIDS), опционально – средства предотвращения утечек, средства защиты от несанкционированного доступа.

Схема реализации с помощью терминального сервера

VDI-брокеры могут быть реализованы на решениях VMware и Тионикс. Данный вариант удобен компаниям, которые хотят быстро и максимально безопасно дать удаленным сотрудникам доступ к их АРМ, которые остались в офисах. В этом случае по создаваемой совместно с заказчиком матрице доступа сессия пользователя «пробрасывается» до его рабочей станции по специализированным протоколам, обеспечивая сотрудника привычными инструментами, шаблонами, документами и программным обеспечением для работы, но изолируя возможное негативное влияние удаленной среды (домашних устройств).

Схема реализации с помощью VDI-брокера

Эталонным решением с точки зрения информационной безопасности является применение VDI-фермы – виртуальных рабочих станций, разворачиваемых в ЦОД «Ростелекома» под каждого сотрудника. Такие рабочие станции разворачиваются на основе «золотых образов», которые априори не заражены и не находятся под контролем злоумышленников. Здесь возможна установка такого же полного комплекта средств защиты, как и в случае с терминальными серверами. Дополнительно появляется возможность контролировать рабочее время сотрудников, что становится все более востребованным среди безопасников, хоть и не является их прямой задачей.

Схема реализации с помощью VDI-фермы

Сервис Solar JSOC

Все варианты реализации сервиса можно подключить к центру мониторинга и реагирования на инциденты информационной безопасности Solar JSOC.

За последний месяц активность злоумышленников возросла. Вот лишь небольшой перечень аномалий, благодаря которым специалисты центра выявляли злоумышленников или внутренних нарушителей, подключив инфраструктуру защищенной удаленной работы к Solar JSOC:

  • подключение к VPN из точки с аномальной геолокацией – не всегда однозначно трактуемый инцидент, но с учетом всеобщей изоляции такие случаи единичны и с каждым из них следует разбираться отдельно;
  • аномально больной трафик в рамках VPN-сессии – потенциальное хищение информации (дома сотрудники не ощущают присутствия служб ИТ и ИБ и может возникнуть соблазн похитить ценные данные, поэтому средства предотвращения утечек информации предлагаются в качестве опции к сервису);
  • потенциальное сканирование на уязвимости – нередко срабатывающий инцидент с удаленных рабочих станций в сторону ИТ-инфраструктуры заказчика (связано это с довольно низкой киберграмотностью населения в целом и, как следствие, полным «зоопарком» вредоносного ПО на домашних компьютерах).

Помимо этого, в качестве дополнительных ресурсов «Ростелеком-Солар» предлагает инструменты для безопасного удаленного доступа и необходимую коммуникационную инфраструктуру: ВКС, облачные услуги, каналы связи и мобильный доступ. В зависимости от отрасли клиент может выбрать вариант с использованием несертифицированных технологий или полностью соответствующий требованиям регуляторов (уже реализованные «Ростелеком-Солар» проекты по защите удаленного доступа получили их одобрение).

В параметрах SLA компания гарантирует доступность сервисов заказчика не менее 96,8% в квартал, время восстановления — до 4 часов, а время реакции на критический инцидент — не более 20 минут.

Краткое резюме

Сервис защищенной удаленной работы компании «Ростелеком-Солар» позволяет:

  • защитить удаленные рабочие места от вредоносного ПО;
  • предотвратить утечки информации;
  • контролировать коммуникации удаленных сотрудников;
  • проводить ретроспективные расследования инцидентов;
  • осуществлять профилактику инцидентов, выявляя аномалии в поведении сотрудников;
  • контролировать рабочее время сотрудников;
  • безопасно передавать данные через интернет;
  • гарантировать безопасный вход в удаленные сервисы и приложения;
  • быстро обучать удаленных сотрудников навыкам ИБ и тестировать их.

Часто задаваемые вопросы

Отвечает Алексей Павлов

1. Какие задержки на сети возникают при подключении к сервису защищенной удаленной работы в части работы с инфраструктурой?

Мы тестировали использование сервиса на Дальнем Востоке и типовые задержки составляли порядка 300 мс. Если же вы располагаетесь ближе, то задержки будут еще меньше. Их можно сопоставить с задержками при использовании услуги ЦОД от «Ростелеком».

2. А за счет чего возникает экономия?

Если попытаться сделать аналогичный проект на своей инфраструктуре, вам понадобятся:

  • лицензии и железо под VPN-шлюз;
  • лицензии и железо для одного из вариантов – терминального сервера, VDI-брокера или VDI-фермы;
  • токены и лицензии к ним в случае использования соответствующей схемы;
  • интегратор или собственный архитектор для разработки целевой схемы и внедрения решения;
  • обеспечение поддержки пользователей: на старте по 1 ИТ-специалисту для каждые 100 сотрудников для проведения траблшутинга и поддержки работоспособности VPN-клиентов.

И все эти капитальные затраты и расходы на персонал оправданы, если схема удаленного доступа будет использоваться с той же интенсивностью, что и ближайшие 1-2 месяца карантина. В противном случае будет выгоднее приобрести сервис. Экономия в этом случае достигается за счет использования MSS-схем с вендорами, аренды мощностей и распределения ресурсов персонала техподдержки и эксплуатации на многих заказчиков.

И это не говоря уже о том, что запуск самостоятельного проекта по защищенной удаленной работе будет проходить не один месяц с учетом закупок, внедрения и настройки.

3. Я настроил VPN на своем межсетевом экране и привязал его к домену (или другой вариант: я настроил RDP наружу и дал доступ сотрудникам) – чем это хуже вашего решения?

Сначала давайте обсудим небезопасность использования прямого RDP, доступного из интернета. Часть компаний используют данный способ, но, как говорится, до первого киберинцидента. За последний месяц к нам за помощью в расследовании обратилось столько же компаний, сколько за два квартала прошлого года, с просьбой расшифровать данные. В 75% случаев схема была классическая: взлом доступного извне RDP. Десятки ботов, обнаружив открытый в интернет протокол RDP (даже на другом порту), начинают подбирать пароль перебором (брутфорс) и рано или поздно его взламывают. Дальше злоумышленник, находясь в периметре организации, распространяет свое влияние и шифрует инфраструктуру или крадет данные.

Что касается использования VPN на своем межсетевом экране – в первую очередь нужно рассчитать, хватит ли у вас мощности и лицензий. По нашим подсчетам, 1 удаленный пользователь генерирует от 0,5 до 3 мбит/с трафика. Если тут все в порядке, то запаситесь инженерами техподдержки (желательно в режиме 24/7) и создайте максимально подробную инструкцию. Но у этого подхода есть свои недостатки:

  • без сертификатов, токенов и одноразовых паролей сервис небезопасен;
  • контролировать сотрудников нет возможности, как и отключить буфер обмена без использования терминальных серверов или брокера – риск утечек возрастает;
  • без потокового антивируса и IPS/IDS любой удаленный компьютер может заразить корпоративную инфраструктуру.

В целом описанный выше подход и есть наш базовый пакет удаленного доступа, лишенный недостатков, указанных в п.1 и 3, а при использовании терминальных серверов – и в п.2.