Neseniai Kibernetinio saugumo ataskaitą pristatę Krašto apsaugos ministerijos atstovai perspėjo, kad didžiajai daliai darbuotojų pradėjus dirbti iš namų, bendra IT saugumo situacija šalyje suprastėjo. Nedžiugina ir pasaulinės naujienos – dar kovą paskelbta, kad naujausias „Windows“ pažeidžiamumas, žymimas numeriu CVE-2020-0796 ir pramintas „EternalDarkness/SMBGhost“, gali plačiai paplisti ir tapti tokiu pat interneto kirminu (angl. internet worm), kokiu 2017 m. tapo „WannaCry“.
Vis dėlto kibernetinio saugumo specialistai atkreipia dėmesį, kad dažniausiai atakos prieš darbuotojų kompiuterius vykdomos pasinaudojus gerai žinomais pažeidžiamumais, tad ir atremti tokius išpuolius – ne taip sudėtinga. Be to, saugumo sprendimų technologijos žengia į priekį ir tampa vis prieinamesnės platesniam organizacijų ratui.
Apie aktualiausius pavojus darbuotojų kompiuteriams ir priemones, padedančias nuo jų apsisaugoti, išsamiau pasakoja „Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis ir „Fortinet“ pardavimų vadovas Vytautas Kliorė.
Nesaugiausi – asmeniniai kompiuteriai
Saugumo prasme blogiausioje situacijoje yra organizacijos, kurių darbuotojai nuotoliniam darbui naudoja asmeninius įrenginius. Pavyzdžiui, didžiausia rizika susidurti su „EternalDarkness/SMBGhost“ grėsme būtent tiems, kas leidžia darbuotojams nuotoliniu būdu prisijungti prie įmonės sistemų iš asmeninių kompiuterių.
„Dauguma asmeninių kompiuterių neatitinka net bazinių saugumo reikalavimų – juose nėra antivirusinės programinės įrangos, neįjungtos lokalios ugniasienės, neįdiegtos operacinės sistemos atnaujinimai“, – vardija „Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis.
Saugumo požiūriu geriausia, kai tokie, bazinių saugumo normų neatitinkantys, įrenginiai neprileidžiami prie vidinių sistemų. Vis tik, praktiškai tai užtikrinti sudėtinga: jeigu įmonė naudoja VPN (virtualų privatų tinklą), kontroliuoti prisijungimą paprasčiau, tačiau atjungti daugumos darbuotojų su nesaugiomis darbo vietomis neįmanoma, nes sustotų darbas.
„Rekomendacijos galėtų būti kelios. Galima kuo skubiau parengti darbuotojams instrukcijas, kaip jie galėtų užtikrinti didesnį savo kompiuterio saugumą arba imtis diegti priežiūros agentus į nuosavus darbuotojų kompiuterius ir tokiu būdu užtikrinti bent minimalų jų saugumą centralizuotai“, – sako K. Meškonis.
Atakuojami gerai žinomi pažeidžiamumai
Ir pasaulinė, ir Lietuvos statistika rodo, kad laužiantis į asmeninius ir į įmonei priklausančius kompiuterius, dažniausiai pasinaudojama gerai žinomais pažeidžiamumais.
Pavyzdžiui, telekomunikacijų bendrovės „Verizon“ tyrime nurodoma, kad iki 2021 m. 99 proc. atakų prieš galutinių naudotojų įrenginius bus įgyvendintos per pažeidžiamumus, apie kuriuos organizacijos IT specialistai žino jau mažiausiai vienerius metus.
Laiku neįdiegti atnaujinimai, silpna slaptažodžių politika, žmogiškasis faktorius, kai spaudžiama ant neaiškių nuorodų – rimčiausios galutinių naudotojų saugumo problemos ne tik karantino metu.
Tačiau nuotolinio darbo sąlygomis šie iššūkiai tampa dar aktualesni, nes visi gali užklupti vienu metu. Gera žinia yra tai, kad sumažinti duomenų praradimo riziką yra ne taip sudėtinga – pirmiausia tai reikalauja atsakingo požiūriu į „rutininius“ saugumo užtikrinimo darbus“, – pasakoja Vytautas Kliorė, „Fortinet“ pardavimų vadovas.
Pašnekovas akcentuoja, kad siekiant apsisaugoti nuo populiariausių grėsmių, organizacijos saugumas turi atitikti bent minimalius reikalavimus, t. y., nuotoliniam darbui reikėtų naudoti centralizuotai prižiūrimus kompiuterius ir prie sistemų jungtis per VPN. Atitinkant šias sąlygas, galima svarstyti apie pažangesnius, nei antivirusinė programa, apsaugos sprendimus.
Kelis sprendimus gali atstoti vienas
Tarp saugumo sprendimų, V. Kliorė išskiria „trys viename“ galutinių naudotojų įrenginių apsaugos sprendimus (angl. endpoint protection platform (EPP)). Tokie sprendimai apima kelis funkcionalumus, pavyzdžiui, antivirusinę programą, interneto svetainių filtrą, VPN klientą ir t. t. Taip pat yra EPP versijos išmaniesiems su bazinėmis saugumo funkcijomis.
„EPP sprendimų pasiūla gana didelė, beveik kiekvienas gamintojas gali pasiūlyti ką nors iš šios kategorijos. Organizacijai lieka tik išsirinkti geriausiai poreikius atitinkančias funkcijas ir kainą“, – sako „Fortinet“ atstovas.
Renkantis EPP sprendimą, pašnekovas pataria įvertinti rizikas, kurios organizacijai yra aktualiausios, ir pagal tai nuspręsti, kurie funkcionalumai reikalingi.
„Pavyzdžiui, standartinis sprendimas galėtų apimti naujos kartos antivirusinę programą, pažeidžiamumų skenavimą ir URL filtravimą (angl. URL filtering), kuris neleistų naudotojams užeiti į internetinius puslapius, kuriuose yra kenkėjiškų programų. Be to, tai leistų užtikrintų įmonės tinklo saugumą, nes naudotojas, atsinešęs savo kompiuterį, negalėtų prisijungti prie kritinių resursų, kol jo kompiuterinės darbo vietos spragos nebūtų pataisytos“, – pasakoja V. Kliorė.
Kai kurie sprendimai gali „uždengti“ pažeidžiamumus
Aukštesnės klasės EPP sprendimai gali pasiūlyti ir laikiną saugumo spragų užlopymą (angl. virtual patching). Šis funkcionalumas naudingas, nes padeda laimėti laiko ir apsaugoti kompiuterines darbo vietas, kurios turi net rimtų saugumo spragų.
„Ši funkcija –skenavimo dalis. Toks skenavimas leidžia fiksuoti, kokia programinė įranga yra kompiuterinėse darbo vietose, patikrinti, kokių žinomų spragų ji turi, nustatyti, kurios iš jų – kritinės, ir laikinai jas užlopyti. Tai leidžia sumažinti vadinamą atakos paviršių. Net jeigu užlopomos tik žinomiausios spragos, būtent jos, kaip rodo statistika, yra pačios pavojingiausios“, – primena V. Kliorė.
Kita papildoma funkcija, galinti papildyti EPP sprendimą – integracija su smėliadėže. „Galima sakyti, kad tai papildomas apsaugos sluoksnis, nes galimai užkrėsti, vadinami „pilkieji“ failai iš naudotojo kompiuterio patenka į virtualią izoliuotą aplinką. Čia jie „paleidžiami“ ir stebima jų elgsena. Taip „išgaudomos“ vadinamos „zero day threats“, t. y. grėsmės apie kurias dar niekas nežino niekas ir nėra neparengęs apsaugos sprendimo“, – paaiškina „Fortinet“ atstovas.
Elgsenos analitika – turint daugiau patirties
Organizacijoms, pasižyminčioms IT branda, arba turinčioms atitikti griežtus duomenų saugumo reikalavimus, EPP sprendimų gali nepakakti. Kovoti prieš nežinomas grėsmes ir tikslines atakas geriau padeda grėsmių kompiuterinėse darbo vietose aptikimo ir atsako programinė įranga (angl. Endpoint Detection and Response (EDR)).
Kai kurie EDR sprendimai gali net tam tikra apimtimi atstatyti žalą, kurią sistemoms padaro kenkėjiška programinė įranga.
„Dar vienas svarbus dalykas – nors gajus įsitikinimas, jog EDR sprendimai tinka turintiems daug resursų ir saugumo analitikus, saugumo gamintojai jau pradeda siūlyti EDR paslaugas kaip visumą – t. y. įsigijus programinę įrangą, neįprastus prisijungimus prie sistemų stebi gamintojo saugumo specialistų komanda ir klientui nebereikia samdytis savo specialistų. Tikėtina, kad ateityje ši tendencija stiprės ir vis daugiau organizacijų galės naudoti pažangius EDR sprendimus“, – pažymi pašnekovas.
„Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis pastebi, kad siekiant užtikrinti maksimalų saugumą, gali būti naudojami ir naudotojų elgsenos analitikos sprendimai (angl. User behavior analytics (UEBA)).
„Iš savo patirties matome, kad UEBA sprendimai padeda klientams laiku aptikti naudotojų elgesio anomalijas, kurios, kaip vėliau paaiškėdavo, buvo nesankcionuoti prisijungimai su vogtais prisijungimo duomenimis prie įmonės tinklo ir debesų kompiuterijos paslaugų“, – sako K. Meškonis.
Sustiprinkite nuotolinio darbo IT saugumą su „Blue Bridge“ kibernetinio saugumo specialistais. Parašykite mums!