Bez kategorii

Bezpieczna Praca Zdalna: Krytyczne Obszary, Wskazówki i Najlepsze praktyki

Posted on by 3t88KtJFuRrA

Praca zdalna zostanie z nami na dłużej i nic nie wskazuje, aby najbliższym czasie to uległo zmianie. Aż 82% firm ma w planach pozostawienie możliwości pracy z domu po zakończeniu trwającej pandemii. Nadal jednak bardzo wielu organizacjom z różnych powodów nie udało się do tej pory wdrożyć efektywnego i bezpiecznego modelu pracy w trybie, który wymusił koronawirus. W przypadku co piątego włamania źródłem problemu były właśnie niewystarczające zabezpieczenia tego trybu pracy.

Jak zatem zabezpieczyć pracę zdalną? Przedstawiamy 7 krytycznych obszarów wraz ze wskazówkami i najlepszymi praktykami, które powinny stanowić punkt wyjścia dla każdej organizacji, która chce mieć pewność w zakresie bezpieczeństwa pracy z domu swoich pracowników. Warto je uwzględnić, zwłaszcza, jeśli do tej pory nie staliśmy się celem ataków. Zaniedbania w tym obszarze mogą w konsekwencji sprowadzić niemałe kłopoty na nas i na naszą firmę.

 

Koronawirus weryfikuje bezpieczeństwo pracy zdalnej i techniczną dojrzałość firm

Rok 2020 zostanie zapamiętany na długo. Regularność występowania różnorakich kryzysów jest ogólnie znana, jednak mało kto spodziewał się, że kolejnym znaczącym wydarzeniem tego rodzaju (po pamiętnym kryzysie ekonomicznym z lat 2007-2009), będzie wybuch pandemii COVID-19. Ekonomiczne, społeczne i technologiczne konsekwencje tych wydarzeń będą z pewnością w kolejnych latach źródłem wielu analiz i badań. Bez wahania można powiedzieć, że świat będzie pod wieloma względami odmienny od tego, który do niedawna znaliśmy. Eksperci sygnalizowali, że tego rodzaju scenariusz może w końcu wystąpić, jednak mało kto brał ich przewidywania na poważnie.

Sama pandemia nie miała rzecz jasna bezpośredniego wpływu na branżę IT. To wprowadzany w kolejnych krajach w ekspresowym wręcz tempie lockdown spowodował, że ogromna część społeczeństwa musiała z dnia na dzień dostosować się do tej jakże nowej sytuacji. Wprowadzone ograniczenia miały wpływ nie tylko na życie osobiste, ale również na sferę zawodową. Firmy ze wszystkich branż, które uniknęły całkowitego zamknięcia zaczęły ograniczać pracę z biur. Czy to z własnej inicjatywy, czy też z uwagi na obostrzenia wprowadzane w danym kraju. Było to prawdziwe „sprawdzam” rzucone przez los w kierunku kadry zarządzającej oraz w kierunku osób odpowiedzialnych za ciągłość działania firmy.

graficzne przedstawienie procesu weryfikacji - lista kontrolna

Zmiana modelu pracy z dnia na dzień spowodowała, że marzec i kwiecień 2020 był dla działów IT okresem rekordowo pracowitym. Ogromna presja jaka w tym okresie była wywierana, aby umożliwić zdalne wykonywanie obowiązków służbowych, może mieć w wielu przypadkach swoje negatywne konsekwencje dla bezpieczeństwa poszczególnych organizacji jeszcze przez długie miesiące, a nawet lata. Każda osoba odpowiedzialna za podejmowanie decyzji w zakresie doboru technologii dobrze wie, że z pewnych nietrafionych wyborów bardzo trudno się wycofać.

 

Bezpieczeństwo pracy zdalnej zaczyna się KPI, BCP and BRP

Analizując relacje z wielu firm o różnej wielkości i różnych profilach działalności można zauważyć, że kluczowe były dwa czynniki. Pierwszy z nich to styl pracy kadry zarządzającej wyższego szczebla, zaś drugi to podejście do Business Continuity Plan (BCP) i Business Recovery Plan (BRP).

Plan Ciągłości Działania Biznesu umieszczony na biurku

Firmy, które na wszystkich szczeblach funkcjonowania mierzą efektywność swoich działań poprzez Key Performance Indicator (KPI) miały dużo mniejsze mentalne problemy z przyzwoleniem na pracę zdalną. Nadal istnieją jednak organizacje, w których zaangażowanie pracowników mierzone jest poprzez to jak tłumnie i gwarnie jest w biurze i tym jak bardzo pracownicy wyglądają na zmęczonych. Ustalenie konkretnych miar efektywności pracy poszczególnych pracowników oraz całych działów zdecydowanie sprzyja budowaniu dwukierunkowego zaufania. Istnienie takiego wspólnego mianownika pozwala mieć pewność, że firma pracuje sprawnie niezależnie od tego, z jakiego miejsca przyszło pracownikom pełnić swoje obowiązki.

W dzisiejszych czasach nie sposób znaleźć już firmę zatrudniającą więcej niż kilkudziesięciu pracowników, która nie będzie posiadała Business Continuity Plan (BCP) i Business Recovery Plan (BRP). Formalne przygotowanie w tych dwóch obszarach wymagane jest w zbyt wielu audytach „zgodności z …”, aby odpowiednie dokumenty nie zostały przygotowane, wydrukowane, schowane w odpowiedniej teczce i pozostawione na wieczne zapomnienie. Praktyczne przygotowanie się na wystąpienie sytuacji kryzysowej i utrzymanie tej stałej gotowości jest często na tyle kosztowne, że wiele firm świadomie akceptuje braki w tym obszarze z uwagi na relatywnie niskie oszacowanie prawdopodobieństwa wystąpienia takiej sytuacji. W tym właśnie podejściu upatrywać można źródła problemów, jakie pojawiły się w wielu firmach po ogłoszeniu lockdownu.

 

Pośpiech złym doradcą, czyli lista grzechów przy wdrażaniu pracy zdalnej

Połączenie głębokiego nieprzygotowania do nowej sytuacji wraz z dużą presją na zachowanie ciągłości działania biznesu to prawdziwa mieszanka wybuchowa. Im trudniejsza była sytuacja danej firmy, tym większa i trudna do odparcia stała się pokusa na ignorowanie zasad bezpieczeństwa IT. Taka ścieżka prowadziła prosto do zgubnych decyzji, takich jak:

  • korzystanie z prywatnych adresów pocztowych do komunikacji ze współpracownikami oraz z klientami,
  • używanie prywatnych urządzeń do uzyskiwania dostępu do firmowych sieci i przetwarzania wrażliwych danych biznesowych,
  • korzystanie z darmowych lub publicznych usług (np. systemy do wideokonferencji, komunikatory, serwisy do wymiany plików), których dana firma nie posiadała, a które okazały się niezbędne do funkcjonowania w nowej sytuacji,
  • pospieszne otwieranie dostępu do firmowych usług i danych, które przez lata dostępne były wyłącznie z wewnętrznej sieci firmowej.

Oczywiście lista popełnianych grzechów jest znacznie dłuższa.

 

Praca w trybie zdalnym – nowe czasy, sprawdzone sztuczki atakujących

Marionetka kontrolowana przez atakujących, którzy stosują znane sztuczki, gdy pracownicy pracują zdalnie

Rozwój tej sytuacji uważnie obserwowali cyberprzestępcy, którzy jak zawsze dość elastycznie dostosowywali się do nowych, sprzyjających im warunków. Większe wykorzystanie cyfrowych kanałów komunikacji to znakomita sposobność do odnoszenia sukcesów w kampaniach pshishingowych i spear-phishingowych. Google blokowało nawet 18 million COVID-19-related scam emails each day, które próbowały trafić do skrzynek w serwisie Gmail. Nagła zmiana wewnątrzfirmowych procesów z takich, które wymagały bezpośredniego kontaktu interpersonalnego na wariant zdalny, to okazja do owocnych ataków social engineering.  Warto regularnie badać odporność pracowników na próby manipulacji w ramach ataków socjotechnicznych za pomocą dedykowanych testów.

Zaledwie kilka miesięcy od wybuchu epidemii zarejestrowanych było ponad 3300 złośliwych domen zawierających w sobie wyraz „zoom”, a wzmianki na temat ataków na ten system do wideokonferencji regularnie gościły w serwisach informacyjnych. Niefrasobliwe wykorzystywanie darmowych serwisów do wymiany plików to szansa dla cyberprzestępców na znalezienie w takich miejscach poufnych firmowych dokumentów.

Używanie prywatnych urządzeń do celów służbowych to okazja do znalezienia na przejętych maszynach nie tylko poufnych danych dotyczącej sfery prywatnej, ale też sfery służbowej ofiary. Udostępnianie w pośpiechu firmowych usług, które do tej pory znajdowały się wyłącznie w „bezpiecznej” sieci wewnętrznej, to dla atakujących świetna sposobność do przejęcia nad nimi kontroli.

Wprawne oko dostrzeże, że wśród wspomnianych aktywności cyberprzestępców trudno szukać zupełnie nowych koncepcji. Nie można się temu dziwić, skoro dobrze znane sztuczki okazują się tak bardzo efektywne. Właśnie w 2020 roku doszło do wzrostu liczby firm, które po zaatakowaniu przez oprogramowanie typu ransomware, skore były do zapłacenia żądanego okupu. W tym samym roku aż 58% ofiar zdecydowało się na to rozwiązanie, podczas gdy dwa lata wcześniej było to tylko 39%.

Podobny trend zaobserwować można było, jeśli chodzi o wysokość średniego okupu, który w 2020 roku wzrósł o 33% i osiągnął kwotę $111,605. Straty finansowe to nie jedyny aspekt infekcji oprogramowaniem ransomware. Przez tego typu atak jeden z pacjentów Düsseldorf University Hospital nie otrzymał leczenia ratującego życie na czas. Jasno obrazuje to fakt, że atakujący nie mają żadnych oporów, jeśli wchodzi o dobór swoich celów i bez skrupułów wykorzystują sytuację.

 

7 kluczowych obszarów dla bezpiecznej pracy zdalnej

Na pewną ironię zakrawa fakt, że wszystkie niezbędne technologie, pozwalające na bezpieczną i efektywną pracę z domu są znane od lat, a czasem nawet od całych dekad. Trudno mówić tutaj o technologicznym przełomie. Przełomowa za to jest skala wykorzystywania tych rozwiązań w firmach, dla których tryb ten jest czymś zupełnie nowym.

Niezależnie od tego, czy szukasz potwierdzenia, że zadbałeś o wszystko w tym obszarze, czy też dopiero poszukujesz pomysłów, od czego zacząć takie przedsięwzięcie – poniżej znajdziesz cenne wskazówki, które z pewnością Ci to ułatwią!

 

1. Szyfrowanie nośników danych stacji roboczych

Na ekranie komputera wyświetlane jest szyfrowanie nośników danych na stacji roboczej

To jedno z najpilniejszych działań, jakie należy podjąć w celu zabezpieczenia stacji roboczych. Przed lockdownem (zwłaszcza w firmach, w których praca z domu była czymś obcym), kryptograficzna ochrona nośników danych na stacjach roboczych mogła nie wydawać się czymś szczególnie istotnym. Kiedy jednak stacje robocze musiały opuścić bezpieczną przestrzeń biurową z relatywnie szczelną fizyczną ochroną i trafić do prywatnych mieszkań pracowników, priorytety ulegają zmianie.

Potencjalny atakujący uzyskując dostęp do niezabezpieczonego dysku laptopa ma przed sobą ogromne możliwości działania. Może chociażby skopiować wszystkie poufne dokumenty i całą komunikację elektroniczną przechowywaną lokalnie na tej stacji roboczej, jak również może uzyskać dostęp do firmowych kont danego użytkownika. Konta te mogą otworzyć atakującemu dostęp do poufnych dokumentów przechowywanych na serwerach firmowych, do których ofiara ataku miała dostęp. W grę wchodzi również możliwość pozostawienia w systemie operacyjnym backdoora, z pomocą którego atakujący może utrzymywać dostęp do laptopa danego pracownika przez bardzo długi czas od pierwszej infekcji.

Najbardziej przerażającym faktem jest rzecz jasna to, że cierpliwy atakujący o odpowiednim poziomie umiejętności może wszystkie te działania wykonać bez wzbudzania podejrzliwości nie tylko u ofiary, ale również bez alarmowania działu bezpieczeństwa danej firmy.

Istnieje szereg rozwiązań, zarówno komercyjnych, jak i darmowych, które relatywnie niewielkim nakładem pracy mogą pozwolić na wdrożenie odpowiedniej ochrony kryptograficznej. Jeśli posiadacie infrastrukturę opartą w zdecydowanej większości o systemy firmy Microsoft, to zwróćcie uwagę, że od wielu lat integralną częścią systemów Windows jest Bitlocker, który umożliwia pełne szyfrowanie używanych przez system dysków. Jeśli preferujecie rozwiązania OpenSource, to warto zainteresować się projektem VeraCrypt.

 

2. VPN i sieci domowe

VPN jako jeden z kluczowych obszarów bezpiecznej pracy zdalnej

Szyfrowanie nośników danych to dopiero połowa sukcesu w zakresie kryptograficznej ochrony danych. O ile podczas normalnej pracy z firmowego biura ochrona transmitowanych danych znajdowała odległe miejsce na liście priorytetów, o tyle w przypadku pracy zdalnej to zagadnienie staje się jednym z najbardziej kluczowych.

Sieć biurowa jest nie tylko fizycznie odseparowana od Internetu, ale często wyposażona jest w różnego rodzaju rozwiązania bezpieczeństwa, które nie tylko ograniczają dostęp nieupoważnionych urządzeń do konkretnych segmentów sieci (NAC), blokują niedozwolony ruch sieciowy (Firewalle), a nawet wykrywają lub blokują znane ataki (IDS/IPS).

Biurowa infrastruktura sieciowa często jest bardzo dopieszczona pod kątem bezpieczeństwa i, o ile nie zawsze jest w pełni wolna od podatności, to i tak stoi na zupełnie innym poziomie niż sieci domowe, działające w mieszkaniach pracowników. Wśród problemów, które mogą przyjść na myśl, w pierwszej kolejności wymienić można:

  • słabo zabezpieczone sieci Wi-Fi wykorzystujące protokół WEP lub protokoły WPA/WPA2 z domyślnym lub prostym do złamania hasłem;
  • routery z nieaktualnym oprogramowaniem posiadającym luki bezpieczeństwa były po wybuchu epidemii wykorzystywane przez atakujących do przekierowywania ofiar na zmodyfikowane wersje znanych serwisów straszących historiami na temat epidemii koronawirusa za pomocą podmiany ustawień DNS w tych urządzeniach;
  • brak izolacji na poziomie warstwy IP od innych klientów danego dostawcy Internetu – okazja do wykonywania ataków typu Man-in-the-Middle (MITM).

Chcąc zagwarantować bezpieczeństwo musimy przyjąć założenie, że pewna część pracowników może znajdować się w sytuacji, kiedy atakujący ma kontrolę nad łączem sieciowym, znajdującym się pomiędzy stacją roboczą pracownika a firmową infrastrukturą.

Na szczęście możemy podjąć wiele działań, aby ograniczyć możliwości atakującego. Po pierwsze możemy wdrożyć indywidualne połączenia VPN do naszej infrastruktury sieciowej. Jeśli mamy szczęście, to może się to odbyć bez ponoszenia większych kosztów – wiele urządzeń sieciowych wykorzystywanych jako urządzenia brzegowe w sieciach firmowych posiada funkcjonalność serwerów VPN. Dobrze jest podjąć dalsze działania zabezpieczające połączenia VPN. Warto dodać odpowiednią izolację ruchu sieciowego, aby poszczególni użytkownicy VPN nie posiadali dostępu do całej infrastruktury, a wyłącznie do elementów niezbędnych do wykonywania ich obowiązków.

Jeśli z jakichś powodów połączenia VPN nie wchodzą w grę lub nie mogą być wykorzystane przez wszystkich pracowników, to warto zweryfikować czy publicznie dostępne usługi osiągalne są wyłącznie przy użyciu bezpiecznych protokołów transmisji danych posiadających należytą ochronę kryptograficzną (np. HTTPS, SFTP).

Dobrym pomysłem jest również przygotowanie poradników dla pracowników, w których przedstawionych zostanie kilka relatywnie prostych działań, jakie mogą oni podjąć w celu podniesienia bezpieczeństwa sieci domowej, z której korzystają podczas pracy zdalnej. Aktualizacja oprogramowania większości routerów czy też zmiana hasła Wi-Fi i protokołu transmisji bezprzewodowej to aktywności, które nie wymagają dużego doświadczenia, zwłaszcza w przypadku urządzeń sieciowych spotykanych w domach.

Jeśli możliwość ataków sieciowych na konkretne stacje robocze zdalnych pracowników szczególnie nas niepokoją, to możemy rozważyć dodatkowy środek zaradczy w postaci zakupienia pewnej liczby kart SIM i modemów bezprzewodowych LTE, które zweryfikujemy pod kątem potencjalnych problemów z bezpieczeństwem.

 

3. Brak uprawnień lokalnego administratora systemu

Na ekranie komputera wyświetlany jest komunikat o braku uprawnień lokalnego administratora systemu

Zagadnienie, które podnosi ciśnienie u większości firmowych administratorów i osób odpowiedzialnych za bezpieczeństwo, to dostęp zwykłych pracowników do konta Administratora na ich lokalnych, służbowych stacjach roboczych. Jest to zwyczajowy wyścig pomiędzy bezpieczeństwem, a tak zwaną „wygodą użytkowania”. Pozornie mogłoby się wydawać, że jest to błahostka, która ogranicza bezpieczeństwo poszczególnych stacji roboczych i nie ma wpływu na bezpieczeństwo całej organizacji. Szybko można zmienić zdanie, analizując to zagadnienie z perspektywy atakującego.

Dostęp do konta z uprawnieniami lokalnego administratora to jeden z kluczowych etapów ataku na daną organizację. Usłyszeć można nawet głosy, że w przypadku ataków na firmy dysponujące pewną dojrzałością w obszarze bezpieczeństwa, przejęta stacja robocza, dla której nie udało się uzyskać dostępu do uprzywilejowanego konta lokalnego administratora, powinna zostać porzucona przez atakujących. Dlaczego? Ponieważ istnieje przekonanie, że bez tych uprawnień niemożliwe jest wykonanie większości działań, które mogą zagwarantować pozostanie niewykrytym przez systemy bezpieczeństwa. Jednym słowem, atakujący, który uzyska dostęp do stacji roboczej i  zorientuje się, że użytkownik, który padł ofiarą jego ataku ma jednocześnie uprawnienia lokalnego administratora może poczuć, że to jego wyjątkowo szczęśliwy dzień.

Odebranie uprawnień lokalnego administratora wszystkim użytkownikom, którzy nie powinni posiadać takich uprawnień, jest naturalnie pewnym wyzwaniem organizacyjnym. Istnieje wiele rozwiązań, pozwalających na odciążenie administratorów w zakresie instalacji oprogramowania oraz wprowadzania zmian na stacjach roboczych, o których przeczytasz w naszym artykule.

Dobra znajomość specyfiki pracy poszczególnych działów może pozwolić na sprawne wytypowanie oprogramowania oraz uprawnień, które mogą być automatycznie instalowane i przyznawane poszczególnym użytkownikom, należącym do odpowiednich działów poprzez zautomatyzowany mechanizm typu Help Desk. Oprogramowanie oraz uprawnienia o wyższej krytyczności mogą być również dostarczane użytkownikom końcowym w sposób automatyczny, ale mogą wymagać akceptacji ze strony przełożonego danego użytkownika. Jedynie w przypadku okazjonalnie wykorzystywanego oprogramowania i bardzo specyficznych uprawnień wymagana może być faktyczna uwaga ze strony administratorów. Prawidłowo przeprowadzony proces badania potrzeb poszczególnych działów firmy skutecznie ograniczy liczbę tych ostatnich przypadków.

 

4. Bring Your Own Device i Mobile Device Management

"Bring Your Own Device" na ekranie tabletu w otoczeniu dokumentów firmowych

Popularyzacja urządzeń mobilnych takich jak tablety czy smartfony wiele lat temu zmotywowała wiele firm do pozwalania pracownikom na wykorzystywanie prywatnych urządzeń do celów służbowych. Jeszcze przed wybuchem pandemii aż 59% firm akceptowało podejście BYOD. Warto podkreślić, że ten bardzo popularny skrót (Bring Your Own Device) odnosi się nie tylko do wspomnianych wcześniej typów urządzeń, ale dotyczy również prywatnych komputerów. Podejście to daje wysoką elastyczność i wygodę dla samych pracowników, ale może stanowić istotne zagrożenie dla bezpieczeństwa.

Jeśli formalnie nie uporządkowaliśmy do tej pory tego zagadnienia lub też trzymaliśmy się kurczowo modelu, w którym pracownicy wykonywali swoje zadania wyłącznie z biura, to mamy dobry powód, aby dokonać analizy i poważnie zastanowić się nad tym, jakie podejście będzie dla naszej organizacji najbardziej odpowiednie. Ze względu na różne zagrożenia, na jakie narażone są pozbawione odpowiedniej opieki ze strony administratorów prywatne komputery, pozwolenie na używanie ich do celów służbowych może nie być dobrym wyborem. Użytkowanie prywatnych urządzeń mobilnych do przeglądania służbowej poczty, brania udziału w spotkaniach poprzez rozwiązania w rodzaju MS Teams, czy też GoToMeeting, wydaje się być obarczone dużo niższym ryzykiem.

Jeśli chcielibyśmy posiadać rozwiązanie oferujące znacznie wyższy poziom bezpieczeństwa, warto zastanowić się nad wdrożeniem rozwiązania klasy MDM (Mobile Device Management). Wskazanym jest ich posiadanie, niezależnie od tego czy planujemy, aby nasi pracownicy używali wyłącznie służbowych smartfonów czy też korzystali z prywatnych urządzeń – albo nawet, gdy dopuszczamy oba warianty. To, na co trzeba zwrócić uwagę, to mnogość dostępnych na rynku wariantów konfiguracji urządzeń mobilnych, zwłaszcza w przypadku systemu Android. Im więcej takich wariantów będzie obecnych, tym więcej czeka nas pracy.

 

5. Security in Depth, Assume Breach oraz Zero Trust

Przejście na szerokie wykorzystywanie pracy zdalnej to ostatni dzwonek dla wszystkich, którzy jeszcze rozpatrują bezpieczeństwo w kontekście monolitycznego perymetru i na linii urządzeń brzegowych widzą granicę pomiędzy bezpieczną i zaufaną częścią sieci (wewnętrzna sieć firmowa), a niebezpiecznym Internetem.

Opieranie się na pojedynczej linii obrony to proszenie się o kłopoty i chociaż paradygmat „Security in depth” spopularyzował się w kontekście bezpieczeństwa cybernetycznego grubo ponad dwie dekady temu, to nadal spotkać można osoby dokonujące podziału na to, co bezpieczne i niebezpieczne wedle tego podejścia. „Security in depth” mówi o tym, że odpowiednia separacja infrastruktury oraz umieszczanie wielu warstw ochrony pomiędzy tymi obszarami utrudnia działanie potencjalnym atakującym. Muszą oni sforsować kilka warstw zabezpieczeń, a każda z tych warstw stanowi kolejną szansę na wykrycie ataku lub zniechęcenie atakujących przed kontynuacją swoich działań.

Assume breach idzie o krok dalej. W tym podejściu nie tylko staramy się przeciwdziałać potencjalnym atakom, ale analizujemy czy to (teoretycznie, a jeszcze lepiej w praktyce) scenariusze, w których atakującemu udało się pokonać część z naszych rozwiązań bezpieczeństwa i uzyskał dostęp do kilku wybranych zasobów (np. stacji roboczych kilku pracowników).

Sumienna analiza odpowiedniej liczby takich scenariuszy potrafi przynieść wiele wartościowych pomysłów na wprowadzenie dodatkowych zabezpieczeń, które utrudnią atakującemu działanie lub też ułatwią jego wykrycie. Jeśli nigdy tego nie robiliście, zacznijcie od prostego schematu – potencjalny atakujący uzyskuje dostęp do stacji roboczej managera średniego szczebla w waszej organizacji – jakie możliwości będzie miał mając taki dostęp, jakie mechanizmy ochronne będzie musiał pokonać, aby dostać się do cennych zasobów?

Zero Trust to kolejny etap w postrzeganiu modelu bezpieczeństwa. Jeszcze bardziej restrykcyjny w swoich założeniach względem wspomnianego Assume Breach. Zero Trust to próba utrudnienia atakującym, którzy już znaleźli się w naszej infrastrukturze (Assume Breach!) działań zwanych lateral movement, czyli w dużym skrócie przejmowania kolejnych fragmentów firmowej infrastruktury w oparciu o zgromadzone do tej pory konta i przypisane im zaufanie. Jeśli nie jesteście przekonani do tego modelu, to musicie mieć świadomość, że aż 34% zespołów ds. bezpieczeństwa IT na całym świecie przyznało, że jest w trakcie wdrażania Zero Trust.

 

6. Zwiększanie Świadomości i Szkolenia z Zakresu Bezpieczeństwa

Pracownik siedzący przed ekranem komputera i odbywający szkolenie w zakresie cyberbezpieczeństwa

Nie sposób przecenić korzyści jakie płyną z prowadzenia regularnych szkoleń typu Security Awareness dla pracowników danej firmy. Nieraz usłyszeć można od osób pracujących w zespołach SOC (Security Operations Center), że współpracownicy są dla nich kolejnym, obok wszelakich technicznych rozwiązań, źródłem cennych informacji o zagrożeniach. Stwierdzenie, które mówi o tym, że człowiek bywa często najsłabszym ogniwem w łańcuchu bezpieczeństwa jest oklepanym frazesem, ale nie można mu odmówić pewnej słuszności.

Warto jednak zauważyć, że owa wina nie zawsze leży po stronie tych „szeregowych” pracowników, którzy zwyczajnie starają się realizować swoje codzienne obowiązki, a jednocześnie nie są przecież ekspertami w zakresie cyberbezpieczeństwa. Zupełnie błędnym podejściem jest stawianie znaku równości pomiędzy zapoznaniem się z polityką bezpieczeństwa czy też polityką bezpieczeństwa informacji podczas pierwszego dnia pracy, a byciem wyedukowanym pracownikiem, którego Security Awareness jest regularnie aktualizowane o nowe zagrożenia i techniki ataków.

Stworzenie dobrego programu edukacji z zakresu bezpieczeństwa cybernetycznego w firmie nie jest rzeczą prostą. Należy unikać tworzenia nudnych prezentacji, opartych o dużą ilość tekstu i weryfikowania wiedzy uczestników testami opartymi o pytania pozbawione praktycznych aspektów. Najlepszym rozwiązaniem jest organizowanie relatywnie krótkich (60 minut), cyklicznych (raz na kwartał lub dwa razy w roku) prezentacji wypełnionych jak największą liczbą praktycznych przykładów ataków.

Pamiętajmy, że szkolenie typu Security Awareness nie jest szkoleniem z podstaw bezpieczeństwa cybernetycznego. Wiele technicznych aspektów jest zupełnie niepotrzebnych, a ich umieszczanie w programie szkolenia może być wręcz kontr-produktywne. Nasi współpracownicy nie muszą pamiętać, co dokładnie oznacza skrót DDoS, nie muszą też wiedzieć o istnieniu stosu TCP/IP i jego warstwach. Powinni za to świetnie radzić sobie z określaniem czy dany e-mail wygląda na podejrzany (i dlaczego) oraz co zrobić ze znalezionym w Atrium pendrivem. Odpowiednio prowadzone szkolenia Security Awareness mogą sprawić, że w przypadku naszej organizacji człowiek nie będzie najsłabszym ogniwem w łańcuchu bezpieczeństwa, a jednym z silniejszych ogniw. Taka sytuacja z pewnością nie będzie w smak atakującym.

Dbanie o odpowiedni poziom wiedzy na temat cyberbezpieczeństwa szeregowych pracowników firmy to tylko jeden z dwóch obszarów utrzymywania kompetencji na odpowiednio wysokim poziomie. Ze względu na dynamiczne zmiany w obszarze IT – zarówno jeśli chodzi o wykorzystywane technologie, jak i techniki ataków – powinniśmy zadbać o harmonijny rozwój umiejętności u specjalistów IT (programistów oraz administratorów), jak również wśród ekspertów od cyberbezpieczeństwo.

O ile stworzenie i rozwijanie programu Security Awareness może być z powodzeniem realizowane przez ekspertów zatrudnionych w danej firmie, o tyle w przypadku zaawansowanych szkoleń z obszaru security znacznie efektywniej jest oprzeć się o wyspecjalizowane w tym obszarze podmioty. Analizując oferty na prowadzenie tego typu treningów warto zwrócić uwagę przede wszystkim na aspekt praktyki. Dostęp do wiedzy teoretycznej nie stanowi aktualnie wyzwania, jednak wiele oferowanych obecnie szkoleń określanych przez swoich autorów jako „zaawansowane” ogranicza się niestety do samej teorii.

Wiele podmiotów uatrakcyjnia swój proces szkoleniowy interesującymi laboratoriami, jednak prawdziwe praktyczne treningi cyber oferują przede wszystkim platformy zwane cyberpoligonami (Cyber Range). Tego typu rozwiązania nie tylko pozwalają na zdobycie praktycznych umiejętności. Zapewniają również, że proces rozwoju kompetencji odbywa się w wyjątkowo realistycznym środowisku, które umożliwia trenującym eksplorowanie obszarów i przypadków niewystępujących w szkoleniach teoretycznych czy zwykłych laboratoriach.

Przykładem rozwiązania typu Cyber Range jest rozwijana przez nas platforma CDeX. Z jej wykorzystaniem można realizować dowolne scenariusze treningowe, a w kontekście omawianego w tym artykule bezpieczeństwa pracy zdalnej warto wspomnieć o dwóch z nich. Pierwszy dotyczy wykrywania i przeciwdziałania atakom na usługi pocztowe. Trening ten dotyczy ochrony serwerów Exchange przed bezpośrednimi atakami na jego usługi oraz ochrony samych użytkowników poczty. Drugi porusza kwestie bezpieczeństwa usługi Active Directory, która zwłaszcza w dobie pracy zdalnej stanowi główny punkt zainteresowania każdego atakującego. Ten scenariusz treningowy pozwala na poznanie wszystkich spotykanych obecnie ataków na Active Directory, a trenujący może w praktyce nauczyć się wykrywać i blokować możliwość realizacji tych ataków. Więcej o naszych treningach przeczytasz tutaj.

 

7. Pentesty, audyty konfiguracji oraz testy inżynierii społecznej

Testy penetracyjne jako jeden z kluczowych elementów bezpiecznej pracy w domu

Jeśli wdrożyliśmy większość wspomnianych wcześniej rozwiązań i czujemy, że nasza sytuacja pod względem zabezpieczeń jest całkiem dobra, to warto poddać to weryfikacji. Fałszywa pewność siebie może stać się dla nas istotnym problemem. Organizując cykliczne aktywności weryfikujące skuteczność podjętych działań warto mieć na uwadze, żeby procesu sprawdzania nie przeprowadzały te same osoby, które były odpowiedzialne za ich wdrażanie lub też na co dzień opiekują się nimi. Warto postawić na świeży punkt widzenia, a w przypadku braku w naszej firmie dedykowanego zespołu, zajmującego się przeprowadzaniem testów bezpieczeństwa, zlecić wykonanie tych prac firmom, które się w tym specjalizują.

Koncentrując się na tym, co znajduje się w naszej infrastrukturze, nie można tracić z oczu tego jak wygląda ona z zewnątrz. Przed usunięciem stanowiących ryzyko punktów wejścia do naszej infrastruktury powinniśmy mieć świadomość, jakie domeny rozgłaszamy w Internecie, jakie adresy IP mamy wykupione i u jakich operatorów, jakie otwarte porty znajdują się na tych adresach IP i jakie usługi działają na tych portach. Temat ten jest jednak bardzo obszerny – więcej informacji znajdziesz w jednym z naszych materiałów.

 

Bezpieczna Praca Zdalna: Podsumowanie

Zagwarantowanie bezpiecznej pracy zdalnej w dzisiejszych czasach to obszar cyberbezpieczeństwa, który wydaje się być bardzo dobrze znany. Ubiegłoroczne wydarzenia pokazały niestety, że bardzo wiele firm zaniedbało istotne kwestie. Cyberprzestępcy skrzętnie wykorzystywali nadarzające się sposobności i wiele organizacji ucierpiało w dwójnasób. Przedstawionych w artykule 7 obszarów powinno stanowić priorytet dla każdej organizacji, która chce mieć pewność w zakresie bezpieczeństwa pracy z domu swoich pracowników.

3t88KtJFuRrA

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *