Девять месяцев удалёнки: как изменилась поверхность атаки
К осени 2020 года компании, которые перешли на удалённую работу весной, накопили новые риски безопасности - не всегда это осознавая. Что изменилось и на что смотреть.
Весной 2020 года переход на удалёнку произошёл за несколько недель. Решения принимались быстро: VPN-сервисы для доступа, корпоративные мессенджеры, видеосвязь. Безопасность при этом обычно была на втором плане - нужно было сначала просто обеспечить работу.
К сентябрю прошло девять месяцев. Временные решения стали постоянными. И за это время поверхность атаки компании изменилась - часто существенно.
Я не говорю о том, что всё плохо. Я говорю о том, что пора сделать аудит того, что накопилось.
Что добавилось за эти месяцы
Личные устройства в рабочем контуре. Не у всех сотрудников был корпоративный ноутбук. Многие работали с личных машин, где стоит что попало, нет корпоративного антивируса и нет шифрования диска. Через эти машины они подключались к рабочим системам.
VPN без сегментации. Быстро поднятые VPN часто давали широкий доступ - "сотрудник подключён к сети". Но доступ к сети не значит доступ к конкретным системам. Там, где не было сегментации, сотрудник, чья машина скомпрометирована, мог видеть всё.
Облачные инструменты, выбранные командами самостоятельно. Когда ИТ не успевало, люди брали то, что под рукой: бесплатный Zoom, личный Dropbox, публичные Notion-страницы. Данные начали жить за пределами периметра, который кто-то контролировал.
Фишинг с ковидной тематикой. Атакующие быстро адаптировались к теме. Письма с "обновлением политики удалённой работы", "важной информацией о выплатах" - это не теоретические примеры, это то, что реально ходило.
Почему это требует внимания именно сейчас
Первые месяцы люди были аккуратнее - ситуация была новой и все были настороже. Через девять месяцев усталость накопилась, и бдительность снизилась. При этом инструменты и доступы, выданные весной, никуда не делись.
Это стандартная модель: риск не там, где начали, а там, где накопилось.
Три вещи для проверки сейчас
Аудит доступов. Кто и к чему имеет доступ? Кому выдавали расширенный доступ в марте-апреле "временно"? Отозвали ли его?
Инвентаризация облачных инструментов. Что используют команды для работы и обмена файлами помимо корпоративных систем? Это не для того, чтобы запретить - это для того, чтобы понять, где лежат данные.
Политика устройств. Кто работает с личных устройств без корпоративных политик безопасности? Это не обязательно надо немедленно запретить, но это надо знать.
Безопасность в режиме удалённой работы - это не одноразовая настройка. Это процесс, который требует регулярного внимания. Девять месяцев - это хорошая точка, чтобы его начать.