VPN под нагрузкой: что проверить, когда весь офис ушёл домой

Компании, которые в марте 2020 года перевели большую часть сотрудников на удалённую работу, оказались в ситуации, к которой большинство ИТ-служб не готовились. VPN работает. Но работает с перегрузкой, нестабильно, и часто с настройками, которые были адекватны для пяти командировочных, но не для ста одновременных подключений.

Это создаёт одновременно две проблемы: операционную и безопасностную.

Операционная проблема

Большинство корпоративных VPN-шлюзов имеют лицензионные или аппаратные ограничения по числу одновременных сессий. Когда лимит достигнут, новые подключения отклоняются или деградируют.

Даже если шлюз справляется с числом сессий, канал может быть перегружен. Всё - и критичный бизнес-трафик, и почта, и Teams, и YouTube, который кто-то смотрит фоном, - идёт через один туннель. Split tunneling, который позволяет направлять через VPN только корпоративный трафик, в большинстве компаний не настроен.

Проблема безопасности

Массовый переход на удалённую работу - это не только операционный вызов. Это расширение поверхности атаки за несколько недель. Несколько конкретных рисков:

Домашние устройства и сети. Сотрудник подключается с личного ноутбука, который никогда не обновлялся и не управлялся корпоративным ИТ. Или с рабочего ноутбука через домашний Wi-Fi роутер, который последний раз обновлялся четыре года назад.

Слабые пароли и отсутствие MFA. Многие компании до сих пор используют только пароль для доступа к VPN. В условиях, когда учётные данные компрометируются регулярно, это неприемлемый уровень риска при открытом доступе извне.

Фишинг на теме COVID. Атаки с использованием темы коронавируса резко выросли в феврале-марте. Сотрудники в стрессе и в непривычной обстановке кликают по ссылкам, которые в спокойной ситуации обошли бы стороной.

Потеря видимости. Когда трафик идёт через VPN туннель напрямую в интернет (split tunneling без контроля), ИТ-служба теряет мониторинг. Инцидент может остаться незамеченным дольше.

Что проверить прямо сейчас

Несколько конкретных вопросов для руководителя, который отвечает за ИТ:

1. Какова максимальная ёмкость VPN по числу одновременных сессий - и сколько сейчас используется?
2. Включена ли многофакторная аутентификация для всех пользователей VPN?
3. Все ли сотрудники подключаются с устройств под управлением корпоративного ИТ - или часть с личных?
4. Есть ли у ИТ-службы видимость того, что происходит на подключениях - хотя бы базовый мониторинг?
5. Проводился ли недавно инструктаж сотрудников по фишингу и безопасному поведению на удалёнке?

Краткосрочные меры

Если ответы на часть вопросов неудовлетворительны:

• Приоритет один: MFA для VPN. Это быстрая и значимая мера, которая снижает риск компрометации учётных данных.
• Ограничьте доступ через VPN только тем, что реально нужно. Если бухгалтерия не работает с производственными системами - она не должна в них попадать через VPN.
• Напомните сотрудникам об осторожности с ссылками и вложениями. Это кажется очевидным, но работает.
• Проверьте, что критичные резервные копии и журналы событий не проходят только через инфраструктуру, к которой сейчас ограничен доступ.

Это не финальное решение. Это минимум, который снижает риск в острой фазе.