Buy us a donut
კორონავირუსის ეპიდემის გამო კომპანიებს და სახელმწიფო უწყებებს დისტანციურ სამუშაო რეჟიმზე გადასვლა მოუწიათ, რითაც ინფორმაციული უსაფრთხოება კიდევ უფრო მოწყვლადი გახდა. შევეცდებით მოკლედ აღვწეროთ ის რისკები და თანამედროვე სირთულეები, რომლებიც ახალი მსოფლიო წესრიგის პირობებში წარმოიშვა.
ინფორმაციის გაჟონვა და პირადი მოწყობილობები
დაშორებული წვდომის გზა დაკავშირებიდან იწყება. მეტი დრო რომ გვქონოდა, დაცვის მთელი არსენალის გამართვაც არ იქნებოდა პრობლემა:
- დაკავშირებული მოწყობილობების შემოწმება უსაფრთხოების პოლიტიკაზე და პირადი მოწყობილობებიდან წვდომის შეზღუდვა.
- სერტიფიკატი, რომელიც ჩაკერილია მოწყობილობაში ან ავთენტიფიკაციის მეორე ფაქტორი.
- ადმინისტრატორების სისტემის კონტროლი წვდომებისა და ბრძანებების გაწერისთვის.
თუმცა დროში შეზღუდულები ვართ, ამიტომ თანამშრომლების დისტანციურ რეჟიმზე გადაყვანა დაჩქარებული წესით უნდა მოვახერხოთ, რის გამოც ტოკენების მიწოდების ან წვდომების მასშტაბირების ახალი სისტემის დანერგვა ამ პირობებში რთულდება. საერთო ჯამში კომპანიების დიდ ნაწილს სახლის პირობებში მოწყობილობების დაცვა საკონფიგურაციო ფაილით და სამუშაო ანგარიშის კლასიკური ლოგინ/პაროლით უწევთ.
აქ ვაწყდებით პრობლემის პირველ საფეხურს. დომენის პოლიტიკის მიუხედავად მომხმარებლები პაროლებში გარკვეულ ფრაზებს იყენებენ. მათი ნაწილი გარე რესურსებში გამოყენებულ პაროლებს ემთხვევა, სადაც ინფორმაციის გაჟონვა ჩვეულებრივი ამბავია და აქ ანალიტიკური მონაცემების განხილვაც კი ზედმეტია. ზოგჯერ ლოგინებისა და პაროლების გაჟონვა პირადი მოწყობილობებიდან ბოროტმოქმედებს აძლევს საშუალებას მიიღონ წვდომა არათუ სამუშაო ელ.ფოსტაზე, არამედ ნაწილობრივ დაუკავშირდნენ სამუშაო ინფრასტრუქტურას, სადაც არაერთი მნიშვნელოვანი დოკუმენტი, მიმოწერა და სხვა სამუშაო ფაილებია თავმოყრილი.
რას უნდა დააკვირდეთ:
- VPN კავშირის გეოლოკაცია — სცენარის ცდომილება მაღალია (განსაკუთრებით Opera Turbo-ს ან ბლოკირების გვერდის ავლის აქტიური გამოყენებისას), თუმცა ის გვაძლევს საშუალებას, პირობითად, ვნახოთ, რომ გენ.დირექტორის მოადგილე ქსელს (მოულოდნელად) სენეგალიდან უკავშრდება. ცხადია, გეოლოკაციების ნებისმიერ ბაზას აქვს ცდომილება, თუმცა სრულ უკონტროლობას ეს ჯობია.
- „უცხო“ მოწყობილობიდან დაკავშირება — თანამედროვე VPN-შლუზებს ქსელში მოწყობილობის შესახებ დეტალური ინფორმაციის მოპოვება შეუძლიათ (ჰოსტის სახელი, ქსელის ატრიბუტები, აპლიკაციები, რომლებიც კავშირისთვის იქნა გამოყენებული). ეს ყველაფერი გვაძლევს საშუალებას გამოვავლინოთ კრიტიკული თანამშრომლების ქცევის პოტენციური ანომალიები.
- რამდენიმე ჰოსტიდან „ერთდროული“ დაკავშირება ერთი და იგივე ანგარიშის გამოყენებით. ხშირად მიზეზი საერთოდ არ უკავშირდება მაინცდამაინც კრიმინალს: ლეპტოპზე დარჩენილი სესია, დაკავშირება ტელეფონიდან, გაჭედილი სესია, რომელიც არ გათიშა VPN კონცენტრატორმა და სხვა. თუმცა სიტუაცია, როცა მომხმარებელი უნდა მუშაობდეს სახლიდან და უცბად კავშირზე სხვა ჰოსტიდან გამოდის, საყურადღებოა.
- დაკავშირება დასვენების დღეებში ან არასამუშაო დროს. კლასიკურ ვითარებაში, როცა IT სპეციალისტები მუშაობენ ღამის საათებში, მსგავსი აქტივობა ნორმალურია, თუმცა თუ იგივეს სხვა თანამშრომლებიც აკეთებენ, საჭიროა ვითარებაში გარკვევა.
- პაროლების შერჩევა (წარმატებული ან წარუმატებელი). კორპორატიულ ქსელში ძირითადად ეს ნიშნავს იმას, რომ შაბათ-კვირის შემდეგ თანამშრომელს დაავიწყდა პაროლი ან გაიჭედა სერვისი, რომელზეც დაავიწყდათ პაროლის შეცვლა. VPN კავშირის შემთხვევაში ეს ყველაფერი საეჭვოდ გამოიყურება, განსაკუთრებით მაშინ, როცა რამდენიმე წარუმატებელი მცდელობა პაროლის წარმატებული „გამოცნობით“ სრულდება. ამ დროს შესაბამისი ზომების მიღება აუცილებელია.
VPN გატეხეს, დავიცვათ ქსელი.
თუ ბოროტმოქმედმა გადალახა დაცვის პირველი ხაზი და VPN-ზე კონტროლი მოიპოვა, ჩვენი შესაძლებლობები ფაქტის გამოსავლენად ამით არ სრულდება ისევე, როგორც ახალი პრობლემები:
- როგორც წესი დაჩქარებულ რეჟიმში მუშაობის დროს წვდომების მინიჭების ნაწილში არ ტარდება მკაცრი პოლიტიკა.
- ხშირ შემთხვევაში არ ხდება სამუშაო ანგარიშების სრულფასოვანი მართვა, რის გამოც ღია წვდომაში ხვდება აქტუალური სისტემური და პრივილეგირებული ანგარიშები.
რა გავაკონტროლოთ ამ ეტაპზე:
- სამომხმარებლო ანგარიშის შეუთავსებლობა VPN-სა და საბოლოო სისტემაზე. ანგარიში შეიძლება იყოს როგორც პრივილეგირებული, ისე სისტემური, თუმცა მათი შეუთავსებლობა ანომალიაზე მიგვითითებს. ყველაზე ხშირად მსგავსი ინციდენტები IT ადმინისტრატორების გამო ხდება, რომლებიც VPN-ში შესვლის შემდეგ დომენის ადმინისტრატორის ან root ანგარიშს იყენებენ.
- იმ ქსელურ რესურსთან დაკავშირება, რომელთანაც დისტანციური მუშაობა არ იგეგმებოდა. თუ VPN-ში არსებული რესურსი საჭიროზე დიდია, ხშირად ბოროტმოქმედები იწყებენ მოწყობილობების „შეთვალიერებას“ და ამგვარად ისინი შემთხვევით ჰოსტებზე ხვდებიან. ეს შესაძლოა იყოს სატესტო გარემო, მართვის სისტემები ან უბრალოდ შემთხვევითი სერვერი. ასეთი უჩვეულო ქცევის დაფიქსირებისას მარტივდება ბოროტმოქმედების გამოვლენა.
- ჯაშუშისთვის დამახასიათებელი აქტივობა. ასეთებს განეკუთვნება მოწყვლადობებით სარგებლობა, ადმინისტრაციული პორტების სკანირება, low and slow შეტევები და სხვა ტექნიკები. თუ ბოროტმოქმედი არ ელოდება ინფორმაციული უსაფრთხოების მუშაობას, წვდომის მიღებისთანავე ის საკმაოდ უხეში შეცდომების დაშვებას იწყებს, რაც მის გამოვლენას და სისუსტის აღმოფხვრას ამარტივებს.
- მონაცემების მითვისების მცდელობის ირიბი ნიშნები. სესიების მოცულობის მონიტორინგი VPN-ში, მათი ხანგრძლივობა და ნებისმიერი უჩვეულო ქცევა, რომელიც თანამშრომელს არ ახასიათებს. ასეთი დაკვირვება გვეხმარება გამოვავლინოთ როგორც შიდა ისე გარე ინციდენტები.
ვიცავთ სამიზნე სისტემებს და ტერმინალიდან წვდომას
თუ ჩვენ იმდენად გაბედულები ვართ, რომ თითოეულ მომხმარებელს საკუთარ სამუშაო სადგურზე შეუზღუდავად ვუშვებთ, მაშინ ერთობლივი სამუშაო გარემოსთვის და დაშორებული თანამშრომლების პროქსირებისთვის ტერმინალით აღჭურვილი სერვრები/ მომხმარებლების კონცენტრატორი წერტილები გამოიყენება.
ამ შემთხვევაში მონიტორინგისადმი მიდგომა ისეთივეა, როგორიც ნებისმიერი სხვა კრიტიკული ჰოსტის მიმართ:
- ანომალიების ძიებისთვის ჰოსტზე პროცესების გაშვების ჟურნალის ანალიზი
- პროცესების და სერვისების დისტანციური გაშვების კონტროლი
- დაშორებული ადმინისტრირების ხელსაწყოების კონტროლი
- მიღებული ფაილების და სისტემაში განხორციელებული ცვლილებების კონტროლი
- ანტივირუსული პროგრამული უზრუნველყოფის ჟურნალის ანალიზი და მისი მდგომარეობის კონტროლი.
ასე თუ ისე, თანამშრომლების სამუშაო ინფრასტრუქტურასთან უსაფრთხო დაშორებული წვდომისთვის აუცილებელი არაა იყენებდეთ ძვირადღირებულ და რთულ გადაწყვეტებს, განსაკუთრებით დასაწყისში. მთავარი ამოცანაა დისტანციური მუშაობის პირობებში არ ჩაუშვათ ინფორმაციული უსაფრთხოება თავისუფალ ცურვაში და არ მოადუნოთ ყურადღება ამ მიმართულებით.
დაიცავით ჰიგიენა ყოველდღიურ ცხოვრებაში და აქვე არ დაგავიწყდეთ კიბერჰიგიენაც.
