Walka z nieoczywistymi zagrożeniami bezpieczeństwa pracy zdalnej

Wiosną 2020 roku większość rządów i przedsiębiorstw na całym świecie została zmuszona do szybkiego przeniesienia wielu pracowników do pracy zdalnej. Z tego powodu kwestie projektowania nowego systemu bezpieczeństwa informacji zostały odłożone na później. Zamiast tego organizacje wdrożyły najbardziej odpowiednie dostępne wówczas środki ochrony, na przykład firewalle, VPNy i uwierzytelnianie wieloskładnikowe.

Z powodu pośpiechu w budowaniu pracy zdalnej i ograniczonych budżetów wiele pilnych zagrożeń bezpieczeństwa zostało zignorowanych. Z czasem system ochrony informacji oraz jego podstawa dokumentacyjna zostały dopracowane, aby uwzględnić większą liczbę rzeczywistych zagrożeń. Jednakże, atakujący nadal znajdują i wykorzystują luki, aby wyrządzić szkody.

## Zagrożenia dla kont użytkowników

· Przechwytywanie wprowadzonych danych uwierzytelniających

Jednym ze sposobów ochrony informacji podczas organizowania pracy zdalnej, gdy pracownicy używają urządzeń osobistych, jest wirtualizacja miejsc pracy i przeniesienie aplikacji na serwer terminalowy, a następnie całkowita izolacja środowiska.

Rzeczywiście, jeśli na komputerze pracownika zostanie zainstalowane złośliwe oprogramowanie, nie wpłynie to na środowisko pracy ani aplikacje biznesowe.

Jednak nawet jeśli do zdalnego połączenia używane jest alternatywne uwierzytelnianie, w przypadku połączenia z wirtualizowanym stanowiskiem pracy (VDI) i aplikacją terminalową (na przykład poprzez RemoteApp), istnieje duże prawdopodobieństwo, że aplikacja będzie wymagać autoryzacji za pomocą nazwy użytkownika i hasła. W takim przypadku, złośliwe oprogramowanie może przechwycić naciśnięcia klawiszy, zidentyfikować poprawne połączenie login-hasło, a ostatecznie, atakujący będzie mógł uzyskać dostęp do poufnych danych.

Aby złagodzić to zagrożenie, zaleca się stosowanie rozwiązań Single Sign-On (SSO) w połączeniu z rozwiązaniami alternatywnej autentykacji. Rozwiązanie SSO powinno być zainstalowane na stacjach roboczych w biurze, do których pracownik łączy się za pomocą VDI lub na serwerze terminalowym. Ponadto, aby potwierdzić autentykację w aplikacjach korporacyjnych, system będzie wymagał alternatywnego czynnika uwierzytelniającego, po czym SSO samodzielnie dostarczy niezbędne dane uwierzytelniające. W ten sposób, nawet jeśli na stacji roboczej pracownika znajduje się keylogger, wprowadzone loginy i hasła nie mogą zostać przechwycone.

· Klonowanie generatora haseł jednorazowych

Nie trzeba chyba dodawać, że silne metody uwierzytelniania (wieloskładnikowe) znacząco zwiększają odporność na zagrożenia podczas pracy zdalnej. Jednak wszystkie technologie uwierzytelniania mają znaczące różnice zarówno pod względem zastosowania, jak i bezpieczeństwa.

Dzisiejsze popularne metody uwierzytelniania wieloskładnikowego, które używają jednorazowych kodów generowanych na urządzeniu lub wysyłanych w komunikatorach, mają znaczące luki w zabezpieczeniach. Jeśli atakujący uzyska ciągły dostęp do smartfona, może próbować uzyskać podwyższone uprawnienia na smartfonie (jailbreaking dla urządzeń z iOS, root dla Androida). A jeśli atakującemu się to uda, będzie mógł sklonować klucze generatora haseł jednorazowych i skonfigurować je tak, aby wysyłały kody na jego własne urządzenie.

Aby zminimalizować to ryzyko, zaleca się porzucenie haseł jednorazowych i użycie uwierzytelniania push, które jest wyraźnie przypisane do urządzenia i nie będzie działać na urządzeniu atakującego.

## Zagrożenia dla dostępności zasobów korporacyjnych

· Zdalne blokowanie kont użytkowników

Często usługi internetowe są dostępne przez Internet. Na przykład, poczta internetowa może być używana do dostępu do zasobów korporacyjnych.

Czasami nazwa skrzynki pocztowej jest taka sama jak nazwa konta domenowego. Hakerzy mogą próbować odgadnąć hasło, przeprowadzając atak siłowy. Aby zneutralizować to zagrożenie, należy włączyć blokadę konta po kilku nieudanych próbach wprowadzenia hasła.

Jednak atakujący może przeprowadzić atak siłowy na hasła, aby celowo zablokować konto domenowe. Taki atak może sparaliżować niektóre procesy biznesowe.

Aby częściowo zneutralizować to zagrożenie, możesz użyć specjalistycznego rozwiązania do uwierzytelniania dwuskładnikowego (2FA), na przykład haseł jednorazowych. W takim przypadku, nawet jeśli zostanie podjęta próba ataku siłowego, zablokowany zostanie drugi czynnik uwierzytelniający, a nie konto. W ten sposób pracownik zachowa możliwość dostępu do zasobów korporacyjnych, choć tylko przez alternatywne połączenie lub podczas pracy lokalnej.

· Utrata lub awaria nośnika przechowującego klucze bezpieczeństwa

Podczas wykonywania obowiązków służbowych, pracownicy zdalni mogą używać cyfrowych certyfikatów do podpisywania dokumentów, łączenia się z zewnętrznymi usługami internetowymi lub do innych zadań. Jednocześnie, w przypadku utraty lub awarii urządzenia (na przykład pendrive’a, na którym przechowywane są klucze), pojawia się problem jego szybkiej wymiany. Często nie można tego zrealizować w rozsądnym czasie, szczególnie jeśli pracownik znajduje się daleko od biura.

Aby zneutralizować zagrożenie, można użyć specjalistycznych rozwiązań, które implementują wirtualną kartę inteligentną, która nie przechowuje kluczowych informacji na urządzeniu zewnętrznym.

W tym przypadku przechowywanie klucza będzie realizowane w następujący sposób:

1) Po stronie serwera, wszystkie operacje z kluczami są wykonywane na serwerze.

2) Specjalistyczny moduł wewnątrz urządzenia – Trusted Platform Module.

Takie rozwiązania są uważane za mniej bezpieczne niż wymienne nośniki danych z zabezpieczeniami, ale te rozwiązania są najbardziej elastyczne i odpowiednie dla opisanej sytuacji awaryjnej.

Po wymianie klucza, wirtualna karta inteligentna może zostać wyłączona. Dzięki temu, nawet jeśli nośnik klucza zostanie zgubiony lub uszkodzony, nie będzie przestojów w procesach biznesowych firmy.

## Zagrożenia brakiem przypisania działań, które doprowadziły do incydentu

· Spory w przypadku awarii krytycznego zasobu

Zawsze, gdy uprzywilejowani użytkownicy pracują z zasobami IT, istnieje ryzyko błędu ludzkiego. Ich działania same w sobie mogą prowadzić do awarii kluczowego zasobu.

Nawet pracując bezpośrednio na terenie organizacji, może być trudno ustalić, co się stało i kto jest odpowiedzialny za niepowodzenie. W przypadku zdalnego dostępu, sytuacja staje się bardziej skomplikowana. Dochodzenie w takich incydentach nie tylko negatywnie wpływa na środowisko pracy, gdy próbuje się obwiniać niewinną stronę, ale także marnuje dużo czasu na nieproduktywne działania.

Korzystanie z rozwiązań SIEM prawdopodobnie pozwoli Ci dowiedzieć się, kto połączył się z zasobem, ale jest mało prawdopodobne, aby dokładnie określić, kto jest odpowiedzialny w przypadku wielu równoczesnych połączeń. Również ciężko jest ustalić sekwencję działań, która doprowadziła do awarii.

Jednak przy użyciu rozwiązań Privileged Access Management (PAM), wszystkie połączenia uprzywilejowanych użytkowników mogą być rejestrowane w różnych formatach (wideo, tekst, zrzuty ekranu, naciśnięcia klawiszy, przesyłane pliki itp.) Później, korzystając z tych logów, można szybko ustalić, która sekwencja działań doprowadziła do awarii i zidentyfikować osobę odpowiedzialną za incydent.

· Próba uniknięcia odpowiedzialności

Istnieją sytuacje, gdy w firmie działa złośliwy insider. Może on celowo podjąć pewne działania, które mogą prowadzić do awarii lub zakłócenia krytycznego zasobu. Samo zadanie zidentyfikowania odpowiedzialnej osoby nie jest łatwe; jednak, używając rozwiązań PAM, można szybko znaleźć winowajcę.

Kiedy złapany pracownik może powiedzieć, że jego hasło zostało skradzione. Nie jest tajemnicą, że uwierzytelnianie hasłem jest bardzo podatne na różne zagrożenia, a sam fakt ujawnienia często wychodzi na jaw dopiero po incydencie.

Oczywiście, w takiej sytuacji, funkcjonariusze bezpieczeństwa mogą myśleć, że pracownik jest niewinny i że to, co się stało, to po prostu nieszczęśliwy zbieg okoliczności.

Aby zneutralizować to zagrożenie, zaleca się stosowanie 2FA w połączeniu z rozwiązaniem PAM. Jeśli pracownik faktycznie jest złośliwym insiderem, będzie mu trudno uniknąć odpowiedzialności. Jeśli jednak pracownik twierdzi, że nie tylko jego hasło, ale również jego telefon został skradziony, na którym zainstalowany jest generator haseł jednorazowych, zostanie mu zadane logiczne pytanie: “Dlaczego nie powiadomiłeś niezwłocznie służby bezpieczeństwa o tym?”

## Podsumowanie

Biorąc pod uwagę dodatkowe zagrożenia, które pojawiają się podczas pracy zdalnej, należy pamiętać, że zagrożenia dla bezpieczeństwa informacji ewoluują wraz z rozwojem technologii IT. Atakujący dostosowują się i zawsze szukają nowych sposobów, aby zarobić więcej pieniędzy. Dopóki systemy obronne nie zostaną całkowicie przebudowane dla nowych realiów, cyberprzestępcy mogą wykorzystać Twoje stare i nowe słabości dla swoich celów.

Dzisiaj format pracy zdalnej mocno zakorzenił się w naszym życiu i jest nawet regulowany na poziomie państwowym w niektórych krajach. W związku z tym specjaliści od bezpieczeństwa informacji muszą uważnie i bez pośpiechu rozważyć, na ile istniejące systemy ochrony są gotowe stawić czoła współczesnym wyzwaniom cybernetycznym. Nawet musieliśmy zacząć zastanawiać się nad rzeczami, o których nigdy nie myśleliśmy, że będziemy musieli rozważać, takimi jak ryzyko bezpieczeństwa podczas jedzenia na mieście.