Как эффективно построить систему контроля удалённой работы сотрудников

Для обеспечения удаленного доступа специалистов к ресурсам компании открывают большое число новых портов, редактируют правила межсетевых экранов. Если раньше они блокировали подключение за пределами доверенных зон, то теперь разрешают. В результате службе ИБ зачастую сложно отличить легитимное подключение сотрудника к ресурсам компании от несанкционированного подключения других пользователей или систем.

Дистанционный формат работы при неподготовленной к этому инфраструктуре четко показывает все возможные уязвимости, больше нет контролируемого периметра, выстроенного внутри компании. Доступ к информационным ресурсам теперь возможен откуда угодно. Причем это не зависит от сферы деятельности компании — производство, финансы или госструктура, все оказываются в одном положении. Личные устройства, как правило, не защищены и не подконтрольны службе информационной безопасности.

Еще один риск, требующий отслеживания качества дистанционной работы персонала, связан с тем, что в домашней обстановке — вне офиса — люди чувствуют себя более расслабленно и способны не только саботировать рабочие процессы, но и передавать конфиденциальные данные третьим лицам с целью личного обогащения.

Невнимательность персонала также может привести к удалению конфиденциальной информации без возможности восстановления в условиях дистанционной работы.

Так как доступ к корпоративной сети нередко производится с личного компьютера, в эту сеть могут добраться злоумышленники из-за неосторожности или халатности специалиста.

Отследить все действия сотрудников в ручном режиме невозможно, особенно если речь не о маленькой компании из 5 человек, а о крупной организации. Требуются специализированные системы информационной безопасности, которые дадут возможность отслеживать все запросы к данным и аномалии в трафике компании.

Для отслеживания действий персонала применяются разные методы и программы. Чтобы решения по защите от утечек были более эффективными, необходимо настроить надежный VPN-доступ к корпоративным ресурсам. Во многих компаниях одной из систем защиты информации является DLP - система, которая обеспечивает защиту от несанкционированных действий пользователей, но в формате удаленной работы только DLP-системы будет недостаточно.

К сожалению, не все сотрудники подключаются через VPN к своему рабочему ПК. Чаще всего подключение идет напрямую с домашнего ноутбука, без учета требований безопасности. Можно, конечно, установить агенты на частные ПК, но это практически нереализуемо как технически, так и этически.

Для большей эффективности можно сместить акцент с удаленного контроля рабочих мест специалистов на защиту кластеров хранения важной корпоративной информации, а также на сетевое оборудование, которому угрожают атаки.

Одним из таких методов является использование DLP-систем. Но эти решения сработают только в том случае, если на компьютере пользователя установлено агентское ПО. Эта проблема отчасти решается при выдаче корпоративной техники при переходе на удаленку.

Оптимальный способ — использование сервиса для контроля работы специалистов, который непрерывно осуществляет мониторинг обращения к базам данных, проверяет на легитимность доступ к информации, и в случае подозрительных запросов передает сигнал в службу безопасности или автоматически блокирует доступ.

Именно такое решение представляет собой АПК «Гарда БД». Система непрерывно осуществляет мониторинг обращений пользователей к базам данных и веб-приложениям, блокируя несанкционированный доступ к конфиденциальной информации. В условиях дистанционной работы именно это решение оказалось наиболее востребованным для защиты информации вне зависимости от точки входа кого-либо из специалистов в корпоративную сеть.

Еще один немаловажный фактор контроля для службы безопасности — это возможность видеть, что в реальном времени происходит во всех сегментах сети, нет ли атак, вирусных заражений шифровальщиками, попыток внешних вторжений, SQL-инъекций, аномалий трафика на незакрытом порту и пр. неприятностей. То есть, надзор за всем, что происходит в сетевой инфраструктуре компании независимо от удаленности филиалов и непосредственно сотрудников.

Рассмотрим на примере решений “Гарда Технологии”, как осуществляется контроль и хранение важной бизнес-информации и общего сетевого обмена данными как внутри компаний, так и снаружи.

Система класса Network Traffic Analysis (NTA) «Гарда Монитор» для анализа сетевого трафика позволяет обнаружить факты подключения ко всем сетевым ресурсам как сети, так и за ее пределами. Решение позволяет видеть все события, происходящие в сети компании и осуществлять контроль работы сотрудников. Это позволяет офицерам ИБ служб в автоматическом режиме детектировать, в каких сегментах сети и к каким бизнес-процессам появляются новые подключения, и быстро оценить их легитимность.

Отслеживание действий лиц, работающих на удаленке, включает мониторинг доступа корпоративных ресурсов на уровне данных. Система для защиты баз данных и веб-приложений «Гарда БД» позволяет контролировать действия привилегированных пользователей и контрагентов. Служба безопасности видит все запросы и ответы к корпоративным базам данных и веб-приложениям в режиме онлайн и сможет вовремя предотвратить утечку или подмену критической информации.

• рис. 1 | АПК «Гарда Монитор» отображает подключения к рабочим ПК через подключение к удаленному рабочему столу.

• рис. 2 | Администратор в реальном времени видит подключения через VPN.

В этом случае IP-адресом получателя будет адрес VPN-шлюза. Так можно увидеть нелегитимное подключение к серверам из внутренней сети в обход ИТ-политик.

При глобальном переходе на удаленку растет нагрузка на серверную инфраструктуру компании. Число сессий и объемы трафика растут в десятки раз до пиковой нагрузки.

Слабой DDoS-атаки может быть достаточно, чтобы обрушить доступ корпоративной сети извне. «Гарда Монитор» выявляет атаки по первым признакам и сигнализирует службе ИБ.

Для контроля удаленных сотрудников применяются методы и программы от «Гарда Технологии» по защите баз данных, а также веб-приложений и системы контроля сетевых инцидентов на всех сегментах сет. Это позволяет в реальном времени выявлять попытки несанкционированного доступа и нивелировать утечки конфиденциальной информации как со стороны персонала, так и извне.