Политики безопасности: программы для удаленного доступа

Кирилл Круглов
Эксперт «Лаборатории Касперского»
опубликовано 19 апр 2013, 16:48 MSK

Опыт многих офицеров информационной безопасности показывает, что лишь малая доля инцидентов происходит в результате тщательно спланированных и очень сложных таргетированных атак, большая же часть инцидентов является результатом отсутствия эффективных мер защиты и контроля. Мы начинаем серию публикаций, посвященных угрозам информационной безопасности, которые связанны с использованием легитимного ПО.

TeamViewer

Чрезвычайно популярные, удобные и полезные инструменты для организации удаленного доступа по достоинству оценили не только системные администраторы и разработчики, но и все, кому хоть раз приходилось срочно подключаться к рабочему компьютеру в ходе деловой поездки, отпуска или из дома. Однако бесконтрольное использование такого ПО создает угрозу безопасности компании и может привести к возникновению инцидентов.
Так, очень распространенное и часто используемое ПО для удаленного доступа – TeamViewer – было использовано для шпионажа в восточной Европе, направленного против как государственных, так и частных компаний. Однако проникновение в корпоративную сеть через ПО для удаленного доступа может быть не только внешней угрозой (хакеры и вредоносное ПО). Не менее опасны в этом случае и внутренние угрозы – бесконтрольное использование удаленного доступа сотрудниками, злонамеренная установка и использование такого ПО инсайдером. Рассмотрим возможные угрозы на примере реальной истории, свидетелями которой стали сотрудники нашей компании.

Проблема. История из практики

В крупной софтверной компании один из сотрудников часто задерживался на работе. Чтобы все успеть, ему приходилось регулярно приезжать на работу и в выходные. Устав от такого режима, он воспользовался советом коллег и установил TeamViewer. Теперь ему не надо было задерживаться на работе и приезжать в офис по выходным - заходя на рабочий компьютер удаленно, он мог работать из дома.
TeamViewer действительно облегчил жизнь сотруднику, но осложнил ее офицеру безопасности той же компании. Через некоторое время офицер безопасности заметил, что в корпоративной сети участились инциденты: антивирус обнаруживает больше вредоносного ПО, чаще происходят попытки неавторизованного доступа к конфиденциальным данным и т.д. Проведя беглый анализ, он выяснил, что основная подозрительная активность приходится на компьютер одного пользователя.
Глубокое антивирусное сканирование подозрительного ПК не выявило никакого вредоносного ПО. Офицер безопасности заподозрил, что кто-то из коллег сотрудника может иметь доступ к его учетной записи и использовать её для маскировки своей преступной деятельности. Однако, проанализировав данные проходной и видеонаблюдения, он убедился, что во время подозрительной активности в офисе никого не было. Оставалась еще одна возможность: присутствие на подозрительной машине недетектируемого бэкдора. Анализ сетевого трафика показал, что временному периоду регистрации инцидентов соответствуют всплески сетевой активности на том же ПК. Хотя трафик, передаваемый через 80 и 443 порты, был зашифрован, удалось установить, что активность была связана с серверами, домены которых имели вид ‘serverXXX.teamviewer.com’.
После осмотра подозрительного ПК на нем был найден работающий сервер TeamViewer. Проведя интервью с сотрудником, служба безопасности выяснила, зачем и как был использован удаленный доступ к корпоративной сети. Вместе с тем, сотрудник заявил, что он не был подключен к корпоративной сети в то время, когда были зарегистрированы инциденты. Анализ домашнего ПК сотрудника показал, что некоторое время назад на нем было обнаружено и удалено шпионское ПО. Сотрудник не придал этому большого значения, т.к. антивирус успешно обезвредил угрозу. Детальный анализ показал, что шпионское ПО было ориентировано на логирование информации, вводимой пользователем с клавиатуры, и копирование областей экрана.
Вывод, сделанный службой ИБ, был таким: шпионское ПО, обнаруженное на домашнем ПК сотрудника, передало злоумышленнику данные, необходимые для доступа к рабочей станции. Воспользовавшись этой информацией, злоумышленник, проникнув в корпоративную сеть, проводил обследование сети, устанавливал вредоносное ПО, искал уязвимости и пытался скопировать файлы с сетевых ресурсов.






К счастью, благодаря оперативной реакции сотрудников ИБ вредоносную деятельность удалось пресечь достаточно быстро, и ущерб, нанесенный злоумышленником, был оценен как незначительный. За несоблюдение политик безопасности компании виновный сотрудник был наказан, а руководитель отдела безопасности потребовал принять срочные меры для предотвращения подобного рода инцидентов в будущем.
Решение
Одним из важных этапов в обработке инцидентов является устранение повлекших его недостатков политики безопасности. Что же в данном случае необходимо сделать офицеру ИБ?
Первичный анализ
Первая задача офицера безопасности в случае обнаружения инцидента - выяснить, является ли инцидент единичным или его повторение возможно на каких-то других ПК в сети. Инвентаризация позволит собрать информацию обо всем ПО, установленном на ПК пользователей, а мониторинг – узнать, как часто сотрудники его используют. Проведя первичный анализ, офицер ИБ получит в том числе общую картину использования в сети ПО для удаленного доступа, узнает, кто и как часто им пользуется.
Контроль сетевого трафика
Одним из источников проблем безопасности является недостаточный контроль подключений к корпоративной сети. Наиболее подходящим инструментом для контроля сетевых подключений является Firewall, а для контроля трафика – IPS. Несмотря на важность мер по контролю периметра корпоративной сети, в условиях, описанных в истории, они оказываются малоэффективными. Так, подключение одного TeamViewer к другому осуществляет через удаленные серверы, а передача данных – зашифрованных HTTP-пакетов – может производиться по 80 и 443 портам. Блокирование всего такого трафика невозможно – это полностью парализует работу пользователей. С другой стороны, блокирование подключений ко всем доменам или IP-адресам серверов TeamViewer – довольно трудоемкая работа, т.к. требует выявления и поддержания в актуальном состоянии списках всех соответствующих доменных имен и IP-адресов.
Контроль приложений
Очевидно, что контроль приложений является подходящим инструментом для снижения рисков проникновения злоумышленника в корпоративную сеть через TeamViewer, так как позволяет предотвратить его бесконтрольное использование.
Используя контроль приложений, офицер ИБ может решить две задачи:
1. Контроль использования TeamViewer.
TeamViewer - удобный инструмент. Например, он позволяет администраторам оказывать помощь пользователям вне зависимости от местонахождения системного администратора. Тем, кому жизненно необходим удаленный доступ, можно разрешить использование TeamViewer или предложить безопасную альтернативу. Остальным же сотрудникам компании необходимо полностью заблокировать возможность запуска любого ПО для удаленного доступа.
На первый взгляд, такое решение кажется сложным – поиск, составление и поддержка в актуальном состоянии полного списка всего ПО для удаленного доступа требует времени и сил. Однако использование контроля приложений в режиме «запрещено все, что не разрешено» исключает необходимость вести и без конца пополнять списки запрещенного ПО.
После исключения тех, кому TeamViewer не нужен, задача офицера ИБ сводится к осуществлению контроля над определенной группой сотрудников, находящихся в зоне риска.

2. Ограничение доступа и возможностей TeamViewer на случай проникновения злоумышленников.
Допустим, сотрудник получил разрешения и права на использование TeamViewer, и злоумышленнику удалось украсть логин и пароль для подключения. Как минимизировать потенциальных ущерб, который может нанести взломщик?
Кроме блокирования, контроль приложений позволяет офицеру безопасности ограничить возможности приложения по средствам использования HIPS политик – например, ограничить доступ к сетевым ресурсам, ограничить права на запуск и загрузку приложений, запретить изменение настроек и т.д. Это позволит максимально ограничить возможности TeamViewer в случае его использования злоумышленником.
Политики безопасности
Несмотря на богатую функциональность TeamViewer, в нем не предусмотрены средства централизованного контроля администратором в корпоративной сети. В TeamViewer заложены некоторые настройки, позволяющие снизить риск проникновения – например, генерация нового пароля для подключения при запуске TeamViewer, возможность ограничения списка ID-клиентов, для которых разрешено подключение, создание VPN соединения между двумя клиентами TeamViewer. Однако решение об использовании тех или иных ограничений принимает сам пользователь. Конечно, администратор может установить и настроить TeamViewer, защитив дальнейшее изменение настроек паролем, но, очевидно, что контроль изменения настроек лишен смысла, когда пользователь может воспользоваться портативной версией, которую он принес на флешке.
Сотрудники компании должны быть знакомы с политиками безопасности. Одна из задач офицера ИБ - регулярно проводить инструктаж персонала и контролировать исполнение существующих политик. Например, пользователям следует:
• запускать TeamViewer с минимальными правами – без возможности повышения привилегий;
• генерировать новый ключ при каждом запуске;
• не использовать TeamViwer без необходимости (не оставлять работающим);
• не хранить и не передавать данные для подключения в открытом виде;
• в случае возникновения подозрений на взлом срочно сообщать об этом в отдел ИБ.
Заключение
С точки зрения информационной безопасности, ПО для организации удаленного доступа представляет собой угрозу нарушения периметра корпоративной сети - как в случае его бесконтрольного использования, так и в случае пренебрежения правилами безопасности при подключении к корпоративной сети извне. При этом активность такого ПО в сети значительно усложняет идентификацию вредоносной активности на фоне легальной. Кроме того, при отсутствии согласования использования ПО для удаленного доступа со службой ИБ, его обнаружение в сети может свидетельствовать об успешном проникновении злоумышленников.
Для снижения рисков возникновения подобных инцидентов следует максимально ограничить использование ПО для удаленного доступа - например, при помощи контроля приложения. В случае, когда использование подобного ПО сотрудниками является частью бизнес-процессов, необходимо максимально ограничить возможности потенциального злоумышленника. Так, использование HIPS политик, запуск с минимальными привилегиями, обязательная доменная, а в лучшем случае - двухфакторная авторизация, помогут снизить риски использования потенциально опасного ПО до приемлемого уровня.
securelist.com