Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

На безопасной дистанции. Риски ИБ удаленного офиса

06.04.2020 /
Прочитать позже

    Отправим материал на:

    Компании массово перешли на удаленную работу. Топ-менеджмент стремится минимизировать ущерб для бизнеса и организовать режим удаленного офиса без потери эффективности. Однако, помимо регламента рабочих процессов, следует позаботиться об информационной безопасности. Убедитесь в готовности вашей инфраструктуры и штата к безопасной удаленной работе и скорректируйте недостатки вовремя.

    Вот на что мы рекомендуем обратить внимание:

    Общие риски удаленного доступа

    Домашний компьютер сотрудника — это недоверенная среда. Уровень его защиты с большой долей вероятности ниже, чем у корпоративной техники: причиной может быть старое, неактуальное ПО, отсутствующий антивирус. Даже если сотрудник обеспечен рабочим компьютером, он подключит ее к домашней Wi-Fi сети, которая также является недоверенной средой. Десятки, а то и сотни удаленных компьютеров сложнее контролировать за пределами офиса, особенно если это не корпоративная техника. Поэтому здесь поможет, разве что, здравый смысл сотрудников, отвечающих за свое поведение в Интернете, и мастер-класс по настройке домашнего Wi-Fi от сисадмина. Если есть возможность, предоставьте для домашней техники сотрудников надежное антивирусное ПО.

    Безопасность средств удаленной работы

    Три кита, на которых в данный момент держится деятельность многих компаний:

    • VPN
    • VDI
    • Инструменты конференц-связи

    Обязательно проверьте настройки VPN на наличие ошибок. Таких как, например, некорректная изоляция сети VPN от критичных и технологических сегментов сети. Из-за поспешности перехода на удаленку риск возникновения ошибок увеличился. Проведите тестирование силами внутренних служб ИТ/ИБ или с помощью внешних аудиторов, чтобы выявить и устранить ошибки.

    Внимательно подойдите к выбору решения для удаленного доступа (сделали небольшую подборку). Что касается систем конференц-связи, основной вопрос: нет ли путей нарушения конфиденциальности, простыми словами, смогут ли вас прослушать/просмотреть. (Там же небольшая подборка вариантов в помощь). Что лучше, решать вам: старый-добрый «файлообменник» Skype, а может, функциональный, но дырявый Zoom, о котором сейчас не меньше новостей, чем о COVID-19.

    Атаки социальной инженерии

    Удаленная работа – благодатная почва для атак социальной инженерии, уже появились новости о всплеске e-mail фишинга. Тем более, сейчас у злоумышленников появился козырь – стресс и беспокойство на фоне новостей о вирусе и нестабильной экономической ситуации. Письма от «бухгалтерии» с сообщением об отмене премий или от «администрации города» о введении режима ЧС охотно открываются.

    Это тот случай, когда безопасность во многом зависит от пользователя, а не только от построения ИБ-процессов в компании. Вы можете провести тестовую атаку в качестве тренировки сотрудников с последующим разбором ошибок. Также подробно о социальной инженерии и приемах атакующих мы рассказываем в статье. Прочтите в целях профилактики и поделитесь с коллегами.

    DoS-атаки

    В условиях, когда бизнес-процессы компании протекают удаленно, ущерб от DoS-атак кратно возрастает. В худшем случае, злоумышленник сможет полностью парализовать деятельность компании, атаковав VPN-сервис. Чтобы минимизировать риски, протестируйте систему на устойчивость к DoS-атакам самостоятельно либо с помощью внешних специалистов. Тестирование позволит определить максимально допустимые нагрузки, проверить эффективность средств защиты, выявить и скорректировать недостатки в настройках оборудования.

    Надеемся, рекомендации и материалы из этой статьи будут вам полезны и помогут предупредить возможные риски.

    Команда Digital Security желает вам безопасной и продуктивной удаленной работы!

    Больше интересных статей

    Мы используем куки. Никогда такого не было, объясните

    ОК