Jak zabezpieczyć zdalny dostęp w erze coronavirusa?

Do przeczytania w 1 min.

Share

Wydarzenia których byliśmy świadkami w trakcie ostatniego roku, zmieniły oblicze nie tylko życia społecznego, ale również sposób pracy wielu organizacji, od tych największych na rynku do tych zatrudniających kilka osób.

Nasi klienci stanęli przed nowymi wyzwaniami, z których jednymi z istotniejszych okazały się zapewnienie swoim pracownikom środków do pracy zdalnej, ciągłości działania biznesu oraz w dłuższej perspektywie rozliczaniu efektywności pracy zdalnej. Szczególnie ten drugi aspekt nie był prostym dla działów HR oraz IT, które usiłują dostosować swoje działania do nowej rzeczywistości.

Bez względu na to, kiedy się obecna sytuacja unormuje, jedno zdaje się być pewnym: biznes jak i wspomagające go rozwiązania ICT musiały zmienić podejście do ryzyka i wdrożyć odpowiednie środki aby być gotowymi na przyszłe incydenty tego typu.

W niniejszym dokumencie przedstawiamy ofertę Infradata zarówno w zakresie doraźnej pomocy krótkofalowej jak i na strukturalne podejście do długofalowej optymalnej strategii działania wspomagającego wyzwania związane z bezpiecznym zdalnym dostępem dla pracowników każdej wielkości firmy i organizacji.

Wyzwania dla bezpieczeństwa organizacji

Mimo tego, że nowa sytuacja w ciągu ostatnich miesięcy stała się nową normą, to nadal wiele firm decyduje się na zmianę trybu pracy na bardziej stabilny i niezależny od czynników zewnętrznych. Nagła potrzeba zmiany podejścia w sposobie świadczenia pracy, rzuca na kolana działy bezpieczeństwa oraz IT. Rozwiązania tymczasowe niosą za sobą problemy i podatności bezpieczeństwa zarówno w wymiarze formalnym jak i operacyjnym.

Przykłady problemów, z jakimi borykają się obecnie klienci Infradata:

  • Rozwiązania VPN niewydajne lub brak potrzebnych licencji - brak ciągłości biznesowej
  • Niewystarczające pasmo łącza do sieci Internet - przeciążenie infrastruktury
  • Brak wystarczającej liczby maszyn do pracy zdalnej - przenoszenie komputerów biurowych lub wykorzystanie prywatnych urządzeń

Brak szyfrowania dysków

Brak możliwości sprawdzania bezpieczeństwa na końcówkach

  • Problemy z rozliczalnością oraz monitorowaniem bezpieczeństwa
  • Aplikacje wewnętrzne wystawione na dostęp spoza organizacji
  • Składowanie i dostęp do dokumentów firmowych - realizowany na szybko w chmurze lub za pomocą uproszczeń w architekturze dostępu zdalnego

Brak kontroli nad wyciekiem informacji (DLP risks)

Kopie danych w nieprzewidzianych wcześniej miejscach

Ryzyko naruszenia dyrektyw z kategorii RODO

  • Brak rozwiązań formalnych i duża nieufność do efektywności pracy zdalnej z punktu widzenia działów Human Resources

Brak możliwości efektywnego rozliczania pracy zdalnej

Niewystarczające lub brak środków monitorowania i raportowania

Spadek efektywności pracy

Przepis na sukces w nowej rzeczywistości

Infradata, bazując na doświadczeniach z ostatniego roku, na wyzwaniach jakich doświadczają nasi klienci, proponuje podejście, w którym wyróżniają się dwie istotne fazy.

Pierwsza to pomoc doraźna, którą świadczymy tu i teraz - nazywamy to działaniem ad hoc.

Druga to zastosowanie naszego podejścia strukturalnego, które bazuje na długoletnim doświadczeniu Infradata w projektowaniu systemów oraz rozwiązań bezpieczeństwa dla naszych klientów. W podejściu strukturalnym kluczowym jest zrozumienie potrzeb biznesowych danego klienta i dobranie potrzebnych zmian tak, aby w przyszłości jego organizacja była gotowa na podobne wyzwania.

W podejściu strukturalnym, nasi eksperci wykorzystują zestaw architektur referencyjnych, opracowanych w Infradata i bazujących na połączeniu najlepszych rozwiązań/produktów pochodzących od rynkowych liderów technologicznych, wysiłku integracyjnym naszych ekspertów i specjalistów jak i na zestawie usług zarządzanych w zakresie monitorowania i zarządzania bezpieczeństwem.

Infradata wykorzystuje w swoich architekturach referencyjnych rozwiązania najwyższej klasy producentów takich jak:

Działania ad hoc

Infradata pomaga swoim klientom szybko uzyskać sprawność operacyjną w zakresie masowej pracy zdalnej. W tym zakresie oferujemy:

  • Profesjonalne usługi doradcze w zakresie bezpieczeństwa oraz dostęp do naszych ekspertów, architektów oraz specjalistów od bezpieczeństwa operacyjnego
  • Odciążenie kluczowych technologicznych środków kontroli bezpieczeństwa za pomocą usług chmurowych
  • Rozszerzenie możliwości/wydajności istniejących rozwiązań w zakresie dostarczenia nowych licencji, czasowego zwiększenia możliwości pojemnościowych
  • Usługi wsparcia procesów monitorowania i zarządzania bezpieczeństwem (tzw. Managed Services)

Aby pomóc naszym klientom, pomoc doraźną rozpoczynamy od tzw. audytu wstępnego, który umożliwia przygotowanie oraz wdrożenie optymalnej strategii krótkoterminowej. Audyt ten wykonywany jest przez doświadczonego architekta bezpieczeństwa i zamyka się w kilku dniach roboczych, po których dostępne są rekomendacje i plan dalszego działania.

Usługi secure web gateway (SWG) wspierane przez chmurę

Problem:

W architekturze klienta zidentyfikowano niewydolną usługę typu Secure Web Gateway (SWG), która w dobie kryzysu musiała obsłużyć dodatkową liczbę zapytań pochodzącą od osób pracujących z domu.

Rozwiązanie:

Wdrożenie usługi SWG w chmurze publicznej za pomocą produktu McAfee Web Gateway Cloud Service.
Polityka rozwiązania kierowała nadmiarowe zapytania do chmury odciążając zasoby obliczeniowe i sieciowe centrum obliczeniowego klienta.

Delegowanie zarządzania urządzeniami końcowymi do chmury

Problem:

Przeciążone łącza w centrali klienta. Potrzeba kontroli końcówek roboczych na nową skalę w dobie masowej pracy zdalnej.

Rozwiązanie:

Zastosowanie produktu McAfee WGCS, które odciąża lokalne zasoby i pozwala na błyskawiczną integrację nowego środka kontroli dla końcówek. Możliwość zastosowania 90-dniowej wersji testowej Infoblox BloxOne Threat Defense Cloud pozwala na szybkie uzupełnienie funkcjonalności kontroli końcówek o szyfrowany kanał komunikacji DNS do chmury obliczeniowej Infoblox w celu zatrzymania cyberataków wykorzystujących protokół DNS. Tworzenie dodatkowych instancji aplikacji w chmurze i sterowanie ruchem użytkowników

Problem:

Instancje aplikacji a przede wszystkim łącza w Centrali Klienta nie były przygotowane na dodatkowy ruch od pracowników zdalnych. Obsługa zamówień oraz obieg dokumentów był zagrożony.

Rozwiązanie:

Zastosowanie hybrydowej architektury środowiska aplikacji, gdzie wyniesiono część frontend serwerów do chmury publicznej i powiązano logikę dostępu do aplikacji za pomocą rozwiązań typu global server load balancing oraz federacja uwierzytelnienia. Architekturę rozbudowano w oparciu o programowalne produkty firmy F5 Networks (DNS, APM, LTM, Advanced WAF). Niewydolny system dostępu typu VPN

Problem:

Bramka VPN klienta była niewydolna, wykorzystywała IPSec i dedykowanego klienta VPN. Dużą trudność sprawia skalowanie oraz instalacja dla nowych klientów.

Rozwiązanie:

Wypożyczenie dodatkowych urządzeń klasy ADC F5 Networks, na czas kryzysu oraz dostosowanie konfiguracji polityki VPN do bardziej wydajnej metody szyfrowania oraz uwierzytelnienia.

  • SSL VPN
  • Federacja uwierzytelnienia
  • Dostęp do aplikacji przez portal zamiast dedykowanego klienta VPN
  • Proofpoint Meta jako alternatywne rozwiązanie VPN nie wymagające dodatkowego sprzętu ani oprogramowania.

Podejście Strukturalne

Podejście strukturalne jest odpowiedzią Infradata na pojawienie się nowych klas problemów typu incydenty o zasięgu globalnym. Zakłada ono, predefiniowane podejścia do ryzyka, uwzględniającego nagłe zmiany w trybie pracy i wynikających z tego potrzeb technologicznych. Kluczowym jest zaakceptowanie tej potrzeby oraz rozpoczęcie działań mających na celu niezwłoczne dostosowanie się do nowej sytuacji. Zgodnie z naszymi doświadczeniami oraz z obserwacjami ze strony naszych klientów, problemu tego nie da się przełożyć na dalszy plan. Proces ten powinien być rozpoczęty już teraz, gdy emocje jeszcze nie opadły i mamy szansę na realistyczną ocenę ryzyka, bez efektu odległej historii incydentu.

Środki technologiczne, które to umożliwiają, mają za zadanie zabezpieczenie następujących krytycznych sfer działalności dzisiejszego przedsiębiorstwa/organizacji ery informacyjnej:

  • Ciągłość biznesowa oraz uniezależnienie procesów biznesowych od miejsca ich kontroli
  • Poufność , integralność oraz niezaprzeczalność źródeł danych przetwarzanych przez organizację
  • Skalowalne zasoby technologiczne w zakresie dostępu do aplikacji, systemów, danych
  • Ewolucja polityki bezpieczeństwa w sferach związanych z mobilnością i zmianami w sposobie pracy:

Rozliczalność pracy zdalnej

Identyfikacja i autoryzacja w hybrydowych architekturach

Kontrola dostępu i stanu bezpieczeństwa końcówek na brzegu organizacji

Kontrola przed wyciekiem danych i bezpieczeństwo rozproszonego składowania danych

Infradata oferuje swoim klientom dostęp do światowej klasy specjalistów oraz architektów, wieloletniego doświadczenia zdobytego w wielkich projektach międzynarodowych oraz sprawdzonego modelu opieki utrzymaniowej nad infrastrukturą klienta.

Przykładem działania strukturalnego są następujące rozwiązania, będące efektem potencjalnej analizy i rekomendacji usprawnień dla infrastruktury bezpieczeństwa związanego ze zdalnym dostępem: Federacja uwierzytelnienia dla zdalnego dostępu

Wyzwanie:

Zmiany w architekturze wymagają elastycznego modelu uwierzytelniania i autoryzacji do usług/aplikacji.

Rozwiązanie:

Wykorzystanie produktów F5 Networks oraz dostawcy tokenów do stworzenia pojedynczego punktu uwierzytelniania dostępu do aplikacji Web. Wykorzystane środki technologiczne:

  • SAML/iDP na ADC w chmurze
  • Remote Access poprzez SSL oraz reverse proxy z aplikacjami dostępnymi przez tzw. Webtop

Narzędzia rozliczania pracy zdalnej

Problem:

Działy HR potrzebują narzędzia, które umożliwia ocenę efektywności pracy zdalnej, weryfikację nienaruszania jej reguł oraz funkcjonalności raportowania.

Rozwiązanie:

Wykorzystanie zdolności integracyjnych oraz automatyzacyjnych Infradata w zakresie produktów:

  • programowalności SIEM/SOAR (IBM, McAfee),systemów typu PAM (FUDO Security, WALLIX Bastion),
  • programowalności systemów ADC (F5 Networks),
  • systemów wspomagających kontrolę dostępu,
  • monitorowania w postaci usług zarządzanych SoC (SOC24) do stworzenia rozwiązania umożliwiającego weryfikację aktywności użytkownika w systemach klienta i generowanie raportów/logów.

Usługa Protected Workspace

Problem:

Praca zdalna wymaga dostarczenia każdemu użytkownikowi ustandaryzowanego oraz bezpiecznego obszaru roboczego. Sposób realizacji musi uwzględniać ryzyko związane z czasowym całkowitym wyniesieniem prac większości użytkowników na zewnątrz (Home Office )

Rozwiązanie:

Wykorzystanie usług wirtualnych desktopów (VDI) co umożliwi m.in.:

  • Ustandaryzowane pracy zdalnej; dla użytkownika praca zdalna i praca z biura będą realizowane w taki sam sposób – dzięki proces przejścia na home office odbywa się bez dodatkowych przestojów
  • Zasoby VDI są chronione w sposób spójny i jednolity (AntyMalware, IPS, Mikrosegmentacja, DLP i wiele innych, które nie są trywialne do zarządzania w dużej skali fizycznych urządzeń końcowych)
  • Uproszczona realizacja zdalnego dostępu oraz ochrony danych.
  • Czynności IT na stacjach/laptopach użytkowników ograniczone do minimum.
  • Integracja z systemami klasy Application Delivery Controller oraz SSL VPN dla zapewniania niezawodnego dostarczania aplikacji, wirtualnych desktopów, bezpiecznego dostępu z pojedynczym logowaniem (SSO) i wieloskładnikowym potwierdzeniem tożsamości (MFA) oraz właściwego monitorowania oraz rozliczania czasu pracy użytkownika zdalnego.


Problem:

Zapewnienie dostępu zdalnego z mobilnych urządzeń użytkowników bez przejmowania pełnej kontroli nad urządzeniami mobilnymi niebędącymi własnością firmy a jednak z pełną kontrolą i bezpieczeństwem obszaru pracy służbowej.

Rozwiązanie:

Wykorzystanie technologii zdalnego dostępu Pulse Secure SSLVPN oraz kontenerów na urządzeniach mobilnych PulseSecure Workspace:

  • Użytkownicy otrzymują ustandaryzowaną przestrzeń pracy i wymiany w obrębie własnego urządzenia mobilnego
  • Czynności IT na urządzeniach użytkowników ograniczone do minimum.
  • Pełna kontrola nad przestrzenią firmową przez IT organizacji.
  • Rozdzielenie przestrzeni służbowej oraz prywatnej – pełna ochrona przestrzeni służbowej, brak możliwości „przenikania się” przestrzeni.

Ochrona aplikacji Web przez zagrożeniami typu fraud

Wyzwanie:

Wystawienie aplikacji w modelu chmury publicznej niesie ze sobą ryzyka w zakresie bezpiecznego uwierzytelnienia jak i zagrożeń typu fraud na końcówkach roboczych (praca zdalna i niepewne środowisko uruchomieniowe)

Rozwiązanie:

Zastosowanie rozwiązania ADC (F5 Networks), do realizacji federacji uwierzytelnienia za pomocą SAML oraz wykorzystanie funkcjonalności full proxy do nałożenia warstwy bezpieczeństwa w postaci Advanced WAF z modułem WebSafe. Dobór środków kontroli pozwala na obronę przed atakami man-in-the-browser, phishingiem oraz dodaje dodatkową warstwę szyfrowania i obfuskacji dla danych przesyłanych przez formularze aplikacji Web.

Ochrona treści na zdalnych stanowiskach pracy

Problem:

Brak środków kontroli dla danych opuszczających organizację w celu składowania w lokalizacjach zdalnych lub używania w mechanizmach tymczasowych stosowanych w celu zapewnienia awaryjnej pracy zdalnej.

Rozwiązanie:

Zastosowanie elastycznego rozwiązania dla oznaczania klasy poufności danych Greenmod, które uzupełnia pliki z danymi o odpowiednie metadane.
Wykorzystanie technologii takich jak ADC (Application Delivery Controller) lub odpowiednich produktów klasy NGFW (Fortinet) w celu nałożenia polityki DLP (Data Leakage Protection) na granicy obszarów infrastruktury do tej pory nie objętych taką kontrolą.

Polityka, a raczej jej środki kontroli na tych urządzeniach poszukują metadanych i reagują odpowiednio na próby transferu danych poza wyznaczone strefy. Podejście strukturalne wiąże się z zaangażowaniem dedykowanego zespołu ze strony Infradata, w skład którego wchodzi project manager, architekt bezpieczeństwa systemów ICT oraz zespół specjalistów domenowych w dobieranych w zależności od skali zaangażowania. Współpraca z nami rozpoczyna się od analizy środowiska klienta oraz od wspólnych warsztatów na których ustalane jest dalszy rozwój wydarzeń.

Zapisz się do naszego newslettera

Otrzymuj najnowsze wiadomości na temat bezpieczeństwa, spostrzeżenia i trendy rynkowe do swojej skrzynki pocztowej.

Updates

Więcej aktualizacji