Как выполнить рекомендации НКЦКИ и решить задачу безопасного доступа через внешние каналы

В конце февраля Национальный координационный центр по компьютерным инцидентам (НКЦКИ) представил рекомендации по снижению рисков информационной безопасности при работе с подрядчиками. Обязательной мерой стало внедрение двухфакторной аутентификации (2FA) при удаленном подключении к инфраструктуре компаний​.

Рост атак через подрядчиков

Атаки на инфраструктуру, при которых целью злоумышленников становится не сама компания, а ее поставщики или партнеры, остаются одними из основных рисков для организаций любых отраслей и масштаба. За последние несколько лет в России произошло кратное увеличение таких инцидентов. А в 2024 году, по данным НКЦКИ, компрометация корпоративных систем через доверенные каналы с подрядчиками стала для российских предприятий наиболее частой среди других возможных угроз.

Злоумышленникам оказалось проще и быстрее проникнуть в инфраструктуру жертвы через незащищенных контрагентов. Наличие у подрядчиков широких полномочий по удаленному доступу к ИТ-системам своих клиентов, с одной стороны, призвано создать удобства, сэкономить ресурсы и время при решении различных бизнес-задач. Но вместе с тем присутствие в сетевом периметре пользователей с расширенными или неконтролируемыми полномочиями увеличивает риски несанкционированного доступа с последующей реализацией цепочки атак. Так, например, компрометация учетных данных одной компании может открыть доступ к ИТ-системам десятков клиентов этой компании. Человеческий фактор, слабая парольная политика, отсутствие разграничений прав доступа и надежных механизмов аутентификации остаются самым уязвимым местом в системе безопасности компаний.

НКЦКИ: Обязательная двухфакторная аутентификация

Включение двухфакторной аутентификации (2FA) – важнейшее требование НКЦКИ и

и приоритетная мера безопасности для минимизации риска атак через подрядчиков. Из документа, опубликованного Национальным координационным центром, следует, что компании должны в обязательном порядке применять 2FA-технологии для всех информационных ресурсов, где возможно взаимодействие через внешние доверенные каналы.

Двухфакторная аутентификация – это наиболее часто используемый вид многофакторной аутентификации. Когда при доступе к учетным записям включена как минимум 2FA, скомпрометировать их становится намного сложнее за счет дополнительного уровня защиты. И если даже злоумышленник смог получить логин или пароль от учетной записи, пройти еще один фактор верификации ему будет крайне сложно. В качестве дополнительного фактора могут использоваться аппаратные или программные токены, биометрия, мобильные приложения для аутентификации или вход по одноразовому паролю (англ. one-time password, OTP): коду из смс, мессенджеров, электронной почты или push-уведомление, поступающее на мобильное устройство. Чтобы выбрать наиболее подходящий способ, компаниям при включении двухфакторной аутентификации необходимо учитывать следующие аспекты:

• сценарий доступа (локальный или удаленный доступ)
• используемое устройство (компьютер или смартфон)
• целевой ресурс (корпоративное приложение или публичный веб-сервис)
• полномочия и возможности пользователя

Так, например, при организации защиты доступа корпоративной сети при удаленных подключениях (VPN, VDI, RDP, SSH) со стороны сотрудников или внешних исполнителей оптимальным способом подтверждения подлинности пользователей является использование аутентификации по имени и паролю с дополнительным указанием одноразового кода.

При этом крайне важно, чтобы выбранная технология аутентификации отвечала потребностями организации в области ИБ. Одноразовые пароли обеспечивают достаточный уровень защиты для большинства сценариев. Но организация может быть вынуждена применять иные технологии для соответствия требованиям регуляторов или отраслевых стандартов.

Кроме этого, нужно учесть, насколько конечным пользователям, в зависимости от их бизнес-задач будет комфортно применять тот или иной способ. В частности, доступ к рабочему столу с генерацией и использованием одноразовых паролей может быть неудобен, если вход в систему потребуется много раз в течение рабочего дня.

Это лишь некоторые критерии, которые нужно учесть при выборе методов двухфакторной аутентификации. Чтобы принять оптимальное решение, важно изучить и оценить конкретные потребности каждой компании и особенности организации ее информационных систем.

Роль PAM-систем для минимизации атак через подрядчиков

В соответствии с требованиями НКЦКИ и регулирующих органов, программные продукты, реализующие 2FA-технологии, должны быть российской разработкой и входить в Единый реестр отечественного ПО.

Сегодня на нашем рынке присутствуют множество различных классов продуктов со встроенными механизмами многофакторной аутентификации. Но когда речь заходит о предоставлении расширенных прав доступа к корпоративной сети пользователям со стороны внешних организаций,общепризнанным и наиболее эффективным подходом является применение специализированных продуктов класса PAM (Privileged Access Management).

Современные PAM-системы включают множество функций, которые позволяют исключить возможность доступа пользователей с расширенными правами в обход системы и предотвратить несанкционированное использование привилегий.

Контроль привилегированных учетных записей обеспечивается за счет применения строгих политик безопасности и технологий усиленной и многофакторной аутентификации (MFA) как при удаленном, так и при локальном подключении пользователей. Важным преимуществом решений PAM является возможность добавить дополнительный фактор для аутентификации в даже в таких системах, в которых архитектурно многофакторная аутентификация невозможна. Кроме этого, функциональность развитых PAM-продуктов обеспечивает также сквозную аутентификацию, ротацию паролей и их хранение в зашифрованном виде.

Все действия привилегированных пользователей, в том числе и информация о прохождении MFA, записываются и фиксируются в журналах событий для мониторинга и аудита. Это является важнейшим инструментом для последующего анализа и проведения расследований инцидентов.

Благодаря принципу минимальных привилегий (концепция нулевого доверия, Zero Trust) пользователи могут получить доступ только к тем системам, которые необходимы им для выполнения работы. При этом возможность гибко настраивать правила доступа сотрудников и подрядчиков к целевым ресурсам также ограничивают возможности злоумышленников для выполнения потенциально опасных действий.

***

Управление привилегированным доступом и применение многофакторной аутентификации являются критичными функциями безопасности для каждой организации. От того насколько компании надежно выстраивают защиту доступа к учетным данным зависит их «выживаемость» и эффективность в мире постоянно растущих и совершенствующихся угроз.

Автор: Илья Моисеев, руководитель продукта Indeed PAM в компании «Индид».