Manažer bezpečnosti: Nebezpečné domovy zaměstnanců

19. 8. 2013

Sdílet

 Autor: © Vladislav Kochelaevs - Fotolia.com
Rozmohl se u nás neoprávněný přístup k firemní síti z domácích počítačů – a zjistili jsme to jen náhodou.

Trouble Ticket
Co řešit: Když byly hardwarové tokeny při dvoufaktorové autentizaci nahrazeny softwarovými, má do korporátní sítě přístup mnoho počítačů, které nejsou součástí firemní sítě.
Akční plán: Ustanovit pravidla pro vzdálený přístup bez jakýchkoliv výjimek.

Nedávno jsme nasadili softwarové autentizační tokeny RSA SecurID, které jsou náhradou za hardwarové tokeny využívané pro zajištění silné autentizace vzdáleného přístupu přes klienta VPN.

Hardwarové zařízení jsou pro dvoufaktorovou autentizaci v mnoha ohledech bezpečnější (ale ne ve všech směrech, jak uvidíte), ale ty na softwarové bázi mohou být použity i v přenosných zařízeních, jako jsou mobilní telefony, jsou také mnohem levnější a lze je rychleji a snáze nasadit.

A co víc, když už uživatel nepotřebuje přístup, je mnohem jednodušší zakázat softwarový token, který dosud používal, než od něj zpětně vyžadovat hardwarový token, zvláště pokud je odněkud z Číny, Ruska nebo Indie.

Samozřejmě RSA v minulém roce utrpěla notoricky známé narušení bezpečnosti, ale poté, co jsem se seznámil s podrobnostmi, považuji jejich technologie i nadále za bezpečné.

Výhody softwarových tokenů?
Implementace softwarového tokenu může být zajímavá, protože máte šanci dozvědět se některé děsivé praktiky, které se děly bez vašeho vědomí.

Jakmile například zaměstnanci dostali zprávu, že jejich hardwarové tokeny již nebudou funkční, někteří z nich začali požadovat instalaci softwarových tokenů do svých domácích počítačů PC a Mac.

Z toho je zřejmé, že výhodu přenositelnosti hardwarových tokenů využívali pro libovolný počítač. Náš VPN klient umožňuje plný přístup k síti, což v kombinaci s chybějícími komponentami NAC (Network Admissions Control) znamenalo, že máme v naší síti neznámý počet nefiremních počítačů.

Samozřejmě že nemohu ručit za integritu kteréhokoli z těchto cizích strojů. Domácí počítače jsou často používány i rodinnými příslušníky či dalšími osobami a kdokoli z nich na ně mohl nainstalovat nedůvěryhodné aplikace, kliknout na věci, na které by neměl, a tím nakonec naši interní produkční síť nakazit.

Také se obávám o ochranu duševního vlastnictví, což je moje hlavní zodpovědnost. Můžeme bez problému kontrolovat obsah libovolného zařízení, které jsme našim zaměstnancům vydali, ale nemáme žádné právo pro revizi osobních zařízení, a to i v případě, že jsou do naší sítě připojena.

Kromě toho jsou v některých státech a zemích velmi neurčité zákony ohledně možnosti monitorovat aktivity, když zaměstnanec využívá osobní zařízení. Pokud by takový pracovník opustil společnost, mohlo by naše duševní vlastnictví snadno zmizet i s ním.

Jako dobrý příklad také může posloužit riziko problémů spojené s dodržováním licenčních podmínek.

Aktivní linka technické podpory
Zatímco naši zaměstnanci si nemusí být úplně vědomi toho, že by se neměli připojovat do sítě ze svých vlastních počítačů, personál naší linky technické podpory by to vědět měl, že?

Pravdou ale je, že dokonce pomáhalifiremním zaměstnancům nainstalovat klienta VPN do jejich domácích počítačů.

Abych si tuto skutečnost ověřil, zavolal jsem na linku technické podpory s urgentním požadavkem pro přístup ze svého domácího počítače. Poslali mi plného VPN klienta a podrobně mi poradili s instalací na mém přístroji.

Po této zkušenosti jsem zkontroloval, co v posledních týdnech tato linka podpory dělala, a zjistil jsem, že technici také pomohli s instalací VPN klientů do počítačů v kioscích veřejného internetu či v hotelových lobby.

To už nesmělo pokračovat. Pokud zaměstnanec potřebuje přístup do naší sítě z domova nebo jiného vzdáleného místa, musí naše společnost takovému pracovníkovi vydat notebook.

V mnoha případech již takové zařízení má a je jen příliš líný nosit si ho domů nebo upřednostňuje používání počítačů Mac.

Dokud však nenasadíme bezpečnější metodu vzdáleného přístupu, jako je prostředí virtuálního desktopu nebo izolovaného prostoru VPN, budu takové druhy výjimek zakazovat.


Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.


 

bitcoin_skoleni

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.