Osm tipů pro zabezpečení vzdáleného přístupu k systémům v roce 2022

10. 2. 2022

Sdílet

 Autor: Depositphotos
Roky zavedený způsob práce se dramaticky proměňuje, což ale krom benefitů firmám přináší i další vrásky spojené se zvýšeným rizikem kompromitace dat a systémů. V tomto článku se zaměříme na osm osvědčených technik pro zabezpečení vzdáleného přístupu k firemním systémům.

Poslední dva roky ukázaly, že práce na dálku nejen nesnižuje produktivitu, ale i přispívá ke spokojenosti zaměstnanců. Podle průzkumu společnosti Owl Labs proto až 89 % evropských společností plánuje v post-covidové době přejít na hybridní pracovní model, kdy část týdne zaměstnanci “sedí” v kanceláři a zbytek odpracují odkudkoliv, kde je jim to milé.

Co se dozvíte v článku
  1. 1. Vyztužte kontrolu přístupu pomocí 2FA a MFA 
  2. 2. Skryjte své systémy před veřejností pomocí IP whitelistingu
  3. 3. Logujte aktivitu uživatelů
  4.  4. Adoptujte přístup k síti na principu zero-trust
  5. 5. Zabezpečte všechna zařízení a spojení vzdálených uživatelů
  6. 6. Citlivá data pravidelně zálohujte
  7. 7. Šifrujte veškerou komunikaci, jak na síťové, tak aplikační úrovni
  8. 8. Vyžadujte používání silných hesel a password manageru

Problém může být v tom, že to lidé pořád nemusí být úplně připraveni. Téměř tři čtvrtiny respondentů (73 %) z průzkumu Salesforce Index digitálních dovedností se totiž necítí být schopny plně si osvojit digitální dovednosti, které podniky potřebují už nyní, a ještě více (76 %) se jich necítí být připraveno na budoucnost práce.

Připraven by ale měl být alespoň každý podnik. Proto tady máme tipy na to, jak zabezpečit vzdálený přístup do firemních systémů.

1. Vyztužte kontrolu přístupu pomocí 2FA a MFA 

Pokud svým uživatelům umožňujete vzdálený přístup k firemním zdrojům (sítím, systémům, datům), je třeba silnější ochrany proti neautorizovanému přístupu než klasický login username/password. Využití hesel jako jediného způsobu autentizace uživatelů je dnes přežitý koncept. I díky čím dál sofistikovanějším hrozbám, obřím kauzám spojených s úniky dat a často chabou správou hesel, resp. nepoučitelným uživatelům.

Útoky s cílem získat citlivé údaje jsou přitom jednou z nejběžnějších, ale zároveň i nejnebezpečnějších forem online zločinu. Jedno uniklé heslo může v dnešní propojené době ohrozit fungování celého IT prostředí.

Dvoufaktorová autentizace pomocí privátní textové zprávy nebo emailového kódu by dnes měla být základ. Překvapí proto, že v některých firmách a nástrojích stále není vynucována (viz hack Colonial Pipeline). Ještě lepší ochranu pak nabízí multifaktorová autentifikace, která nad 2FA vyžaduje ještě další důkaz o identitě uživatele. Obvykle k úspěšné autentifikaci vyžaduje něco, co uživatel zná (heslo, pin, bezpečnostní otázka atp.), něco co uživatel vlastní (smartphone, token, certifikát) a nějakou vlastnost uživatele (otisk prstu, rozpoznání hlasu nebo obličeje).

Využíváte už ve firmě autonomní agenty postavené na bázi umělé inteligence?

2. Skryjte své systémy před veřejností pomocí IP whitelistingu

Firemní síť už dnes typicky “nesedí” v jedné lokaci. Rozprostírá se napříč pobočkami, privátními a veřejnými cloudy, domovy uživatelů, různými zařízeními. A samozřejmě zahrnuje i veřejný internet, který vše propojuje (pokud si tedy nemůžete dovolit MPLS nebo SDWAN spojení). Počet bodů v takové síti, kde se útočníci mohou pokusit zcizit osobní údaje, případně použít jiné techniky pro infiltraci kritických systémů, je enormní.

Best practice pro snížení rizika kompromitace je proto nevystavovat systémy každému, ale jen těm, kteří s nimi skutečně pracují. IP whitelisting je poměrně jednoduchá, ale zároveň velmi praktická technika, jak toho docílit. Její podstatou je umožnění přístupu ke konkrétním sítím, systémům jen důvěryhodným IP adresám.

K tomu je ale potřeba statická IP adresa, což nemusí být běžná výbava každé, zvláště pak menší firmy. Navíc je technicky, ale i ekonomicky komplikované přidělit každému uživateli statickou IP, zvlášť pokud má organizace desítky a stovky zaměstnanců.

Řešením může být například využití cloudové VPN pro firmy s dedikovanou statickou IP adresou, kterou mezi vzdálené uživatele a své systémy postavíte. Uživatel se v tomto případě nejdříve autorizuje na VPN bráně a následně se již pod statickou IP adresou připojuje k systémům. Přístupy byste přitom měli řídit na principu zero-trust (viz bod 4) a neotvírat po autorizaci na VPN bráně uživatelům celou síť, ale jen vybrané systémy, které k práci potřebují.

Výsledkem použití IP whitelistingu je, že jsou firemní systémy na veřejném internetu nedetekovatelné a připojit se k nim mohou jen uživatelé s předem známou, povolenou IP adresou. Ať už se připojují odkudkoliv. Takové nastavení pak také snižuje riziko síťových útoků.

Chcete dostávat do mailu týdenní přehled článků z Computerworldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.

3. Logujte aktivitu uživatelů

Každý, kdo spravuje osobní a jiné citlivé údaje, má odpovědnost zajistit ochranu proti jejich zcizení a zneužití (nařízení GDPR definuje tuto roli termínem Data Controller). Zároveň má zákonnou povinnost znát a uchovávat záznamy o tom, kdo k takovým datům přistupuje pro případné prokázání, že k nim bylo přistoupeno z legitimního důvodu.

Monitoring a zaznamenávání (logování) aktivity uživatelů nicméně má i praktičtější důsledky, než je zajištění souladu s předpisy. A nejde o sledování, zda uživatel sedí u práce vytyčený počet hodin nebo jestli si nekrátí čas na YouTube. Pokud zaměstnanci přistupují k interním zdrojům a systémům z mnoha míst a zařízení, je viditelnost do síťové komunikace a historie jejich přístupů naprosto nezbytná. V případě úspěšného prolomení bezpečnosti díky tomu lze:

  • identifikovat původce a vstupní bod,
  • trasovat postup útočníka, zjistit, které systémy a data byly kompromitovány,
  • mitigovat případné škody,
  • a především zabránit podobnému scénáři v budoucnu.

 4. Adoptujte přístup k síti na principu zero-trust

V době, kdy se uživatelé připojují z různých míst a zařízení, nabývá na důležitosti řízení přístupu na bázi zero-trust. Zero-trust přístup (zero-trust network access) nahrazuje implicitní důvěru v legitimitu uživatelských připojení tzv. nulovou důvěrou. Cílem je jednak silný autentizační mechanismus a zároveň, aby měl uživatel přístup jen ke konkrétním zdrojům a systémům, se kterými má oprávnění pracovat. Před každou relací musí navíc vždy prokázat svoji identitu.

Pokud například otevřete své úložiště s finančními dokumenty všem lidem z firmy, jen tím zvyšujete počet potenciálně zranitelných bodů. Zvláště, pokud uživatelé cestují, využívají různá zařízení a připojují se k interním zdrojům ze sítí mimo firemní kontrolu (home office, kavárna, hotel apod.).

S využitím zero-trust principu lze přístup segmentovat například podle týmu, systému, aplikace nebo IP adresy. Tak jako tak vždy v centru bezpečnosti stojí uživatel a jeho identita, což je dnes o mnoho praktičtější způsob ochrany firemního prostředí než neustálé rozšiřování bezpečného perimetru.

V důsledku tak nejen lépe zabezpečíte své prostředí před neautorizovaným přístupem, ale pokud již dojde k úspěšnému prolomení bezpečnosti, omezíte šíření hrozby.

5. Zabezpečte všechna zařízení a spojení vzdálených uživatelů

„Remote“ je dnes poměrně standardním způsobem práce a jeho podpora ve firmách je postavena na dvou faktorech. Zaprvé musí být zajištěna ochrana firemních dat. Zadruhé musí mít uživatelé komfort při své práci. K tomu je potřeba:

  1. Vytvořit bezpečné šifrované spojení mezi uživatelem a požadovanou stranou (síť, cloud, datacentrum ad.). Toho lze docílit pomocí protokolů IKEv2, OpenVPN nebo IPsec. Nicméně vybudování takových tunelů vyžaduje kromě času a finančních zdrojů i značné technické dovednosti. Lze si ale také pronajmout cloudovou infrastrukturu od VPN vendora.
  2. Aplikovat best practices a zajistit, že uživatelé mají na svých zařízeních nainstalovaný a aktualizovaný antivirus.
  3. Využít další vrstvu ochrany komunikace uživatelů proti nežádoucím doménám a phishingu pomocí filtrování DNS. DNS filtering můžete nastavit například na firewallu (vytvořit list nežádoucích domén), využít specializované služby třetí strany nebo opět využít cloudovou VPN s funkcí filtrování DNS, která komunikaci s nežádoucími doménami automaticky blokuje.

6. Citlivá data pravidelně zálohujte

Zálohování na seznam best practices pro ochranu vzdáleného přístupu rozhodně patří, i když se přímo nejedná o techniku zvyšující zabezpečení spojení. Nicméně, mít plán pro případ úspěšného prolomení bezpečnostních opatření je z hlediska fungování firmy klíčové. Nikdy nevíte, kdy se uživatel stane obětí phishingu a útočník získá přístup k cenným datům.

Mějte vždy po ruce záložní kopii pro případ, kdy dojde ke kompromitaci, poškození nebo ztrátě primárních dat a bude třeba jejich obnova. Pravidelné zálohování minimalizuje dopad ztráty dat spojený s obnovou z neaktuální kopie.

Samozřejmostí by mělo být skladování záloh na datovém úložišti v oddělené lokaci. Na trhu je k dispozici řada řešení od klasického zálohování na serverovou storage po zálohování do cloudu.

Správná strategie zálohování umožňuje rychle obnovit původní stav a zajistit tak kontinuitu firmy (business continuity). Bez ní strávíte týdny získáváním svých dat zpět, pokud to vůbec půjde.

7. Šifrujte veškerou komunikaci, jak na síťové, tak aplikační úrovni

Šifrování na aplikační úrovni (https) pomocí aplikace je dnes na internetu široce přijímáno i vyžadováno díky své účinnosti a relativní jednoduchosti nasazení.

Pokud poskytujete IT služby nebo vlastníte doménu, validita příslušného SSL certifikátu (běžně lze použít i důvěryhodné open-sourcové certifikační autority, jako je například Let’s Encrypt) je z hlediska bezpečnosti “must have”.

Tento přístup zajistí zašifrování obsahu komunikace. Pro větší důslednost je třeba aplikační šifrování kombinovat s šifrováním na síťové úrovni, které skrývá i TCP informace. Chrání tak například informace obsažené v DNS záznamech a zároveň brání odposlouchávání a zneužití serverové komunikace.

Implementaci šifrování na síťové úrovni lze opět zajistit cloudovou VPN určenou pro firemní užití. Ta vytvoří šifrovaný tunel mezi dvěma body, identifikovanými například IP adresou. Takový scénář je vhodný pro zajištění síťové bezpečnosti, kde je potřeba vysoké rychlosti přenosu dat a nízké latence.

Kombinace obou přístupů zajistí soukromí obsahu komunikace mezi odesílatelem a příjemcem a zároveň skryje identitu obou komunikujících stran na veřejném internetu.

8. Vyžadujte používání silných hesel a password manageru

Přestože by hesla neměla být hlavním autentizačním prvkem, ale pouze součástí pokročilejších technik jako 2FA a MFA, je důležité jim věnovat pozornost. Heslo by mělo být unikátní, dlouhé, obsahovat mix různých znaků a být odolné proti útokům hrubou silou, jako jsou slovníkové útoky.

bitcoin_skoleni

Pro člověka je ale přirozeně složité takové heslo vytvořit, a ještě složitější si jej zapamatovat a případně i pravidelně měnit dle firemních politik. Alternativu tak nabízí náhodné generování hesel, které podporují internetové prohlížeče nebo dedikované nástroje pro správu hesel. Ty standardně umí navrhnout silné heslo přímo pro daný účet a zapamatovat si jej pro budoucí použití. Díky tomu můžete mít pro každou službu unikátní heslo, takže pokud by došlo k jeho zcizení, nebude ohrožen přístup do dalších systémů a jejich dat. Lze využít i Single-sign-on (Google, Azure ID, Okta) ideálně ovšem v kombinaci s další autentizací pomocí MFA.

Ať tak či onak, tyto přístupy eliminují problémy, které od správného používání hesel uživatele odrazují.

Autor je CEO společnosti GoodAccess

 

Computerworld si můžete objednat i jako klasický časopis. Je jediným odborným měsíčníkem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.

Obsah Computerworldu je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.