Наверняка, вы сталкивались с ситуацией, когда поставщик либо иная третья сторона запрашивает доступ к корпоративной сети компании. Часто разрешение на открытый доступ к внутренним данным предоставляют лица, не имеющие отношения к деятельности IT-отдела или обеспечению информационной безопасности фирмы. Неудивительно, что о присутствии третьего лица в корпоративном виртуальном пространстве руководство узнает уже постфактум, что чревато дополнительными рисками для компании в целом.

Фокус внимания

Предоставление доступа сторонним партнерам к внутренним сетевым ресурсам компании, в том числе персональным данным клиентов, создает масштабные угрозы. Так, подключение третьего лица к корпоративной системе потенциально открывает доступ всем пользователям Вашего стороннего партнера к данным компании. Такое положение вещей особенно опасно, если Вы не внедрили меры по управлению цифровыми рисками, например, комплексные средства управления доступом, предусматривающие изоляцию внешних пользователей вне систем компании, наиболее уязвимых для удаленных эксплойтов, парольных атак и вредоносных программ.

Как утверждает К. Бивер, будь то постоянная виртуальная частная сеть (VPN), подключение к удаленному рабочему столу или прямая связь с базой данных, всегда существует вероятность, что новое соединение не исчезнет по завершению оговоренного объема работ (Статья «Why It’s Time to Cross Out the Checklist Approach to Vendor Security» для Security Intelligence, 2018). Возможность управлять такими соединениями часто находится вне Вашего контроля, что автоматически ставит под сомнения компетентности IT-специалиста фирмы. Наличие подобных соединений чревато возникновением сетевой угрозы нового формата, которая в дальнейшем может использовать уязвимости компании против нее.

Приоритетная задача IT-департамента компании заключается в умении использовать цифровые технологии для обработки запросов внешних поставщиков и превращать их в средства поддержки предприятия. Хотя нередко связи с поставщиками плохо спланированы и практически упускаются из виду при проведении проверок и оценки безопасности.

Основы усиления безопасности

Для минимизации рисков сторонних сетевых подключений необходимо начать с составления списка всех поставщиков, располагающих удаленным доступом к данным компании. Такой шаг поможет дополнительно изучить имеющиеся соединения и соответствующие учетные данные пользователей. Также следует сфокусировать внимание на процедуре установления паролей учетных записей. Пароли должны соответствовать минимальным стандартам безопасности, уже присутствующим во внутреннем домене фирмы.

Не лишним будет включение сетевых подключений поставщиков в повседневный мониторинг безопасности и оповещений, а также внедрение многофакторной проверки подлинности (MFA). Речь идет о проведении многоуровневой аутентификации, включающей предоставление пользователем определенных сертификатов, проверку клиента на знание пароля доступа к сети, снятие его отпечатка пальца или подтверждение личной подписью. По мнению М. Макки, указанные шаги подойдут для компаний любого типа, стремящихся укрепить управление рисками третьих сторон, независимо от отрасли или размера предприятия (Статья «Why You Should Drop Everything and Enable Two-Factor Authentication Immediately» для Security Intelligence, 2018).

Одним из эффективных превентивных инструментов безопасности выступает тестирование сторонних систем, позволяющих просканировать сетевую среду пользователя. Посредством сканирования служба IT-безопасности компании может обнаружить потенциально опасную сетевую активность, прежде чем партнеры осознают, что полный доступ к сети был открыт в обоих направлениях, т.е. между компанией и третьей стороной. Итак, к основным процедурам обеспечения безопасности сторонних сетевых подключений относятся:

1. Цифровой самоанализ

Речь идет о сканировании входящих сетевых соединений всех типов, от VPN до LogMeIn. Скорее всего, такой шаг повлечет за собой учет и инвентаризацию сети не только Ваших систем, но и сетей поставщиков/партнеров. Тестирование уязвимостей и проникновений часто выявляет скрытые сетевые элементы или подключения, о которых Вы даже не подозревали. Полное понимание слабостей корпоративной системы облегчит выбор областей, требующих дополнительных инструментов защиты, таких как менеджмент сетевой конфигурации и систем управления информацией о безопасности (SIEM).

2. Степень возникновения риска

В данном случае мы говорим о выявлении слабых мест по внутреннему периметру сети компании и отдельным элементам управления аутентификацией, а также изучении точек контроля доступа, интенсивности трафика, использовании полосы пропускания и многих иных аспектах. IT-специалистам стоит подумать о том, каким уровнем доступа располагают системы поставщиков к сети компании. Не лишним было бы проанализировать возможности IT-отделов в обнаружении подозрительной активности в корпоративной системе и облачных ресурсах.

3. Проактивный подход

Не стоит мириться с рисками как неизбежными элементами бизнеса. Соблюдение элементарных правил брандмауэра облегчит решение многих проблем. Обратитесь к таким практикам, как предотвращение потери данных (Data Loss Prevention), установление брокера безопасности облачного доступа (Cloud Access Security Broker) либо управление информацией и событиями безопасности (SIEM), с привлечением специальных инструментов для борьбы с внутренними угрозами. Предоставляйте поставщикам только минимальный уровень доступа к корпоративным данным, необходимый для выполнения оговоренной работы.

Естественно, бизнес-потребности подразумевают стимулирование инициатив в области IT-безопасности компании, что позволит обезопасить предприятия от неизвестных и недостаточно защищенных входящих сетевых подключений. Как показывает мировой опыт, заключения контрактов и разработки превентивных политик недостаточно для предотвращения угроз. Подтвердите сетевые подключения вашего поставщика, но продолжайте быть бдительными и соблюдать осторожность. Внимательно следите за имеющимися и новыми соединениями, которые могут возникнуть без вашего ведома.

Таким образом, не существует рациональных оправданий и обоснований для предоставления полного и открытого доступа поставщикам к внутренним сетевым ресурсам компании. Как и в случае с Интернетом вещей (IoT), облачными ресурсами и инструментами искусственного интеллекта, современные сети и связанные с ними риски становятся сложнее и изощреннее. Именно вам решать, как удерживать их под контролем.

 

Источник:

https://securityintelligence.com/articles/how-to-make-third-party-risk-management-second-nature/

Читайте также: