Оглавление
Глобальные изменения в бизнес-среде, цифровизация, пандемия и повышенный спрос на мобильность сотрудников привели к возникновению концепции гибридного или полностью удаленного формата работы, который становится все более востребованным среди компаний.
Автор: Владимир Абрамов, владелец продукта PRO32 Connect
Стремительное развитие технологий внесло свои коррективы в способы работы людей и организаций, потребовав переосмыслить подход к защите конфиденциальной информации. Существует множество различных инструментов для организации удаленного формата работы. Однако если театр начинается с вешалки, то организация удаленки – с безопасности. Зачастую минимальные требования к организации безопасной работы можно свести к нескольким пунктам: VPN, многофакторная аутентификация, регулярные обновления ПО, принцип минимальных привилегий, аудит, мониторинг и, конечно же, регулярное обучение сотрудников. Все эти вещи являются фундаментом для спокойного сна специалистов по ИТ и ИБ. Но зачастую у компаний небольшого размера не хватает ресурсов и возможностей для приобретения отдельных продуктов на каждое из направлений.
Реализуем безопасный удаленный доступ при минимальных затратах
На примере PRO32 Connect и Remote Workers рассмотрим, как обеспечить полнофункциональный доступ. Начать стоит с технологий безопасности, используемых в продукте. В основе подключения к удаленному рабочему месту лежат две технологии – WebRTC и WebSocket, которые очень хорошо себя зарекомендовали и имеют достаточно большие возможности по обеспечению безопасности.
Установка соединения между устройствами имеет четыре этапа, переходы между которыми происходят последовательно. Обязательным условием для начала каждого следующего этапа является успешное завершение предыдущего. И конечно же, не обходится без шифрования на каждой стадии, начиная с “сигнального” уровня, позволяющего обеспечить максимальный уровень защиты еще на этапе подключения. Версия продукта оn-premise включает в себя поддержку протокола mTLS, что позволяет проводить дополнительную проверку по цепочке “оператор – сервер – агент”. Этот уровень безопасности обеспечивает двустороннюю аутентификацию, гарантируя, что как сервер, так и клиент, обменивающиеся данными, действительно являются теми, за кого себя выдают, повышая надежность и защищенность передачи информации в системе. С тем, что находится “под капотом” решения, вроде разобрались, но что же еще делает продукт максимально безопасным для использования?
Немаловажным является тот факт, что применение веб-технологий позволяет использовать решение без дополнительных настроек брандмауэров и файрволов, что кратно минимизирует риски взлома, так как не требуется добавлять исключения и открывать порты, являющиеся потенциальными источниками угроз, а в случае оказания удаленной технической поддержки еще и сэкономит нервы оператору на возможных подводных камнях при оказании помощи на неподконтрольной удаленной точке. Эта же технология приносит еще один приятный бонус – песочницу. Подключение из браузера защищает оператора от возможности обратного подключения или проникновения зловреда на машину оператора и конечную точку.
Если от вирусов нас зачастую спасает антивирусное программное обеспечение, то риск компрометации учетных данных оператора довольно велик. У веб-технологий есть и обратная сторона медали, например попытки брутфорса, когда злоумышленники пытаются перебирать пароли и ссылки для несанкционированного доступа к данным. PRO32 Connect исключает подобные угрозы благодаря своим интеллектуальным алгоритмам и механизмам блокировки, которые обеспечивают эффективную защиту от попыток перебора, делая доступ к данным более безопасным и надежным. Такой подход позволяет минимизировать риски утечки конфиденциальной информации и обеспечивает высокий уровень защиты.
Каждая версия агента PRO32 Connect по умолчанию проходит проверку на VirusTotal, обеспечивая дополнительный уровень безопасности и доверия. Отправляя клиенту уникальную ссылку для подключения, мы можем быть уверены в том, что и агент, и сессия будут в безопасности. Такой подход позволяет убедиться в чистоте кода и отсутствии потенциальных уязвимостей до запуска агента на устройствах пользователя.
Обеспечиваем безопасность на стороне администратора
Начнем с самого базового. PRO32 Connect поддерживает двухфакторную аутентификацию “из коробки” с возможностью настройки в личном кабинете. Пользователи могут настроить двухфакторную аутентификацию как самостоятельно, так и с помощью администратора системы, который может назначить соответствующую политику принудительно. Для получения ключа двухфакторной аутентификации может использоваться электронная почта, Telegram или TOTP-токены. Этот функционал обеспечивает дополнительный уровень безопасности, требуя от пользователей не только пароль, что существенно повышает защиту от несанкционированного доступа к данным. Разнообразие вариантов для двухфакторной аутентификации в PRO32 Connect дает пользователям гибкость в выборе наиболее удобного и безопасного способа подтверждения личности при входе в систему. В продукте также предусмотрен функционал “история подключений”, который позволяет анализировать доступы к устройствам и просматривать видеозаписи проведенных сеансов. Благодаря данной функции администратор может просмотреть журнал всех доступов за определенный период времени, а также просмотреть записи сеансов, чтобы детально изучить, какие действия совершались во время самого сеанса. Возможность интеграции модуля “история подключений” с SIEM-системой поможет обеспечить быстрое обнаружение аномалий и потенциальных угроз безопасности, упрощая контроль и мониторинг доступа к устройствам, увеличивая уровень защиты и способствуя оперативной реакции на возможные угрозы.
Быстрая удаленная поддержка по приглашениям, без идентификаторов и паролей
Быстро реагируем
При работе удаленно важно понимать, что, помимо обеспечения безопасности, значимым аспектом является возможность оперативной удаленной поддержки таких пользователей. Ведь для обеспечения бесперебойной работы компьютеров и серверов недостаточно иметь профессиональных системных администраторов, которые могли бы оперативно решать возникающие проблемы, им потребуются еще и удобные специализированные решения. Кроме того, все компьютеры сотрудников и другая техника должны быть в исправном состоянии. В случае возникновения проблем с рабочей станцией или сервером работа пользователя парализуется, что приводит к простою бизнеса и потере денег. Весь парк техники, который “переехал” на удаленку, требуется обслуживать и решать различные технические проблемы, ведь специалист уже не сможет оперативно оказаться рядом с компьютером сотрудника, чтобы решить возникшие вопросы.
PRO32 Connect – универсальный инструмент, который позволяет подключаться к абсолютно любым устройствам на Windows, Mac, Linux и Android из браузера. В продукте предусмотрено два основных варианта подключения к компьютерам: из адресной книги или через подключение по приглашениям для неподконтрольных компьютеров.
Чтобы получить постоянный доступ к удаленному рабочему столу, установите на компьютере пользователя программу агента и авторизуйтесь в ней под своей учетной записью, после чего вы сможете подключаться к нему в любое время.
Для быстрого доступа к неподконтрольному удаленному компьютеру отправьте пользователю сгенерированную ссылку. После того как пользователь перейдет по ссылке, вы получите доступ к его устройству. Если вы связываетесь с пользователем по телефону и диктовать ссылку для подключения неудобно, можно воспользоваться цифровым кодом, при этом не потребуется запрашивать у пользователя какой-то пароль для подключения.
Зачастую установка различного ПО для удаленного доступа вызывает ряд проблем у неподготовленных сотрудников, а доступ к удаленной конечной точке через браузер значительно упрощает все процедуры подключения и “жизнь” технической поддержки. PRO32 Connect позволяет гибко разграничивать права и роли, а возможности интеграции с SSO и LDAP позволят вам использовать для этого привычные группы безопасности.
Подключайтесь к рабочему месту даже в открытом море
В PRO32 Connect предусмотрена отдельная лицензия, специально для работы удаленных сотрудников, – Remote Workers. Продукт не требует дополнительной настройки на стороне пользователя. Вам не потребуется настраивать VPN или беспокоиться о том, что компьютер удаленного сотрудника может быть заражен. Для каждого удаленного сотрудника создается персональный личный кабинет, администратор системы назначает доступные для сотрудника рабочие места. Вы можете включить принудительную двухфакторную аутентификацию при каждом входе в систему и назначить дополнительный пароль для подключения к конкретному рабочему месту.
Интеграция с SIEM позволит отслеживать любые аномалии в поведении пользователей и при необходимости блокировать доступ к системе через обширные возможности API продукта. При этом лицензия Remote Workers не использует основные операторские лицензии, а добавляет дополнительные лимиты по очень приятной цене. Минимальные требования к скорости Интернета для полноценной работы через браузер позволяют работать в PRO32 Connect даже через спутниковый Интернет в открытом море или в тайге c использованием сетей 4G, что добавляет мобильности сотрудникам.
PRO32 Connect родом из города Казани и зарегистрирован в реестре российского программного обеспечения. Продукт представлен в трех редакциях: Standard, Advanced и Enterprise, последняя из которых поставляется как по модели SaaS, так и Self-hosted.
Базовая лицензия включает пять операторов техподдержки, которые смогут обслуживать до 50 удаленных устройств в постоянном режиме и совершать до 20 подключений в сутки к неподконтрольным удаленным машинам. Гибкая система лицензирования с возможностью расширения действующих лимитов лицензии позволяет подобрать оптимальные условия для потребностей вашего бизнеса, обеспечив при этом гарантией безопасности и удобства использования.
ITSec_articles