Kako dodatno osigurati udaljeno spajanje za zaposlenike - i zašto je to nužno ako vam tvrtka radi remote?

Kako dodatno osigurati udaljeno spajanje za zaposlenike – i zašto je to nužno ako vam tvrtka radi remote?

Danas, kao i ubuduće, sve se više prakticira remote rad - a time rastu i sigurnosni izazovi koji ga prate. Donosimo savjete kako za vašu tvrtku, zaposlenike i partnere možete bolje osigurati rad na udaljeno.

Tijekom ove krize brojne tvrtke počele su se orijentirati na rad od kuće. Da bi zaposlenici uspješno radili od kuće trebaju imati pristup svim poslovnim aplikacijama koje imaju kada se nalaze u uredu tvrtke.

Stoga, kako bi im omogućile rad od kuće, tvrtke su počele intenzivno koristiti i implementirati neki oblik udaljenog spajanja odnosno VPN-a, jer…

… Direktno izlaganje na internetu nije opcija

VPN označava kraticu Virtual Private Network i predstavlja proširenje određene mreže – virtualno. Korištenje VPN-a nužno je iz razloga što je internet nesiguran medij te iz toga razloga se svi resursi ne smiju izlagati direktno na internet.

Tako se VPN tunelom omogućuje rad s udaljene lokacije (npr. vašeg doma) kako bi se dobio pristup svim resursima u tvrtki tj. pristup svim resursima koje bi korisnik imao da je prisutan na samoj lokalnoj mreži (npr. da radi u uredu tvrtke).

A što se zapravo događa u pozadini? VPN predstavlja proces sigurnog prenošenja podataka preko nesigurnog medija (interneta). U stvarnosti ne postoji fizički tunel već se nad podacima koji se šalju VPN-om radi napredna enkripcija te se preko interneta šalju kriptirani podaci, a valja naglasiti da te podatke mogu čitati samo dvije strane koje komuniciraju – svima ostalima na putu ti podaci nisu čitljivi (mogu se vidjeti, ali radi enkripcije nemaju nikakvu vrijednost).

Korištenje VPN-a dovodi do brojnih izazova i odluka koje organizacije moraju donijeti prije same implementacije, a odnose se na: VPN dizajn, VPN algoritme te lozinke i dvofaktorsku autentikaciju.

U nastavku ćemo pokriti osnove koje trebate znati o ovim stavkama kako bi razumjeli kako funkcionira postavljanje sigurne mreže za udaljeni rad.

1. VPN dizajn

Prije same implementacije VPN-a potrebno je odlučiti se za dizajn. Kada govorimo o VPN dizajnu, organizacije mogu koristiti dva, a to su:

  • Full Tunnel
  • Split Tunnel

Full Tunnel odnosi se na dizajn u kojem se kompletan promet određenog korisnika šalje kroz VPN tunnel. Što to ustvari znači?

Kada netko primjerice ode na stranicu Netokracije njegov promet će ići putem korisnik > VPN tunel > organizacija > internet. Ovakav nadzor kompletnog korisničkog prometa omogućuje da se izvrši inspekcija (npr. proxy inspekcija, firewall inspekcija, DLP itd.) kao da je korisnik fizički na lokaciji firme.

Takav dizajn znatno pridonosi povećanju sigurnosti, međutim, kako VPN radi naprednu enkripciju, za nju su potrebni znatni hardverski uređaji te većina organizacija nema odgovarajući hardver za ovakvu arhitekturu.

Drugi dizajn predstavlja Split Tunnel tj. kroz VPN tunel šalje se samo promet prema određenim resursima (npr. ERP smješten u lokalnoj mreži organizacije), a sav ostali promet šalje se direktno na internet.

Nedostatak ovog dizajna je da se nad prometom koji se direktno šalje ne može raditi inspekcija koja bi se obično radila kada bi korisnik bio u kompaniji.

Ako odluka o VPN dizajnu padne na Full Tunnel nužno je osigurati potrebne hardverske resurse.

U konačnici, preporuka bi bila da se koristi Full Tunnel kada je to moguće, a ako nije moguće da se minimalno radi određena inspekcija i kontrola na samoj radnoj stanici.

Minimalna razina inspekcije na samoj stanici podrazumijeva korištenje antivirusnog programa i lokalnog vatrozida. Valja napomenuti da određena rješenja omogućavaju naprednu kontrolu i granulaciju tunela (npr. slanje svega prometa kroz tunel izuzev video prometa).

2. VPN algoritmi

Snaga samog VPN tunela leži u jačini i kvaliteti enkripcije samih podataka tj. u snazi samih algoritama za kriptiranje podataka. Što se koriste bolji i jači enkripcijski algoritmi to je teže napadaču doći do samoga sadržaja podataka.

U praksi je uočeno da mnoge organizacije koriste slabe algoritme za VPN spajanje – da li zbog nedostatka odgovarajućeg hardvera ili zbog nedostatka znanja osoba koje podešavaju VPN.

Korištenjem slabih algoritama omogućuje se napadaču da uhvati vaš kriptirani promet i u relativno kratkom vremenu ga „probije“ tj. dekriptira i vidi vaš sadržaj. Za dekriptiranje nekih slabijih algoritama dovoljno je i nekoliko minuta!

Preporučuje se stoga primjena naprednih algoritama za kriptiranje VPN-a: korištenje TLS 1.2 ili TLS 1.3 verzije ako se radi o TLS-u te korištenje dokumenata poput Next Generation Cryptography za određivanje algoritama za zaštitu IPsec tunela.

3. Lozinke i dvofaktorska autentikacija

Da bi otežali napadaču probijanje lozinke, preporuka je da dužina lozinki bude minimalne dužine od 12 znakova te da sadrži velika i mala slova kao i dijakritičke znakove i brojeve.

Apsolutno ne bih preporučio da se za lozinku stavljaju određene poznate i jednostavne riječi ili kombinacija poznate i jednostavne riječi s brojevima jer takve lozinke napadači lagano probiju uz pomoć već gotovih listi koje broje i do nekoliko milijuna najčešćih kombinacija.

Treba naglasiti da je probijanje jednostavnije lozinke kraće od 8 znakova moguće napraviti u jako kratkom vremenu te je nužno koristiti kompliciranije lozinke. Naprimjer, Netokracija123 predstavlja lošu lozinku, N€t0Kr@C7583ja! predstavlja bolju lozinku iako je preporuka koristiti nasumične lozinke koje nisu izvedenica iz poznatih riječi te bi, primjerice, M0n!2+€dFf52 bila najbolja lozinka.

Uz korištenje jake lozinke apsolutna je preporuka i nužnost koristiti dvofaktorsku autentikaciju za kontrolu udaljenog pristupa te kontrolu pristupa svim važnim aplikacijama. Dvofaktorska autentikacija predstavlja mehanizam kontrole autentikacije u kojemu se koristi “nešto što imaš” (token) i “nešto što znaš” (lozinka), a odnedavno je sve češće i korištenje biometrije odnosno “nešto što jesi” (sken lica ili otisak prsta).

Za dobivanje pristupa potrebna je kombinacija dvije od te tri mogućnosti, npr. nešto što moraš imati i nešto što moraš znati. Ako bi napadač znao lozinku, a ne bi imao token, ili bi imao token, a ne zna lozinku, on ne bi mogao dobiti pristup na resurs tvrtke.

Tokeni se mogu producirati u više različitih oblika, ali se danas najviše koriste tokeni na mobilnim uređajima radi jednostavnosti korištenja.

Proces dvostruke autentikacije funkcionira na način da se za svaki pokušaj prijave na VPN ili neki drugi resurs kojeg se štiti, vama na mobitelu pokaže prozor o potvrdi želite li se spojiti ili ne. Ako se vi prijavljujete, samo odaberete “yes” ili “da”, ali ako to niste vi – odmah stisnete ne.

Upravo zato što mnoge kompanije sve više važnih resursa imaju u oblaku apsolutna je preporuka korištenje dvofaktorske autentikacije za pristup na te cloud aplikacije. Cloud je javno dostupan iz cijeloga svijeta te ovo predstavlja često jedini mehanizam za zaštitu pristupa na te resurse.

Što kada se poveća mreža suradnika i klijenata…

Prethodne tri stavke su osnove kojima možete osigurati udaljeni pristup kada vaši zaposlenici rade u potpunosti remote ili hibridno. Međutim, znatno povećanje vanjskih partnera koji trebaju imati omogućen pristup na vašu tvrtku te povećanje korištenja privatnih uređaja za rad (BYOD) dovodi do novih sigurnosnih problema.

Što su podaci tvrtke vrijedniji to ste više zanimljiviji nadapaču.

Problem najviše predstavlja to što tvrtke nemaju kontrolu nad tim uređajima, a istodobno ti uređaji imaju pristup na resurse u vašoj tvrtki. Radi nedostatka kontrole takvi uređaji predstavljaju izuzetan rizik jer ne možete znati tko se sa čime spaja na vaš sustav, a vi mu otvarate vrata vaše tvrtke. Takvi su uređaji jedan od najčeščih ulaznih vektora za napadače.

Kao odgovor na takve probleme pojavila su se rješenja za naprednu kontrolu pristupa koja tako što provjeravaju svojstva samoga uređaja s kojega se spajate te ovisno o rezultatu provjere dozvoljavaju ili zabranjuju spajanje.

Ovakva rješenja u praksi obavezno koriste tvrtke koje barataju s financijskim i osobnim podacima. Jer, što su podaci tvrtke vrijedniji to ste više zanimljiviji nadapaču te vam je to nužna dodatna kontrola i zaštita. Ovakva rješenja imaju sve širu i češću primjenu iako je primjećeno da korištenje ovih rješenja nije još dovoljno rasprostranjeno koliko bi trebalo biti s obzirom na važnost.

Sva rješenja za naprednu kontrolu rade na sličan način.

Na uređaj koji se spaja instalira se određeni agent koji provjerava sva svojstva toga uređaja (npr. ima li instaliran i upaljen anti-virus, ima li jailbrakean uređaj itd.). Nakon što agent napravi provjeru on javlja te podatke na centralni uređaj odakle se odabire želi li mu se dopustiti spajanje ili ne – ovisno o tome je li usklađen s definiranim zahtjevima (ova provjera poznata je kao i security posture provjera).

Kako odrediti tko se može spojiti, a tko ne?

Bez dobro uspostavljene kontrole pristupa u tvrtki ne možete znati tko se sa čime spaja na vaš sustav.

Preporučuje se kontrola uređaja koji pristupaju na vašu organizaciju i poštivanje ovih pravila (minimalno):

  • Ograničiti kontrolu samo na zemlje iz kojih se očekuje spajanje (imaju li potrebu vaši zaposlenici spajanje iz Kine ili Indije, ako ne – preporučljivo je to zabraniti)
  • Posjedovanje anti-virusne zaštite koja je uključena i patchirana (minimalna razina zaštite toga uređaja s kojom ste sigurni da „baš svatko“ ne može dobiti kontrolu nad tim uređajem)
  • Zabrana spajanja jailbreakanim uređajima (jako puno napadača koristi ranjivosti na uređajima na kojima su uklonjena tzv. ograničenja operativnog sustava)
  • Zabrana spajanja uređaja s krekiranim softverom (jako puno malicioznog koda nalazi se u takvom softveru, a korisnici nisu toga ni svjesni)
  • Posjedovanje lokalnog vatrozida na uređaju (puno napadača iskorištava nedostatak lokalnog vatrozida)
  • Zabrana spajanja za nepatchirane ili zastarjele verzije OS-a i softvera.

Uskoro više u nastavku…

U sljedećem tekstu predstavit ću vam zero trust model kao i smjernice za zaštitu radne stanice te kako brinuti o sigurnosti infrastrukture.

Ovaj tekst dio je serijala vodiča “Sigurnost rada na udaljeno” u kojem prolazimo kroz sigurnosne prijetnje koje su se dodatno povećale s remote radom te učimo kako ih spriječiti pravovremeno:

  1. tekst: Ovo su najčešće prijetnje remote i hibridnog načina rada!
  2. tekst: Kako dodatno osigurati udaljeno spajanje za zaposlenike – i zašto je to nužno ako vam tvrtka radi remote? (ovaj)
  3. tekst: Tradicionalno ne znači sigurno – nego zastarjelo! Provjerite kako se o sigurnosti brine u vašoj tvrtki

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome)
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime (Hrvoje Lončar) ili barem ime i inicijala (Hrvoje L.) te pravu email adresu. Kako koristimo podatke koje tamo ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Tehnologija

Brate, trebam li stvarno uzeti Šaomi?

Xiaomi je u relativno kratkom vremenu postao brend koji se daleko najviše preporučuje u Hrvatskoj i regiji. Zašto?

Kolumna

Što će nam uopće kriptovalute?

Iako o kriptovalutama slušamo već godinama, rijetko kad nam je netko dao suvisao odgovor na pitanje, a što će nama kriptovalute zapravo? U vremenima kada se centralizirani sustavi poput banaka igraju s našim povjerenjem, nikada nije bilo jasnije. Evo odgovora...

Izrada web stranica

Kad vam u 2021. padne server, što očekivati od svog hosting poslužitelja?

Po muci se poznaju junaci pa tako i hosting poslužitelji. Kako izgleda posao s druge strane vašeg weba, otkrili smo.

Što ste propustili

Digitalni marketing

Sean Ellis: “Prošlo je vrijeme kad jedan jedini growth hacker može dobiti vrtoglave rezultate”

Skovan kao termin prije više od 10 godina, growth hacking je osigurao strelovit rast mnogim poznatim firmama u tehnološkom svijetu, ali mu je ta popularnost osigurala i dozu notornosti. O kontroverzama i budućnosti ove metodologije imala sam priliku pričati s njenim utemeljiteljem, Seanom Ellisom, koji će uskoro nastupiti i uživo u Zagrebu na konferenciji SuperMinds: Don’t Code What You Don’t Understand.

Digitalni mediji

Što svaki developer treba znati o web analitici

Svaki put kad netko kaže da je web stranica gotova i “sad možemo instalirati analitiku”, analitičaru negdje na svijetu pametni telefon padne na pod, kaže stručnjak za web analitiku Robert Petković.

Startupi i poslovanje

Head of Growth: Ima li takvih superjunaka u Hrvatskoj?

Domaćim tehnološkim tvrtkama ojačanima investicijama na putu prema rastu trebaju iskusni multidiscplinarni stručnjaci koji će taj rast ubrzati. Analiziramo kako Head of Growth razmišlja, što treba znati te gdje ga i kako naći, a svoja razmišljanja dali su i Filip, vlasnik growth agencije te Tana, suosnivačica Bazzara, koji upravo zapošljava jednog.

Sponzorirano

eCommerce nakon pandemije? Najveće okupljanje industrije otkriva nam korijenske promjene

Svjedoci smo povijesnih preokreta u digitalnoj trgovini i promjena koje će imati dalekosežne posljedice. Kako se pripremiti za postpandemijski svijet eCommercea, Neuralab ekipa donosi saznanja sa središnjeg eCommerce događaja - RetailXa u Chicagu.

Startupi i poslovanje

Superology i Sportening: Želimo odgajati vrhunske product managere u Hrvatskoj

Jedan je prošao put od programera preko 'Katice za sve' do voditelja razvoja proizvoda, a drugi je nakon doktorata i akademske karijere u Kaliforniji radio u Googleu u Zürichu pa se vratio u Zagreb biti suosnivač startupa. Otkrili su nam što čini dobrog product managera, što dobri produktni tim i koji je najkraći put do inovacije.

Kultura 2.0

Velimir Grgić: “Ljudski mozak (i sve njegove mane) postao je transparentniji nego ikada, a sve zahvaljujući internetu.”

Velimir je kao novinar, pisac, scenarist i producent prošao zbilja sito i rešeto toga, ali teorije zavjera ostale su mu trajna inspiracija još od ranih dana. Zašto itko promišlja o zemlji koja je ravna ploča, hoće li teoretiziranje o zavjerama ikada prestati te koja teorija je njemu osobno najintrigantnija - saznali smo od autora netom rasprodane knjige "Teorije zavjera 21. stoljeća".