27 апреля 2020

Безопасная работа с ZOOM

Рустам Гусейнов — преподаватель Moscow Digital School, независимый эксперт в области информационной безопасности

В последнее время вопрос организации удаленной работы становится все более актуальным. Сколько продлится самоизоляция неизвестно, а проводить встречи с коллегами нужно прямо сейчас. На этом фоне растет популярность инструментов для проведения онлайн-конференций. От бесплатных и ставших классическими Skype, Zoom, Google Hangouts, Discord до менее известных платных решений: сервисов онлайн-коворкинга и специализированного корпоративного ПО.

Что можно сказать об этом с точки зрения информационной безопасности? Любой сторонний сервис, предоставляющий услуги из облака, всегда дополнительная угроза и риск. Используя такие сервисы, в т.ч. упомянутые Skype, Zoom, Google, Discord вы лишь устанавливаете на свои рабочие станции клиентские части приложения. Эти клиентские части затем взаимодействуют с облачными серверами разработчика, через которые идет передача ваших данных в процессе онлайн-конференций. Как именно обрабатываются эти данные на серверах и кто может получить к ним доступ — достоверно неизвестно, тем более, что многие популярные приложения не предоставляют исходные коды, а если предоставляют, то часто лишь исходные коды клиентских компонентов, а не серверных, где и происходит самое интересное (так поступает, считающийся почему-то безопасным мессенджер Telegram). Т.о. конфиденциальная информация, обсуждаемая в ходе онлайн-конференций или передаваемая в чатах, может быть перехвачена на стороне сервера.

Помимо этого, сами клиенты могут содержать в себе уязвимости. Установив такой клиент на рабочую станцию, вы автоматически делаете компьютер уязвимым для атак злоумышленников. Такие уязвимости имеют различную природу и могут выражаться в различных угрозах. В простейшем случае злоумышленник сможет несанкционированно подключаться к рабочей станции жертвы или перехватывать конфиденциальную информацию; в самом тяжелом — совершать любые противоправные действия, вплоть до получения удаленного административного доступа к компьютеру с выполнением на нем произвольных команд. Желающие разобраться в фактах могут просто ввести в строку поисковой системы запрос: «{название приложения} vulnerabilities» или изучить данные баз уязвимостей, например здесь% https://www.cvedetails.com/ .

Так как же обезопасить себя при использовании онлайн-конференций?

  1. Если вы пользуйтесь программным обеспечением с закрытым исходным кодом, то лучшим вариантом является организация непрерывного мониторинга обновлений и уязвимостей в вашем продукте. Это позволит своевременно обновить клиенты или осуществить их донастройку в случае публикации информации об очередной уязвимости. Если ресурсы компании позволяют — то можно пойти еще дальше и использовать платное программное обеспечение, серверы которого разворачиваются в вашем офисе или ЦОДе и т.о. вы замыкаете потоки конфиденциальной информации на себя, не доверяя их облачной обработке. Закупка платного ПО и техподдержка подразумевает ответственность разработчика (или интегратора) за своевременное информирование вас о новых уязвимостях, обновлениях и необходимости донастройки продукта.

  2. Если компания обладает необходимыми техническими компетенциями, то можно использовать бесплатное решение с открытым исходным кодом. В этом случае вашим системным администраторам, возможно, придется затратить усилия на развертывание и настройку такой системы. Но в итоге вы получите абсолютно прозрачное приложение, и при желании сможете досконально разобраться в том, как именно оно работает с передаваемыми данными. При этом, сохраняются и все преимущества п. 1, с той лишь разницей, что вы используете не проприетарное решение с технической поддержкой, а свободное ПО. Примером такого решения является Jitsi.

  3. Помимо контроля за уязвимостями в самом приложении, которое вы используйте для онлайн-конференций, необходимо выполнять все классические меры защиты при организации удаленного доступа. Сюда можно отнести:

  • Инвентаризация и безопасная настройка устройств, с которых разрешен такой доступ (идеальный вариант использование корпоративных ноутбуков, преднастроенных отделом информационной безопасности — так называемый system hardening);
  • Реализация удаленного доступа к ресурсам компании, в т.ч. к приложению для онлайн-конференций, только через корпоративный VPN-шлюз.
  • Журналирование всех действий удаленных сотрудников с помощью терминальных серверов или специализированно ПО-брокера.

    Пройти обучение в Moscow Digital School

    Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности