Ключ от всех дверей: как хакеры атакуют корпоративный Wi-Fi через гаджеты сотрудников
Более 90% личных устройств сотрудников, подключенных к корпоративному Wi-Fi, создают критический канал утечки данных и несанкционированного доступа в сеть компании — к такому выводу пришли эксперты Angara Security по результатам регулярных тестов защищенности. Уязвимость возникает из-за привычки пользователей не отключать Wi-Fi при выходе из офиса, что позволяет злоумышленникам легко перехватывать учетные данные и проникать во внутреннюю IT-инфраструктуру организаций. SecPost разбирался, как гаджеты сотрудников становятся ключами к корпоративным Wi-Fi, чем это опасно и как защититься от подобных угроз.
Чем корпоративные сети Wi-Fi интересны киберпреступникам?
Более 90% личных устройств сотрудников, подключенных к корпоративному Wi-Fi, создают критический канал утечки данных и несанкционированного доступа в сеть компании — к такому выводу пришли эксперты Angara Security по результатам регулярных тестов защищенности.
Корпоративные сети Wi-Fi представляют большой интерес для злоумышленников, поскольку при успешной атаке они сразу оказываются внутри защищенного периметра, говорит в беседе с SecPost ведущий эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов. Иными словами, для доступа к внутренним ресурсам сети им не придется обходить внешние средства защиты.
«Конечно, присутствие киберпреступников может быть замечено, но в целом надо понимать, что нередко внутренний трафик контролируется менее строго, чем трафик, выходящий за пределы периметра сети», — рассказывает эксперт.
Получив доступ к такой сети, злоумышленник может попытаться проникнуть в корпоративные системы (ERP, CRM, файловые серверы и другие сервисы), отмечает руководитель команды киберзащиты облачного провайдера Nubes Дмитрий Шкуропат. Кроме того, скомпрометированная Wi-Fi-сеть часто используется как отправная точка для атаки на более защищенные сегменты инфраструктуры.
«Нарушив защиту Wi-Fi, киберпреступники могут перехватить трафик, получить учетные данные сотрудников либо использовать сеть для дальнейшей атаки на инфраструктуру организации», — дополняет руководитель технического отдела БИТ.Wi-Fi Антон Латанов.
Почему личные гаджеты сотрудников становятся ключами к Wi-Fi?
Личные устройства сотрудников практически всегда не соответствуют параметрам безопасности — например, не имеют технических средств защиты вроде антивируса, рассказывает Александр Самсонов. Таким образом, злоумышленники могут проникнуть на сам гаджет, а затем, при подключении к корпоративным сетям, и к внутренним ресурсам компании.
«Личные гаджеты зачастую не управляются корпоративной службой ИБ и не соответствуют единым политикам безопасности. Компания не может контролировать установленные приложения, обновления операционной системы или наличие защитного ПО», — отмечает Дмитрий Шкуропат.
В свою очередь Антон Латанов указывает на такую частую проблему личных устройств сотрудников, как использование простых паролей или отсутствие средств шифрования. Если сотрудник подключает свой гаджет к корпоративной Wi-Fi-сети, он становится «мостом», через который злоумышленник может проникнуть в инфраструктуру организации, заразить сеть или организовать утечку данных.
«Угрозу представляет ситуации, когда компании по какой-либо причине не контролируют подключенные устройства и разрешают подключение некорпоративных устройств в корпоративной сети», — подчеркивает руководитель департамента аудита и консалтинга компании F6 Евгений Янов.
По словам эксперта, если на корпоративном устройстве, как правило, есть EDR, AV, GPO-политики и прочие ограничения, а письма, которые открываются на корпоративных устройствах, обычно проходят проверку почтовыми средствами защиты информации, то на личных девайсах же зачастую нет никаких СЗИ, а пользователь имеет на устройстве привилегии локального админа и может запустить любую скачанную вредоносную программу.
Какие атаки на Wi-Fi могут быть реализованы через личные гаджеты?
Покидая офис, смартфон с активной функцией «Подключаться автоматически» постоянно ищет знакомые сети, публично «выкрикивая» их имена в эфир, рассказывают SecPost эксперты Angara Security. Злоумышленники, используя простейшее оборудование, перехватывают эти запросы вблизи бизнес-центров — в кафе, на парковках или в общественном транспорте.
Получив имя корпоративной сети, они разворачивают фальшивую точку доступа с идентичным названием. При сближении с такой точкой смартфон сотрудника может подключиться к ней автоматически, в ряде случаев передав злоумышленникам пароль для доступа к сети в открытом виде.
«Сценарий, который мы регулярно наблюдаем на пентестах, напоминает сюжет из шпионского триллера, но он абсолютно реален. Сотрудник с телефоном в кармане, идущий на обед в соседнее кафе, сам того не зная, выступает в роли курьера, который доставляет злоумышленнику ключи от корпоративной сети. Этих ключей достаточно не только для доступа во внутреннюю сеть, но и для подключения к сервисам компании, таким как почта, файловые хранилища или VPN», — отмечает руководитель направления анализа защищенности Angara Security Роман Просветов.
Эксперты подчеркивают, что стандартных мер защиты Wi-Fi, таких как скрытие имени сети (SSID) или фильтрация по MAC-адресам, недостаточно для противодействия этой угрозе, так как атака нацелена не на саму точку доступа, а на поведение мобильных устройств.
«При попадании в корпоративную сеть Wi-Fi злоумышленники могут осуществлять намного более широкий спектр атак, нежели из-за периметра сети. Из внутренней сети злоумышленники могут проводить сканирование сети, поиск уязвимостей хостов, пытаться перехватить трафик, проводить атаки на устройства внутри сети», — говорит Александр Самсонов.
При этом, как отмечают в Angara Security, данная угроза касается не только бизнеса. При атаках на домашние сети злоумышленники получают доступ к конфиденциальной информации, камерам наблюдения, устройствам «умного дома» и могут включить оборудование в бот-сети.
Как защитить от хакеров корпоративные сети Wi-Fi?
Чтобы защитить корпоративные сети Wi-Fi от атак через гаджеты сотрудников, стоит «выселить» все личные устройства из корпоративного Wi-Fi и контролировать дальнейшее подключение, советует Евгений Янов. Если сотрудник по какой-то причине работает с личного ноутбука, то стоит предоставлять ему ограниченный доступ к корпоративным ресурсам и не через основную сеть, а через отдельную BYOD (Bring Your Own Device)-точку доступа.
«Кроме того, важно иметь политику BYOD, если организация позволяет пользователям использовать личные устройства. Личные смартфоны рекомендуется подключать только к гостевой сети, из которой нет доступа к каким-либо корпоративным сегментам и ресурсам», — говорит собеседник SecPost.
Второе важное условие безопасности — настройка строгой аутентификации, отмечает Александр Самсонов. Каждый пользователь должен иметь свой логин и пароль, при этом использование общего пароля для подключения недопустимо. При увольнении сотрудника доступ должен быть отозван — именно нарушение этого правила нередко становится причиной утечек. Также может быть реализована комплаенс-система, которая оценивает, соответствует ли подключаемое устройство политикам безопасности, и разрешить ли ему подключение к внутренним ресурсам.
«Кроме того, необходимо использовать системы обнаружения аномальной сетевой активности для выявления попыток проведения атак. Также следует отметить необходимость проведения профилактической работы с сотрудниками по повышению осведомленности о мерах безопасности», — резюмирует Александр Самсонов.
Какие меры безопасности в плане Wi-Fi должны соблюдать сотрудники?
Для защиты от атак на корпоративные сети Wi-Fi определенные правила безопасности на своих личных гаджетах должны соблюдать и сами сотрудники. В первую очередь Александр Самсонов советует соблюдать общие меры по поддержанию безопасности своих гаджетов: не устанавливать приложения из сомнительных источников, с осторожностью переходить по ссылкам и регулярно обновлять ПО устройства.
«Важно отключить в настройках автоматическое подключение к сетям офиса, а также сообщать в ИБ-отдел компании о любых подозрительных событиях, связанных с личными гаджетами», — советует собеседник SecPost.
В свою очередь Евгений Янов к базовым правилам безопасности на личных устройствах относит обязательное использование надежных паролей для защиты доступа к приложениям и данным, установку и регулярное обновление антивирусного ПО на устройстве, а также применение шифрования для защиты конфиденциальных данных. Идеальный вариант — разделение личных и рабочих данных на устройстве: например, используя разные учетные записи или даже разные системы.
При этом правила безопасности должны быть закреплены в политике BYOD, которую сотрудник должен подписать. Отдел IT должен проконтролировать соответствие подключаемого личного устройства и только после проведения контроля выдать доступ, подчеркивает Евгений Янов.
При этом сотрудникам важно обратить внимание и на защиту домашних сетей Wi-Fi, напоминает Роман Просветов. Для этого есть простые рекомендации:
- Установить длинный (не менее 18 символов), не словарный пароль.
- Настроить фильтрацию по MAC-адресам, разрешив подключение только доверенным устройствам.
- Скрыть имя сети (SSID).
«Особое внимание необходимо уделить смартфонам и планшетам, которые используются за пределами квартиры или частного дома. Рекомендуется выключать Wi-Fi на гаджетах вне дома или офиса и использовать мобильный интернет. Публичные точки доступа использовать только в проверенных местах и крайних случаях. Таким образом пользователь защищает себя от возможных утечек информации. Также важно проверить свой смартфон и «забыть» старые и неактуальные Wi-Fi-сети», — заключает Роман Просветов.
