«Серые» точки Wi-Fi: скрытая угроза, о которой бизнес обычно узнаёт слишком поздно

Для современного бизнеса беспроводная сеть – это основа повседневной работы. Мобильные сотрудники, гибридный формат работы, BYOD, устройства без проводных интерфейсов, IoT и офисная техника. Если Wi-Fi работает нестабильно – встают бизнес-процессы, падает продуктивность, растёт раздражение сотрудников и клиентов.

Проблема в том, что реальное покрытие Wi-Fi почти всегда отличается от того, что было заложено в проекте. Мёртвые зоны, перегруженные каналы, экранирующие материалы, рост числа устройств и изменение планировки офиса приводят к тому, что сеть может работать нестабильно и тогда сотрудники начинают решать проблему самостоятельно. В ход идут дополнительные роутеры, репитеры, USB-модемы или просто раздача интернета со смартфонов.

В итоге в офисе появляется множество точек доступа, о существовании которых ИТ-отдел может даже и не подозревать.

«Серые» точки доступа (Rogue Access Point, Rogue AP) – это любые беспроводные устройства, подключённые к корпоративной сети без согласования с ИТ-подразделением и вне утверждённой архитектуры.

Они могут быть установлены вашими сотрудниками для собственного удобства, а могут быть развёрнуты злоумышленниками для получения доступа к корпоративной сети. В любом из случаев они опасны, так как создают неконтролируемые точки входа в сеть, разрушают единый периметр безопасности и делают инфраструктуру непредсказуемой с точки зрения рисков.

1. Обход корпоративной защиты. Серая точка доступа фактически формирует альтернативный вход в сеть, минуя файрволы, сегментацию и системы контроля доступа. Даже при формально «закрытом» периметре появляется лазейка, о которой никто не знает.

2. Компрометация данных и учётных записей. Злоумышленник может развернуть поддельную точку доступа с именем, похожим на корпоративное Wi-Fi (Evil Twin). Сотрудники подключаются автоматически, а весь их трафик (включая логины, пароли и документы) проходит через устройство атакующего по схеме «Man-in-the-Middle».

3. Распространение вредоносного ПО. Через Rogue AP могут внедряться различные вирусы, программы-вымогатели (ransomware) и шпионские программы на устройства подключённых к Rogue AP сотрудников. Это напрямую влияет на непрерывность бизнес-процессов.

4. Простои и потери производительности. «Серые» точки доступа способны создавать радиопомехи или генерировать избыточный трафик, что приводят к нестабильной работе корпоративной сети. Это влечет проблемы с сервисами корпоративной коммуникации, приложениями для совместной работы, усложняет доступ к CRM и другим облачными сервисами, которые необходимы вашим сотрудникам для работы.

5. Нарушение требований регуляторов и внутренних политик. Несанкционированные устройства в сети – это прямое нарушение требований ИБ, отраслевых стандартов и условий аудита, что чревато штрафами (особенно если вы относитесь к КИИ), претензиями и репутационными рисками.

Если кратко, то наличие «серых» точек в вашей беспроводной сети – это не «мелочь», на которую можно махнуть рукой, а реальный источник системных рисков для непрерывности бизнеса, сохранности корпоративных данных и устойчивости компании в целом.

На практике компании редко узнают о Rogue AP сразу. Чаще проблема проявляется косвенно, например, через операционные сбои и нестабильную работу инфраструктуры.

Стоит насторожиться, если в вашей компании:

Всё это является поводом проверить, что реально происходит в ваше беспроводной сети.

Самый первый и важный шаг в выстраивании вашей системы защиты от Rogue AP. Для такого мониторинга используются решения двух классов: WIDS и WIPS.

WIDS (Wireless Intrusion Detection System) пассивно сканируют доступные беспроводные сети, сравнивают их параметры (SSID, MAC-адреса, каналы, типы шифрования) с базой разрешённых точек доступа и уведомляют администратора о найденных несоответствиях. Реагирование и блокировка в этом случае выполняются вручную.

WIPS (Wireless Intrusion Prevention System) обладают всеми возможностями WIDS, но дополнительно могут автоматически нейтрализовать угрозы в реальном времени. Например, они могут разрывать соединения или блокировать подозрительные устройства согласно заданным политикам. Несмотря на то, что автоматизация ускоряет реагирование на подозрительные инциденты, все же с WIPS крайне важно учитывать риск ложных срабатываний, которые могут повлиять на стабильность работы беспроводной сети. Поэтому такие решения требуют точной и аккуратной настройки.

Только обнаружить Rogue AP недостаточно. Необходимо исключить саму возможность подключения неавторизованных устройств к корпоративной беспроводной сети. Здесь ключевую роль играют контроль сетевого доступа (Network Access Control, NAC) и политика Zero Trust. Использование стандарта 802.1X позволяет проверять каждое устройство при подключении. Если устройство не распознано, не соответствует политике безопасности или подключается через неизвестную точку доступа, доступ может быть автоматически заблокирован.

Даже авторизованное устройство может вести себя подозрительно. Чтобы отслеживать такое аномальное поведение нужны системы UEBA (User and Entity Behavior Analytics). Они анализируют поведение пользователей и устройств, формируя базовую модель «нормального поведения». Любые резкие отклонения (нетипичный объём трафика, необычные направления соединений, смена паттернов работы и т.д.) становятся поводом для оповещения отдела ИТ и ИБ, расследования и даже ограничения доступа такого устройства к сети. Такие аномалии часто указывают на то, что само устройство подключено через «серую» точку доступа.

Максимальный эффект UEBA даёт в связке с NTA (Network Traffic Analysis) – системами анализа сетевого трафика, которые выявляют подозрительные паттерны и признаки атак на уровне потоков данных, даже при использовании шифрования.

Полноценный аудит должен включать:

Самый надёжный и окончательный способ избавиться от «серой» точки доступа – это отключить её от электропитания и/или сетевого кабеля. Но если этот вариант невозможен (например, вы не установили физическое местоположение Rogue AP), то вы можете заблокировать её удалённо через интерфейс управления коммутатором, если, конечно, с помощью аудита выяснили к какому порту коммутатора она подключена.

«Серые» точки Wi-Fi – это не «издержки» роста беспроводной инфраструктуры в офисе и не «необходимое зло», которое можно терпеть. Это серьезные риски информационной безопасности компании и стабильности бизнеса.

Но бороться с ними запретами (отменить BYOD, ввести ответственность за подключение личных устройств к корпоративному Wi-Fi и т.п.) неэффективно. Реальное решение заключено в системном подходе: постоянный мониторинг, контроль доступа, анализ поведения устройств и регулярный аудит. Только так ваша Wi-Fi сеть останется инструментом для поддержания эффективности и развития бизнеса, а не источником скрытых угроз.

Плюс описанные нами меры решают не только задачи по поиску и обезвреживанию Rogue AP, а значительно усиливают киберзащищённость компании в целом.

Команда экспертов Крайон поможет вам подобрать лучшие решения для ИБ и выстроить систему киберзащиты любой сложности «под ключ». Оставьте заявку на сайте и мы вам поможем!