Get best of the week

كيف لا تعطي شركتك لقراصنة عندما تكون بعيدة. نصائح لمتخصصي SOC



الصور: Unsplash اكتسب

مفهوم "العمل عن بعد" للكثيرين أهمية فقط فيما يتعلق بتدابير عدم انتشار العدوى الفيروسية ، والتي كان علينا جميعا ، للأسف ، مواجهتها. لدى عدد صغير للغاية من الشركات خبرة في النقل الجماعي للموظفين إلى موقع بعيد. وحتى أولئك الذين يتميزون ببنية تحتية قوية ومتطورة لتكنولوجيا المعلومات ليسوا جاهزين لذلك في كثير من الأحيان وليس لديهم العمليات المدمجة المقابلة ومجموعة من أدوات الحماية. لذلك ، يجب على قسم نظم المعلومات التابع لهم أيضًا حل مهام جديدة ومحددة. وهنا الصناعة ليست مهمة على الإطلاق. هناك أمثلة لشركات يعتمد عملها على العمل عبر الإنترنت ، ويبدو أنها قد أكلت الكلب في العمل عن بعد وأمنه - ولكن لا ، لديهم أيضًا مشاكل في الواقع الجديد.

من أجل تسهيل الحياة على زملائنا ، قمنا بتشكيل عدد من النصائح للعمل على موقع بعيد ، مصمم خصيصًا لوحدات SOC (بغض النظر عن الوحدات الداخلية أو وحدات الاستعانة بمصادر خارجية) ، والتي تتكيف أيضًا مع الحقائق الجديدة.

RDP ، VPN ، DaaS - ماذا لديك؟


بالطبع ، من المهم تحديد كيفية وصول الموظفين البعيدين إلى البنية التحتية للشركة بالضبط. يمكن تنظيم الوصول إلى محطة عمل بعيدة بعدة طرق:

  • من جهاز مشترك يتم توفيره لموظف يمكنه الوصول إلى الشبكة الداخلية للشركة ؛
  • بمساعدة عميل كثيف لبعض الخدمات المنشورة للشركة ؛
  • باستخدام عميل رفيع ، من خلال متصفح ، للخدمات المنشورة التي لها واجهة ويب.

من ناحية ، يفضل العميل السميك ، لأنه يسمح لك بالتحكم في الجهاز. من ناحية أخرى ، فإن تثبيته على الأجهزة الشخصية محفوف بخطر اختراق الخدمة ، نظرًا لأنه في هذه الحالة لا يتم رصد حالة البرامج على الجهاز (لا توجد إدارة للثغرات والتوافق ، لا يمكنك التحقق من توفر الحماية من الفيروسات وإعدادات معينة لنظام التشغيل). يكاد يكون مضمونًا حماية جهاز شخصي أضعف من جهاز الشركة.

اعتمادًا على طريقة تنظيم العمل عن بُعد ، يتغير أيضًا تركيز مراقبة وتحديد محاولات المساومة. على سبيل المثال ، تقوم WAF بعمل جيد في حماية واكتشاف الهجمات على الخدمات المنشورة للعملاء الرقيقين.. ولحماية ومراقبة نشاط الأجهزة التي يمكنها الوصول إلى شبكة معلومات الشركة عبر VPN ، فأنت بحاجة إلى مجموعة أوسع من حلول أمن المعلومات. يجب أن يوضع في الاعتبار أن قناة الإنترنت التي يتصل بها جهاز الموظف الآن ليست تحت سيطرة خدمة أمن المعلومات ، وهذا يخلق خطرًا إضافيًا من التسرب ، على سبيل المثال ، بيانات اعتماد المستخدم (وأحيانًا بيانات الشركة إذا كان المستخدم يعمل بنشاط معهم ويتبادل باستمرار كميات كبيرة من المعلومات مع شبكة الشركة).

في حالة النقل الجماعي للموظفين إلى العمل عن بعد ، من المحتمل أن يتم تزويد بعضهم بمعدات الشركات التي تم تكوينها وفقًا لجميع معايير الأمان. ولكن من المستحيل استبعاد الانتهاكات الجماعية المحتملة (خاصة إذا كنا نتحدث عن منظمة ذات شبكة واسعة من الفروع) ومحاولات الوصول إلى شبكة الشركة ليس من جهاز الشركة ، ولكن من جهاز شخصي بعد تثبيت البرنامج المناسب عليها ، حتى إذا كان هناك حظر مباشر على مثل هذه الإجراءات . في هذه الحالة ، من المفيد مراعاة عند مراقبة إمكانية تصنيف الأجهزة المتصلة بشبكة الشركة وفصلها وفقًا لمعايير معينة.

ما هو تحت الغطاء ومدى فعالية استخدامه


أول شيء تحتاج إلى الانتباه إليه هو جرد لمعدات الحماية المتاحة (إذا كنت تستخدم لسبب ما علاقة بهذه المشكلة بعد الأكمام ، فقد حان الوقت لتنظيف ذيول). لذا ، فإن الحد الأدنى التكنولوجي يشمل:

  • أنظمة التحكم في الوصول وأمن البيانات المصممة لتزويد الموظفين بالوصول إلى أدوات العمل دون المساس بالأمان. بادئ ذي بدء ، نحن نتحدث عن جدران الحماية ووسائل تنظيم الشبكات الخاصة الافتراضية (VPNs).
  • نظام SIEM باعتباره "مركز معلومات" للرصد ، مصمم لتجميع المعلومات حول ما يحدث في جميع نقاط الشبكة المحمية والاستجابة بسرعة للتغييرات غير الطبيعية والحوادث المحددة.
  • Web application firewall, , . IT-, , , (, -).
  • NTA-, , , , .
  • DLP-, .
  • تحليل سلوك المستخدم والمنظمة (تحليلات سلوك المستخدم والكيان ، UEBA) - نظرًا لأننا نتحدث عن التصنيف ، لا يمكننا الاستغناء عنها أيضًا. ومع ذلك ، في هذه الحالة ، من الجدير بالذكر أنه مع الانتقال الجماعي إلى العمل عن بُعد ، يتغير سلوك المستخدم المعتاد ، لذلك من المهم تحديد الوقت لتحسين الإعدادات.

والقائمة تطول. لا يختلف كثيرًا عن قائمة أنظمة أمن المعلومات المطلوبة في كل بنية تحتية متطورة لتكنولوجيا المعلومات - فالتركيز يتغير في الغالب: إذا كانت الحماية ضد التهديدات الخارجية أكثر صلة في السابق ، الآن يمكن مساواة مستخدمي الأنظمة بأنفسهم بتهديد خارجي (يتوقفون عن الوثوق بهم بالكامل الجانب عند الاتصال بالبنية التحتية).

في الوقت نفسه ، إذا فاتك شيء ما من القائمة التكنولوجية المدرجة لسبب ما ، فقد يكون المخرج المحتمل من الموقف هو استخدام أنظمة أمان المعلومات مفتوحة المصدر (كأنظمة إضافية) أو تنفيذ بعض الوظائف المفقودة باستخدام الوسائل الموجودة. يتجمع مجتمع البكالوريا الدولية في خضم أزمة عامة ، والآن يمكنك الاستفادة من العروض الخاصة من الشركات المصنعة لمعدات الشبكة و SZI (المحلية والأجنبية): فهي تقدم منتجات وخدمات تسهل تنظيم العمل عن بعد الآمن ، مع خصومات أو فترات سماح للاستخدام.

هل من الممكن إعادة الموجودة بالفعل


واحدة من أنجح عمليات الحماية للاختبار في دور جديد - SIEM. وهذا ليس مفاجئًا: إنه في ترسانة أي فريق أمن معلومات تقريبًا ، وإذا كان الأمر SOC أمرًا أساسيًا. تتيح قواعد ربط الأحداث من مجموعة متنوعة من المصادر تنفيذ أي نوع من التحكم والمراقبة تقريبًا ، بالإضافة إلى الإشعارات التلقائية. على سبيل المثال ، باستخدام نظام SIEM ، يمكنك إنشاء نوع من UEBA (وهو جزء من مجموعة التقنيات الضرورية الموضحة أعلاه). من خلال توصيل معدات الشبكة وأماكن العمل المأخوذة من البنية التحتية للمؤسسة كمصادر ، يمكنك مراقبة موارد المعلومات التي يصل إليها الموظفون من موقع بعيد والاستجابة لمحاولات الوصول ، على سبيل المثال ، إلى أجزاء الشبكة التي لا يوجد فيها شيء لفئة المستخدمين للقيام به.

من خلال توزيع أدوات الحماية من الفيروسات المتاحة في الشركة على الأجهزة المنزلية للمستخدمين (بموافقتهم بالطبع) الذين يتم تفويضهم بالحق في استخدام الخدمات المنشورة ، تتلقى خدمة أمن معلومات الشركة مزيدًا من المعلومات حول نقاط النهاية الجديدة المتصلة بهذه الخدمات ، كما تزيد من أمان هذه الأجهزة هذا ، بالإضافة إلى حماية إضافية لمعلومات الشركة ، يوفر الحماية والبيانات الشخصية للموظفين.

عند العمل عن بعد ، تزداد حتمية كمية البيانات المتداولة في شبكة المعلومات والاتصالات الخاصة بالشركة ، لذلك تصبح حلول NTA class مساعدة جيدة في مراقبة هذا النشاط ، واكتشاف هجمات الكمبيوتر وغيرها من الحالات الشاذة. بمساعدتهم ، من الممكن اكتشاف التأثيرات الضارة مباشرة في الوقت الفعلي ، وحل مهام التحليل بأثر رجعي للحوادث والأحداث إذا كان نظام NTA يوفر ذاكرة كافية لتخزين سجلات حركة المرور.

رصد الكلاسيكية أو مع وميض؟


من المستحيل تفكيك ومحاولة جميع الحالات المتنوعة ، وغير مستحسن. ولكن هناك مجموعة معينة منها ، بما في ذلك السيناريوهات الأكثر أهمية. يمكن تنفيذ هذه السيناريوهات في وقت معقول ، والأهم من ذلك ، تتطلب كمية كافية من الموارد. في نفس الوقت ، تسمح لك بتغطية ناقلات الهجوم الأكثر احتمالاً ، والتي من خلالها يمكن للمهاجم محاولة اختراق شبكة معلومات الشركة.

بسيطة ولكنها جيدة: كلمات مرور خاطئة ، IP واتصالات مكررة


لذا ، دعنا نبدأ مع كلاسيكيات هذا النوع ، والتي تهدف إلى تتبع العلامات البسيطة لنشاط الموظف ، مثل عدم تطابق IP ، وعدد كبير من الأخطاء عند إدخال كلمة المرور ، وما إلى ذلك.

  • . , VPN-. , . , , , , .
  • IP . ( ). , . , .
  • ( ). . , , . SIEM-, (VPN) ( , — ).

«» —


تهدف مجموعة من مخططات المراقبة والكشف عن الحوادث الأكثر تعقيدًا إلى إثراء البيانات التي تم جمعها بشكل كبير خلال السيناريوهات الكلاسيكية وزيادة دقة تحديد الاتصالات غير المشروعة في كتلة الطلبات التي يتم إنشاؤها على الشبكة أثناء الوصول الكامل عن بعد. تتضمن جميع السيناريوهات المدرجة فيه أيضًا تراكم البيانات الضرورية لتحقيق سريع وفعال في الحادث.

  • تحديد محطات عمل المجال وغير المجال مع الاتصال عن بعد. , , . , Microsoft, , AD, , , . ( ), «» , . , (FQDN) ― , , . NTA , , .
  • , . , , . , GeoIP- ( ) . , , , , .

يمكن أن يكشف استخدام التحليل بأثر رجعي للبيانات المخزنة حول موقع المستخدم عن حالات شاذة أقل وضوحًا: على سبيل المثال ، من غير المحتمل أن يكون المستخدم الشرعي الذي يحتاج إلى استخدام كمبيوتر سطح المكتب متصلاً بشبكة شركة من مدن مختلفة.

لتقييم سمعة كاملة للعناوين التي يتصل منها المستخدمون الخارجيون ، يمكن استخدام أنظمة استخبارات التهديد. سيساعدون في تحديد كل من الأجهزة المصابة التي هي أعضاء في شبكات الروبوت ومحاولات الاتصال من مختلف شبكات إخفاء الهوية (على سبيل المثال ، من خلال TOR أو مزودي VPN لمكافحة إساءة الاستخدام).

  • مراقبة اتصالات المسؤولين وإجراء تغييرات التكوين لخدمات البنية التحتية الحيوية. , , , , . , , . ( , ) , . ― , AD. .

في حالة العمل الجماعي عن بعد للموظفين ، من الضروري للغاية التحكم بشكل صارم في الوصول إلى نقاط الدخول إلى شبكة الشركة عبر نفس VPN والتغييرات في تكوينها. يعد تتبع وتسجيل هذه البيانات مفيدًا في التحقق من شرعية الإجراءات والتحقيق في حوادث تنظيم الدولة المحتملة. لا تقتصر السيطرة العامة على تصرفات المسؤولين على خدمات البنية التحتية الحيوية على الوضع مع العمل الجماعي عن بعد للموظفين - هذه ضرورة مشتركة ، ولكن لا يمكن تجاهلها.
  • . , , IP- VPN, . , . , , , ― .


عند مراقبة أمن المعلومات ، تحدث أحيانًا حالات غير قياسية تمامًا. غالبًا ما تتيح الاستفادة من الأدوات المتاحة تنفيذها بسهولة نسبية.
على سبيل المثال ، لسبب ما ، قد لا يكون لدى الشركة نظام فئة DLP. ماذا يمكن ان يفعل؟ استخدام SIEM ومراقبة وصول تخزين الملفات. للقيام بذلك ، قم بعمل قائمة بالملفات التي يعد الوصول إليها والتنزيل من شريحة من مستخدمي VPN الذين يعملون عن بُعد غير مرغوب فيه أو محظور ، وقم بتكوين سياسات التدقيق المناسبة على المخازن نفسها. عند إصلاح مثل هذه المحاولات في نظام SIEM ، يتم بدء الحادث تلقائيًا. ومع ذلك ، يحدث أن تصل أحجام تخزين الملفات إلى مثل هذه الأحجام بحيث تصبح مهمة تجميع قائمة وتصنيف البيانات عليها غير قابلة للحل عمليًا. في هذه الحالة ، الحد الأدنى من البرنامج هو إعداد تسجيل الدخول إلى المخازن وعمليات الملفات - ستعمل هذه المعلومات بشكل جيد في التحقيق في التسريبات المحتملة.

ولكن هناك المزيد من الألغاز الأكثر تعقيدًا. على سبيل المثال ، يمكن أن تعطي البيانات المتعلقة بالاتصال بشبكة VPN أو الخدمات المنشورة ، مدة الجلسات محللًا عنهاكيف يتغير انضباط العمل في الشركة (وهل يتغير) مع تغير ظروف العمل. يمزح على سبيل المزاح ، ولكن تحديد ساعات العمل للموظفين على موقع بعيد في حالة مراقبة أمن المعلومات أمر مفيد للغاية: يمكن اعتبار الاتصال بشبكة الشركة خارج المهلة الزمنية بمثابة حادث واضح في IS. إذا كان من المستحيل وضع مثل هذه اللائحة ، فمن المنطقي أن تلتفت خدمة المراقبة إلى الأشياء الشاذة بشكل واضح: على سبيل المثال ، نشاط المستخدم الذي لا يرتبط بأي خدمة واجب في الليل. توافق على أن موظف إدارة الموارد البشرية الذي اتصل عن بُعد في الساعة الثالثة صباحًا على الأقل يشتبه فيه - قد يتبين أنه مهاجم باستخدام حساب الموظف.

لا يسع المرء إلا أن يذكر التحليل المتعمق لحركة مرور الشبكة. بعد تنفيذ حل فئة NTA والتأكد من أنه متصل بقناة مرور الشبكة من البوابة لتوصيل المستخدمين عن بُعد بالشبكة الداخلية ، ستتمكن من تحديد خدمات الإنترانت المستخدمة بشكل فعال وتحديد محاولات اختراقها ، بما في ذلك "المستخدمون" الذين يتحولون في الواقع إلى متطفلين أو عمال المحطات المصابة بالبرامج الضارة. بالإضافة إلى ذلك ، يمكن لـ NTA أن تجعل الحياة أسهل لموظفي IS من حيث التحكم فيما إذا كانت أجزاء شبكة الشركة مسموح بها أو محظورة بشكل صريح للوصول عن بعد.

***


في الوضع العصيب الحالي ، يمكن لموظفي خدمات تكنولوجيا المعلومات وأمن المعلومات أن ينفقوا الكثير من الطاقة والأعصاب إذا حاولوا ضمان الانتقال الآمن للشركة إلى العمل عن بعد بلا مبالاة أو حدس. وبغية تبسيط عملهم قدر الإمكان ، حددنا الاتجاهات الرئيسية للحركة. على سبيل المثال ، إذا كان هناك نظام SIEM مضمنًا ومصادر متصلة به ، بما في ذلك SZI ومعدات الشبكة ، فإن اختيار المناطق الرئيسية لرصد وتنفيذ القواعد ذات الصلة لربط الأحداث سيستغرق يومين إلى ثلاثة أيام مع إنشاء المصادر. أي أن هذه المهمة أكثر من مجدية على خلفية حركة وظائف الموظفين في المنزل.

بقي الكثير وراء الكواليس: على سبيل المثال ، لم نتطرق عمليًا إلى المستوى العام لنضج شركة أمن المعلومات ، في حين أن تنفيذ تدابير الحماية للحالات التي تم النظر فيها اليوم يمكن أن يتم استهلاكه تمامًا عندما يعاني نظام الأمن اليومي من عيوب خطيرة. لنفترض أن لديك مراقبة منظمة جيدًا للمستخدمين المتصلين عن بُعد ، وتصنف الوظائف بدقة 100 في المائة على أنها مجال وغير نطاق ، ولكن في الوقت نفسه ، يتم نشر خدمة ويب "مكتوبة ذاتيًا" مع RCE قابل للكشف عن العناصر الأولية خارج شبكة الشركة ، كما أن خادمها يحتوي أيضًا على خدمة داخلية العنوان ، ومخطط الشبكة قريب من النجم الكلاسيكي. لا توجد حماية من الخرسانة المسلحة ، وفي تحسينها هناك دائمًا مجال للإبداع والتطوير.

أرسلت بواسطة بافل كوزنيتسوف، رئيس مراقبة أمن المعلومات،مركز PT Expert Security ، التقنيات الإيجابية

More articles:


All Articles