Get best of the week

So schützen Sie Remote-Mitarbeiter oder Home Office-Sicherheit



Die Coronavirus-Epidemie zwingt Unternehmen und staatliche Behörden, ihre Sicherheitsprinzipien massiv aufzugeben, geschützte Perimeter zu verlassen und Benutzer in einen Remote-Betriebsmodus zu versetzen. Es wurden bereits viele Artikel darüber geschrieben, wie man den Zugang sicher macht und wo man kostenlose Lizenzen erhält. Wir als Zentrum für die Überwachung und Reaktion auf Cyber-Angriffe werden versuchen, die Risiken und vorübergehenden Schwierigkeiten beim Schutz des Perimeters zu beschreiben, die im Zusammenhang mit der neuen Weltordnung entstehen. Lesen Sie unter der Katze, was und wie zu überwachen ist, wenn Mitarbeiter zur Remote-Arbeit versetzt werden.


Abflüsse, Undichtigkeiten und Haushaltsgeräte


Der Pfad zum Fernzugriff beginnt mit einer Verbindung. Wenn wir viel Zeit hätten, um eine wirklich sichere Lösung zu entwickeln, würden wir ganze Schutzstufen aufbauen:

  • Überprüfen verbundener Geräte auf Sicherheitsrichtlinien oder zumindest Verweigern des Zugriffs von persönlichen Geräten.
  • Ein in Geräte eingebettetes Zertifikat oder ein zweiter Authentifizierungsfaktor.
  • Administrator-Steuerungssystem zum Aufzeichnen von Zugriffen, Befehlen und Videos.

Die Zeit ist jedoch begrenzt. Es ist dringend erforderlich, Mitarbeiter an einen Remotestandort zu verlegen, damit niemand auf eine umfangreiche Implementierung, die Bereitstellung von Token / neuen Systemen oder die Skalierung des aktuellen Zugriffs warten kann. Infolgedessen verbleiben die meisten Unternehmen auf der Ebene der Konfigurationsdatei (einfach auszuwählen) sowie auf dem klassischen Paar aus Benutzername und Kennwort aus dem Konto für Heimgeräte und den Verbindungsschutz.

Und hier betreten wir die Umlaufbahn des ersten Problemkreises. Trotz Domain-Richtlinien können Benutzer Kennwörter für "Wörterbuch" und "Regenbogen" verwenden. Einige von ihnen stimmen mit persönlichen Passwörtern aus externen Ressourcen überein, bei denen die Pflaumen so aktiv sind, dass es nicht einmal sinnvoll ist, Analysen durchzuführen. Manchmal treten Anmeldungen und Passwörter einfach von infizierten persönlichen Geräten aus und gefährden in neuen Realitäten nicht nur die E-Mails, sondern geben einem Angreifer auch Raum für weiteren Einfluss auf die Infrastruktur.

Was wir empfehlen zu folgen:

  • Geolokalisierung der VPN-Verbindung - Der Fehler des Szenarios ist hoch (insbesondere bei der Arbeit mit Opera Turbo oder bei der aktiven Umgehung von Sperren). Sie können jedoch den stellvertretenden General Manager sehen, der (plötzlich) eine Verbindung aus dem Senegal herstellt. Jede Geolokalisierungsbasis hat ihre eigenen Einschränkungen und Fehler, aber jetzt ist es besser, sie zu übertreiben.
  • «» — VPN- ( , , , ). , , .
  • «» . : , , , VPN-, .. , , , , , – . «», , .
  • . , , — -. — .
  • ( ). , , . VPN , . , , .
  • Ein wichtiger Faktor ist die Verwendung von TI. Versuche und noch erfolgreichere Verbindungen von kompromittierten Hosts, Anonymisierern, Proxys oder TOR-Knoten können ein Zeichen für einen Angriff von Hackern sein, die versuchen, Spuren ihrer Arbeit durch Anonymisierung des letzten Schritts zu verbergen.

VPN wird gehackt, wir schützen das Netzwerk


Wenn es einem Angreifer gelungen ist, die erste Verteidigungslinie zu überwinden und Zugriff auf ein VPN zu erhalten, endet unsere Fähigkeit, es zu identifizieren, nicht dort. Wie die Probleme:

  • In der Regel werden in der Hitze der schnellen Arbeit redundante Zugriffe geöffnet: anstelle von Zielsystemen auf ganze Netzwerksegmente.
  • Oft gibt es keine vollständige Kontoverwaltung, und aktuelle Systeme oder privilegierte Konten haben allgemeinen Zugriff.

Was in dieser Phase zu kontrollieren ist:

  • () VPN . , . - -, VPN root, .
  • , / . VPN- , «» , . , . .
  • . , , low and slow . , ,
  • Indirekte Anzeichen für einen Versuch, Daten zu sammeln, sind die Überwachung des Sitzungsvolumens im VPN, ihre Dauer und alle Anomalien, die darauf hinweisen, dass sich der Benutzer ungewöhnlich verhält. Auf diese Weise können Sie sowohl interne als auch externe Vorfälle identifizieren.

Schutz von Zielsystemen oder Terminalzugriff


Wenn wir nicht so verzweifelt mutig sind, jeden Benutzer zu unserer Workstation zu lassen, fungieren die Terminalserver / Hubs der Benutzer normalerweise als Kollaborations- / Proxy-Umgebung für Remote-Mitarbeiter.

In ihrem Fall sind Überwachungsansätze völlig identisch mit der Überwachung eines kritischen Hosts:

  • Analyse der Startprotokolle des Hostprozesses auf Anomalien
  • Die Überwachung des Remote-Prozesses und -Dienstes wird gestartet
  • Steuerung der Remoteverwaltungstools
  • ,

Ich hoffe, wir werden Sie in naher Zukunft über die Überwachung von Endstationen informieren. Es ist jedoch wichtig zu beachten, dass wir in der lokalen Gruppe von Terminalservern in der Regel in der Lage sind, mit jedem Positiv umzugehen und ein Urteil zu fällen, wenn im allgemeinen Umfang der Maschinen in der Regel viele Fehlalarme vorliegen.

Auf die eine oder andere Weise muss die Bereitstellung des Fernzugriffs für Mitarbeiter auf die Infrastruktur aufgrund teurer und komplexer Lösungen, insbesondere zu Beginn, nicht implementiert werden. Und während wir einen wirklich sicheren Zugang entwerfen, ist es wichtig, das Sicherheitsniveau beim Freischwimmen nicht loszulassen und uns weiterhin mit den wichtigsten Problemen und Risiken zu befassen. Beachten Sie daher die Hygiene im Alltag, aber vergessen Sie nicht die Hygiene im Hinblick auf die Informationssicherheit. Und sei gesund.

More articles:


All Articles