Get best of the week

Wie Sie Ihre Firma nicht einem Hacker geben, während dieser weg ist. Tipps für SOC-Spezialisten



Bilder: Unsplash

Das Konzept der " Fernarbeit " gewann für viele nur im Zusammenhang mit Maßnahmen zur Nichtverbreitung von Virusinfektionen an Bedeutung, denen wir uns leider alle stellen mussten. Eine äußerst kleine Anzahl von Unternehmen hat Erfahrung mit dem Massentransfer von Mitarbeitern an einen entfernten Standort. Und selbst diejenigen, die sich durch eine leistungsstarke und entwickelte IT-Infrastruktur auszeichnen, sind häufig nicht dazu bereit und verfügen nicht über die entsprechenden integrierten Prozesse und eine Reihe von Schutzwerkzeugen. Daher muss ihre IS-Abteilung auch neue, spezifische Aufgaben lösen. Und hier ist die Branche überhaupt nicht wichtig. Es gibt Beispiele für Unternehmen, deren Geschäft auf der Arbeit über das Internet basiert und die anscheinend einen Hund in der Fernarbeit und deren Sicherheit gefressen haben - aber nein, sie haben auch Probleme in der neuen Realität.

Um unseren Kollegen das Leben zu erleichtern, haben wir eine Reihe von Tipps für die Arbeit an einem Remote-Standort zusammengestellt, die speziell für SOC-Einheiten (egal welche - intern oder Outsourcing) entwickelt wurden und sich nun auch an neue Realitäten anpassen.

RDP, VPN, DaaS - was hast du?


Natürlich ist es wichtig, genau zu bestimmen, wie Remote-Mitarbeiter Zugriff auf die Infrastruktur des Unternehmens erhalten. Der Zugriff auf eine Remote-Workstation kann auf verschiedene Arten organisiert werden:

  • von einem Unternehmensgerät, das einem Mitarbeiter mit Zugriff auf das interne Netzwerk des Unternehmens zur Verfügung gestellt wird;
  • mit Hilfe eines dicken Kunden zu bestimmten veröffentlichten Diensten des Unternehmens;
  • Verwenden eines Thin Clients über einen Browser für veröffentlichte Dienste mit einer Weboberfläche.

Einerseits ist ein Thick Client vorzuziehen, da Sie damit das Gerät steuern können. Andererseits ist die Installation auf persönlichen Geräten mit dem Risiko einer Beeinträchtigung des Dienstes verbunden, da in diesem Fall der Status der Software auf dem Gerät nicht überwacht wird (es gibt kein Schwachstellenmanagement und keine Konformität, Sie können die Verfügbarkeit des Virenschutzes und bestimmter Betriebssystemeinstellungen nicht überprüfen). Ein persönliches Gerät ist fast garantiert schwächer geschützt als ein Unternehmensgerät.

Abhängig von der Methode zur Organisation der Fernarbeit ändert sich auch der Schwerpunkt der Überwachung und Identifizierung von Kompromissversuchen. Zum Beispiel kann WAF Angriffe auf veröffentlichte Dienste für Thin Clients gut schützen und erkennen.. Um die Aktivität von Geräten zu schützen und zu überwachen, die über VPN auf das Unternehmensinformationsnetzwerk zugreifen können, benötigen Sie eine größere Auswahl an Informationssicherheitslösungen. Es ist zu beachten, dass der Internetkanal, mit dem das Gerät des Mitarbeiters jetzt verbunden ist, nicht unter der Kontrolle des IS-Dienstes steht. Dies führt zu einem zusätzlichen Risiko, dass beispielsweise Benutzeranmeldeinformationen (und manchmal Unternehmensdaten, wenn der Benutzer aktiv mit ihnen arbeitet) verloren gehen und tauscht ständig große Informationsmengen mit dem Netzwerk des Unternehmens aus).

Im Falle eines Massentransfers von Mitarbeitern zur Fernarbeit werden einige von ihnen wahrscheinlich mit Unternehmensausrüstung ausgestattet sein, die gemäß allen Sicherheitsstandards konfiguriert ist. Es ist jedoch unmöglich, mögliche Massenverstöße auszuschließen (insbesondere wenn es sich um eine Organisation mit einem umfangreichen Netzwerk von Niederlassungen handelt) und Versuche, nach der Installation der entsprechenden Software nicht von einem Unternehmensgerät, sondern von einem persönlichen aus auf das Unternehmensnetzwerk zuzugreifen, selbst wenn ein direktes Verbot solcher Aktionen besteht . In diesem Fall lohnt es sich, bei der Überwachung die Möglichkeit zu berücksichtigen, mit dem Unternehmensnetzwerk verbundene Geräte zu klassifizieren und nach bestimmten Kriterien zu trennen.

Was ist unter der Haube und wie effektiv wird es eingesetzt


Das erste, worauf Sie achten müssen, ist eine Bestandsaufnahme der verfügbaren Schutzausrüstung (wenn Sie aus irgendeinem Grund nach den Ärmeln mit diesem Problem in Verbindung gebracht haben, ist es jetzt an der Zeit, die Schwänze zu reinigen). Das technologische Minimum umfasst also:

  • Zugangskontroll- und Datensicherheitssysteme bieten Mitarbeitern Zugriff auf Arbeitstools, ohne die Sicherheit zu beeinträchtigen. Zunächst geht es um Firewalls und Mittel zur Organisation von virtuellen privaten Netzwerken (VPNs).
  • SIEM-System als „Informationszentrum“ zur Überwachung, das Informationen über das Geschehen an allen Knoten des geschützten Netzwerks zusammenfasst und schnell auf abnormale Änderungen und identifizierte Vorfälle reagiert.
  • Web application firewall, , . IT-, , , (, -).
  • NTA-, , , , .
  • DLP-, .
  • Analyse des Benutzer- und Organisationsverhaltens ( Analyse des Benutzer- und Entitätsverhaltens, UEBA) - da es sich um die Profilerstellung handelt, können wir auch nicht darauf verzichten. In diesem Fall ist jedoch zu beachten, dass sich mit dem Massenübergang zur Remote-Arbeit das übliche Benutzerverhalten ändert. Daher ist es wichtig, die Zeit für die Feinabstimmung der Profile festzulegen.

Die Liste geht weiter. Es unterscheidet sich nicht allzu sehr von der Liste der Informationssicherheitssysteme, die in jeder gut entwickelten IT-Infrastruktur erforderlich sind. Die Schwerpunkte ändern sich größtenteils: Wenn der Schutz vor externen Bedrohungen früher relevanter war, können Benutzer der Systeme selbst jetzt mit einer externen Bedrohung gleichgesetzt werden (sie sind nicht mehr vollständig vertrauenswürdig) Seite beim Anschluss an die Infrastruktur).

Wenn Sie aus irgendeinem Grund etwas aus der aufgelisteten technologischen Liste verpasst haben, besteht der mögliche Ausweg möglicherweise darin, Open-Source-Informationssicherheitssysteme (als zusätzliche) zu verwenden oder bestimmte fehlende Funktionen mit vorhandenen Mitteln zu implementieren. Die IB-Community befindet sich mitten in einer allgemeinen Krise. Jetzt können Sie Sonderangebote von Herstellern von Netzwerkgeräten und SZI (im In- und Ausland) nutzen: Sie bieten Produkte und Dienstleistungen an, die die Organisation sicherer Fernarbeit mit Rabatten oder Nachfristen erleichtern.

Ist es möglich, bereits wieder zu existieren


Einer der erfolgreichsten Schutzmaßnahmen zum Testen in einer neuen Rolle - SIEM. Kein Wunder: Es befindet sich im Arsenal fast aller Informationssicherheitsteams, und wenn es sich um einen SOC-Befehl handelt, handelt es sich um ein grundlegendes Werkzeug. Die Regeln für die Korrelation von Ereignissen aus verschiedenen Quellen ermöglichen die Implementierung praktisch jeder Art von Steuerung und Überwachung sowie automatischer Benachrichtigungen. Mit dem SIEM-System können Sie beispielsweise eine Art UEBA erstellen (die Teil der oben beschriebenen erforderlichen Technologien ist). Durch die Verbindung von Netzwerkgeräten und Arbeitsplätzen, die aus der Infrastruktur des Unternehmens entnommen wurden, als Quellen können Sie Informationsressourcen überwachen, auf die Mitarbeiter von einem Remotestandort aus zugreifen, und auf Zugriffsversuche reagieren, z. B. in Netzwerksegmente, in denen diese Benutzerkategorie nichts zu tun hat.

Durch die Verteilung der im Unternehmen verfügbaren Antiviren-Schutz-Tools an die Heimgeräte der Benutzer (natürlich mit deren Zustimmung), denen das Recht zur Nutzung veröffentlichter Dienste übertragen wurde, erhält der Informationssicherheitsdienst des Unternehmens mehr Informationen über neue Endpunkte, die mit diesen Diensten verbunden sind, und erhöht auch die Sicherheit dieser Geräte Dies bietet neben dem zusätzlichen Schutz von Unternehmensinformationen auch Schutz und personenbezogene Daten von Mitarbeitern.

Wenn Sie remote arbeiten, nimmt die Datenmenge im Informations- und Telekommunikationsnetz des Unternehmens zwangsläufig zu, sodass Lösungen der NTA-Klasse eine gute Hilfe bei der Überwachung dieser Aktivität und der Erkennung von Computerangriffen und anderen Anomalien darstellen. Mit ihrer Hilfe ist es möglich, sowohl direkt schädliche Einflüsse in Echtzeit zu erkennen als auch die Aufgaben der retrospektiven Analyse von Vorfällen und Ereignissen zu lösen, wenn das NTA-System ausreichend Speicher zum Speichern von Verkehrsaufzeichnungen bietet.

Klassisch oder mit einem Augenzwinkern überwachen?


Es ist unmöglich und nicht ratsam, alle Arten von Fällen zu zerlegen und anzuprobieren. Es gibt jedoch eine Reihe von Szenarien, einschließlich der kritischsten Szenarien. Diese Szenarien können in angemessener Zeit implementiert werden und erfordern vor allem eine angemessene Menge an Ressourcen. Gleichzeitig können Sie damit die wahrscheinlichsten Angriffsmethoden abdecken, über die ein Angreifer versuchen kann, in das Informationsnetz des Unternehmens einzudringen.

Einfach aber geschmackvoll: fehlerhafte Passwörter, IP und doppelte Verbindungen


Beginnen wir also mit den Klassikern des Genres, die darauf abzielen, einfache Markierungen der Mitarbeiteraktivität zu verfolgen, wie z. B. IP-Nichtübereinstimmung, eine übermäßige Anzahl von Fehlern bei der Eingabe eines Passworts usw.

  • . , VPN-. , . , , , , .
  • IP . ( ). , . , .
  • ( ). . , , . SIEM-, (VPN) ( , — ).

«» —


Eine Reihe komplexerer Überwachungs- und Ereigniserkennungsschemata zielt darauf ab, die in klassischen Szenarien gesammelten Daten erheblich zu bereichern und die Genauigkeit der Identifizierung unzulässiger Verbindungen in der Masse der Anforderungen zu erhöhen, die während des vollständigen Fernzugriffs im Netzwerk generiert werden. Alle darin enthaltenen Szenarien implizieren auch die Anhäufung von Daten, die für die schnellste und effektivste Untersuchung des Vorfalls erforderlich sind.

  • Identifizierung von Domänen- und Nichtdomänenarbeitsstationen mit Remoteverbindung. , , . , Microsoft, , AD, , , . ( ), «» , . , (FQDN) ― , , . NTA , , .
  • , . , , . , GeoIP- ( ) . , , , , .

Die Verwendung einer retrospektiven Analyse gespeicherter Daten über den Standort eines Benutzers kann weniger auffällige Anomalien aufdecken: Beispielsweise ist es unwahrscheinlich, dass ein legitimer Benutzer, der einen Desktop-Computer verwenden muss, mit einem Unternehmensnetzwerk aus verschiedenen Städten verbunden wird.

Für eine vollständige Reputationsbewertung der Adressen, von denen aus externe Benutzer eine Verbindung herstellen, können Bedrohungsnachrichtensysteme verwendet werden. Sie helfen dabei, sowohl infizierte Computer zu identifizieren, die Mitglieder von Botnetzen sind, als auch Verbindungsversuche aus verschiedenen anonymisierenden Netzwerken (z. B. über TOR- oder Anti-Missbrauchs-VPN-Anbieter).

  • Überwachen der Administratorverbindungen und Vornehmen von Konfigurationsänderungen an kritischen Infrastrukturdiensten. , , , , . , , . ( , ) , . ― , AD. .

Bei Massenfernarbeit von Mitarbeitern ist es unbedingt erforderlich, den Zugriff auf Zugangspunkte zum Unternehmensnetzwerk über dasselbe VPN und Änderungen in ihrer Konfiguration streng zu kontrollieren. Das Verfolgen und Protokollieren dieser Daten ist sowohl zur Überprüfung der Legitimität von Aktionen als auch zur Untersuchung möglicher IS-Vorfälle hilfreich. Die allgemeine Kontrolle über die Aktionen von Administratoren bei kritischen Infrastrukturdiensten ist nicht spezifisch für die Situation bei Massenfernarbeit von Mitarbeitern - dies ist eine häufige Notwendigkeit, kann jedoch nicht ignoriert werden.
  • . , , IP- VPN, . , . , , , ― .


Bei der Überwachung der Informationssicherheit treten manchmal völlig ungewöhnliche Fälle auf. Der Vorteil der verfügbaren Tools ermöglicht es meistens, dass sie relativ einfach ausgeführt werden können.
Aus irgendeinem Grund verfügt das Unternehmen möglicherweise nicht über ein DLP-Klassensystem. Was kann getan werden? Verwenden Sie SIEM und überwachen Sie Dateispeicherzugriffe. Erstellen Sie dazu eine Liste der Dateien, auf die zugegriffen werden kann, und das Herunterladen von einem Segment von VPN-Benutzern, die remote arbeiten, ist unerwünscht oder verboten, und konfigurieren Sie die entsprechenden Überwachungsrichtlinien für die Speicher selbst. Wenn solche Versuche im SIEM-System behoben werden, wird automatisch ein Vorfall gestartet. Es kommt jedoch vor, dass die Volumina der Dateispeicher solche Größen erreichen, dass die Aufgabe, eine Liste zu erstellen und Daten darauf zu klassifizieren, praktisch unlösbar wird. In diesem Fall richtet das Mindestprogramm die Protokollierung von Zugriffen auf Speicher und Dateivorgänge ein. Diese Informationen dienen zur Untersuchung möglicher Lecks.

Aber es gibt noch ausgefeiltere Rätsel. Beispielsweise können Daten zur Verbindung mit einem VPN oder zu veröffentlichten Diensten, die Sitzungsdauer, einem Analysten Informationen gebenWie sich die Arbeitsdisziplin in einem Unternehmen mit sich ändernden Arbeitsbedingungen ändert (und ändert) . Scherz als Scherz, aber die Erstellung von Arbeitszeiten für Mitarbeiter an einem entfernten Standort im Falle der Überwachung der Informationssicherheit ist sehr nützlich: Eine Verbindung zum Netzwerk eines Unternehmens außerhalb des Zeitlimits kann als eindeutiger IS-Vorfall angesehen werden. Wenn es unmöglich ist, eine solche Regelung zu erstellen, ist es sinnvoll, dass der Überwachungsdienst auf offensichtlich anomale Dinge achtet: etwa auf die Tätigkeit eines Benutzers, der nachts nicht mit einem Dienst verbunden ist. Stimmen Sie zu, dass der Mitarbeiter der Personalabteilung, der um drei Uhr morgens eine Fernverbindung hergestellt hat, zumindest misstrauisch ist - es kann sich herausstellen, dass er das Konto des Mitarbeiters angreift.

Man kann nur die eingehende Analyse des Netzwerkverkehrs erwähnen. Nachdem Sie die NTA-Klassenlösung implementiert und sichergestellt haben, dass sie vom Gateway aus mit dem Netzwerkverkehrskanal verbunden ist, um Benutzer remote mit dem internen Netzwerk zu verbinden, können Sie effektiv bestimmen, welche Intranetdienste verwendet werden, und Versuche identifizieren, diese zu gefährden, einschließlich „Benutzer“, die sich tatsächlich als Eindringlinge oder Mitarbeiter herausstellen mit Malware infizierte Stationen. Darüber hinaus kann NTA IS-Mitarbeitern das Leben erleichtern, indem sie steuern, ob Unternehmensnetzwerksegmente für den Remotezugriff zulässig oder ausdrücklich verboten sind.

***.


In der gegenwärtigen Stresssituation können Mitarbeiter von IT- und Informationssicherheitsdiensten viel Energie und Nerven aufwenden, wenn sie versuchen, einen sicheren Übergang des Unternehmens zur Fernarbeit nachlässig oder ahnungslos zu gewährleisten. Und um ihre Arbeit so weit wie möglich zu vereinfachen, haben wir die wichtigsten Bewegungsrichtungen skizziert. Wenn beispielsweise ein eingebettetes SIEM-System und damit verbundene Quellen, einschließlich SZI und Netzwerkausrüstung, vorhanden sind, dauert die Auswahl der Hauptzonen für die Überwachung und Implementierung der relevanten Regeln für die Korrelation von Ereignissen zusammen mit der Einrichtung von Quellen zwei bis drei Tage. Das heißt, diese Aufgabe ist vor dem Hintergrund der Verlagerung der Arbeitsplätze der Mitarbeiter nach Hause mehr als machbar.

Viel blieb hinter den Kulissen: So haben wir den allgemeinen Reifegrad des Informationssicherheitsunternehmens praktisch nicht angesprochen, während die Umsetzung von Schutzmaßnahmen für die heute betrachteten Fälle bei schwerwiegenden Mängeln des alltäglichen Sicherheitssystems vollständig abgeschrieben werden kann. Angenommen, Sie verfügen über eine gut organisierte Überwachung von Benutzern mit Remoteverbindung. Jobs mit 100-prozentiger Genauigkeit werden als Domain und Nicht-Domain klassifiziert. Gleichzeitig wird jedoch ein selbst geschriebener Webdienst mit einem elementar erkennbaren RCE außerhalb des Unternehmensnetzwerks veröffentlicht, dessen Server auch über einen internen verfügt Adresse, und das Netzwerkdiagramm ist in der Nähe des klassischen Sterns. Stahlbetonschutz gibt es nicht und in seiner Verbesserung gibt es immer Raum für Kreativität und Entwicklung.

Gepostet von Pavel Kuznetsov, Leiter Informationssicherheitsüberwachung,PT Expert Security Center , Positive Technologien

More articles:


All Articles