Get best of the week

Cómo proteger a los empleados remotos o la seguridad de la oficina en casa



La epidemia de coronavirus está obligando a las empresas y las autoridades estatales a abandonar masivamente sus principios de seguridad, dejar perímetros protegidos y transferir a los usuarios a un modo de operación remoto. Ya se han escrito muchos artículos sobre cómo hacer que el acceso sea seguro y dónde obtener licencias gratuitas. Nosotros, como centro para monitorear y responder a los ataques cibernéticos, trataremos de describir los riesgos y las dificultades temporales en la protección del perímetro que surgen en relación con el nuevo orden mundial. Sobre qué y cómo monitorear al transferir empleados al trabajo remoto, lea debajo del gato.


Desagües, fugas y electrodomésticos


La ruta de acceso remoto comienza con una conexión. Si tuviéramos mucho tiempo para diseñar una solución segura real, construiríamos niveles enteros de protección:

  • Verificación de políticas de seguridad en los dispositivos conectados o, como mínimo, denegación de acceso desde dispositivos personales.
  • Un certificado incrustado en dispositivos o un segundo factor de autenticación.
  • Sistema de control de administrador para grabar accesos, comandos y videos.

Pero el tiempo es limitado, es urgente transferir a los empleados a un sitio remoto, por lo que nadie esperará una implementación grande, la entrega de tokens / nuevos sistemas o la ampliación del acceso actual. Como resultado, la mayoría de las empresas permanecen en dispositivos domésticos y protección de conexión en el nivel del archivo de configuración (fácil de seleccionar), así como el clásico par de nombre de usuario / contraseña de la cuenta.

Y aquí estamos entrando en la órbita del primer círculo de problemas. A pesar de las políticas de dominio, los usuarios logran usar contraseñas de "diccionario" y "arcoíris". Algunos de ellos coinciden con contraseñas personales de recursos externos, donde las ciruelas son tan activas que ni siquiera tiene sentido hacer análisis. A veces, los inicios de sesión y las contraseñas simplemente se filtran de los dispositivos personales infectados y en nuevas realidades no solo comprometen el correo, sino que también brindan un espacio de atacante para un mayor impacto en la infraestructura.

Lo que recomendamos seguir:

  • Geolocalización de la conexión VPN: el error del escenario es alto (especialmente cuando se trabaja con Opera Turbo o se omiten activamente los bloqueos), pero, sin embargo, le permite ver al gerente general adjunto, que se conecta (de repente) desde Senegal. Cada base de geolocalización tiene sus propias limitaciones y errores, pero ahora es mejor exagerar.
  • «» — VPN- ( , , , ). , , .
  • «» . : , , , VPN-, .. , , , , , – . «», , .
  • . , , — -. — .
  • ( ). , , . VPN , . , , .
  • Un factor importante es el uso de TI. Los intentos, y las conexiones aún más exitosas de hosts comprometidos, anonimizadores, servidores proxy o nodos TOR, pueden ser un signo de un ataque de piratas informáticos que intentan ocultar rastros de su trabajo mediante el anonimato del último paso.

VPN está pirateada, protegemos la red


Si un atacante logró pasar la primera línea de defensa y obtener acceso a una VPN, entonces nuestras capacidades para identificarla no terminan ahí. Como los problemas:

  • Como regla general, en el fragor del trabajo rápido, se abren accesos redundantes: en lugar de sistemas de destino, a segmentos de red completos.
  • A menudo no existe una gestión de cuentas completa, y el sistema actualizado o las cuentas privilegiadas tienen acceso general.

Qué controlar en esta etapa:

  • () VPN . , . - -, VPN root, .
  • , / . VPN- , «» , . , . .
  • . , , low and slow . , ,
  • Los signos indirectos de un intento de recopilar datos están monitoreando el volumen de sesiones en la VPN, su duración y cualquier anomalía que indique que el usuario se está comportando de manera inusual. Esto le permite identificar incidentes internos y externos.

Protección de sistemas de destino o acceso a terminales


Si no estamos tan desesperadamente valientes como para permitir que cada usuario acceda a nuestra estación de trabajo, los servidores de terminal / hubs de usuarios generalmente actúan como un entorno de colaboración / proxy para los empleados remotos.

En su caso, los enfoques de monitoreo son completamente idénticos al monitoreo de cualquier host crítico:

  • Análisis de los registros de inicio del proceso del host para detectar anomalías
  • Monitoreo de procesos remotos e inicio de servicio
  • Control de herramientas de administración remota
  • ,

Sobre el monitoreo de las estaciones finales, espero que les informemos en un futuro muy cercano. Pero es importante tener en cuenta que si en el ámbito general de las máquinas, por regla general, hay muchos falsos positivos, entonces, en el grupo local de servidores de terminal, generalmente podemos tratar cada positivo y emitir un veredicto.

De una forma u otra, no es necesario implementar el acceso remoto para los empleados a la infraestructura debido a las soluciones costosas y complejas, especialmente al comienzo. Y si bien estamos diseñando un acceso verdaderamente seguro, es importante no abandonar el nivel de seguridad en la natación libre y continuar lidiando con los problemas y riesgos clave. Por lo tanto, observe la higiene en la vida cotidiana, pero no se olvide de la higiene en términos de seguridad de la información. Y mantente saludable.

More articles:


All Articles