Get best of the week

Cómo no darle su compañía a un hacker mientras ella está ausente. Consejos para especialistas en COS



Imágenes: Unsplash

El concepto de "trabajo remoto" para muchos ganó importancia solo en relación con las medidas para la no proliferación de infecciones virales, que todos, por desgracia, tuvimos que enfrentar. Un número extremadamente pequeño de empresas tiene experiencia en la transferencia masiva de empleados a un sitio remoto. E incluso aquellos que se distinguen por una infraestructura de TI poderosa y desarrollada a menudo no están listos para esto y no tienen los procesos integrados correspondientes y un conjunto de herramientas de protección. Por lo tanto, su departamento de SI también tiene que resolver tareas nuevas y específicas. Y aquí la industria no es para nada importante. Hay ejemplos de empresas cuyo negocio se basa en trabajar a través de Internet, y parecían haberse comido al perro en el trabajo remoto y su seguridad, pero no, también tienen problemas en la nueva realidad.

Para facilitar la vida de nuestros colegas, hemos formado una serie de consejos para trabajar en un sitio remoto, diseñados específicamente para unidades SOC (sin importar qué unidades internas o de outsourcing), que también se están adaptando a las nuevas realidades.

RDP, VPN, DaaS: ¿qué tienes?


Por supuesto, es importante determinar exactamente cómo los empleados remotos obtendrán acceso a la infraestructura de la compañía. El acceso a una estación de trabajo remota se puede organizar de varias maneras:

  • desde un dispositivo corporativo proporcionado a un empleado con acceso a la red interna de la compañía;
  • con la ayuda de un cliente grueso para ciertos servicios publicados de la empresa;
  • utilizando un cliente ligero, a través de un navegador, para servicios publicados que tienen una interfaz web.

Por un lado, es preferible un cliente grueso, ya que le permite controlar el dispositivo. Por otro lado, instalarlo en dispositivos personales conlleva el riesgo de comprometer el servicio, ya que en este caso no se supervisa el estado del software en el dispositivo (no hay gestión y cumplimiento de vulnerabilidades, no puede verificar la disponibilidad de protección antivirus y ciertas configuraciones del sistema operativo). Es casi seguro que un dispositivo personal esté protegido más débilmente que uno corporativo.

Dependiendo del método de organización del trabajo remoto, el énfasis de monitorear e identificar los intentos de compromiso también cambia. Por ejemplo, WAF hace un buen trabajo al proteger y detectar ataques a servicios publicados para clientes ligeros.. Y para proteger y monitorear la actividad de los dispositivos que tienen acceso a la red de información corporativa a través de VPN, necesita una gama más amplia de soluciones de seguridad de la información. Debe tenerse en cuenta que el canal de Internet al que está conectado el dispositivo del empleado no está bajo el control del servicio IS, y esto crea un riesgo adicional de fuga, por ejemplo, de las credenciales del usuario (y, a veces, los datos de la compañía si el usuario está trabajando activamente con ellos). e intercambia constantemente grandes volúmenes de información con la red de la empresa).

En el caso de una transferencia masiva de empleados al trabajo remoto, algunos de ellos probablemente recibirán equipos corporativos configurados de acuerdo con todos los estándares de seguridad. Pero es imposible excluir posibles violaciones masivas (especialmente si estamos hablando de una organización con una extensa red de sucursales) e intenta acceder a la red de la compañía no desde un dispositivo corporativo, sino desde un dispositivo personal después de instalar el software apropiado en él, incluso si hay una prohibición directa de tales acciones. . En este caso, vale la pena considerar al monitorear la posibilidad de clasificar los dispositivos conectados a la red de la empresa y separarlos de acuerdo con ciertos criterios.

Qué hay debajo del capó y con qué eficacia se usa


Lo primero a lo que debe prestar atención es un inventario del equipo de protección disponible (si por alguna razón solía relacionarse con este problema después de las mangas, ahora es el momento de limpiar las colas). Entonces, el mínimo tecnológico incluye:

  • Sistemas de control de acceso y seguridad de datos diseñados para proporcionar a los empleados acceso a herramientas de trabajo sin comprometer la seguridad. En primer lugar, estamos hablando de firewalls y medios para organizar redes privadas virtuales (VPN).
  • El sistema SIEM como un "centro de información" de monitoreo, diseñado para agregar información sobre lo que está sucediendo en todos los nodos de la red protegida y responder rápidamente a cambios anormales e incidentes identificados.
  • Web application firewall, , . IT-, , , (, -).
  • NTA-, , , , .
  • DLP-, .
  • Análisis del comportamiento de usuarios y organizaciones ( análisis de comportamiento de usuarios y entidades, UEBA): dado que estamos hablando de perfiles, tampoco podemos prescindir de ellos. Sin embargo, en este caso, vale la pena recordar que con la transición masiva al trabajo remoto, el comportamiento habitual del usuario cambia, por lo que es importante establecer el tiempo para ajustar los perfiles.

La lista continua. No difiere demasiado de la lista de sistemas de seguridad de la información requeridos en cada infraestructura de TI bien desarrollada: los enfoques cambian principalmente: si la protección contra amenazas externas era anteriormente más relevante, ahora los usuarios de los sistemas pueden equipararse con una amenaza externa (dejan de ser completamente confiables) lado cuando se conecta a la infraestructura).

Al mismo tiempo, si por alguna razón se perdió algo de la lista tecnológica listada, entonces la posible salida de la situación podría ser utilizar sistemas de seguridad de información de código abierto (como sistemas adicionales) o implementar ciertas funciones faltantes utilizando los medios existentes. La comunidad del IB se está uniendo en medio de una crisis general, y ahora puede aprovechar las ofertas especiales de los fabricantes de equipos de red y SZI (tanto nacionales como extranjeros): proporcionan productos y servicios que facilitan la organización del trabajo remoto seguro, con descuentos o períodos de gracia.

¿Es posible volver a existir?


Una de las protecciones más exitosas para probar en un nuevo rol: SIEM. Lo que no es sorprendente: está en el arsenal de casi cualquier equipo de seguridad de la información, y si es un comando SOC, es una herramienta básica. Las reglas para correlacionar eventos de una variedad de fuentes permiten implementar prácticamente cualquier tipo de control y monitoreo, así como notificaciones automáticas. Por ejemplo, utilizando el sistema SIEM, puede crear algún tipo de UEBA (que es parte del conjunto de tecnologías necesarias descritas anteriormente). Al conectar equipos de red y lugares de trabajo sacados de la infraestructura de la organización como fuentes, puede monitorear los recursos de información a los que acceden los empleados desde una ubicación remota y responder a los intentos de acceso, por ejemplo, en segmentos de red en los que no hay nada que hacer para esta categoría de usuarios.

Al distribuir las herramientas de protección antivirus disponibles en la empresa a los dispositivos domésticos de los usuarios (por supuesto, con su consentimiento) a quienes se les delega el derecho de usar los servicios publicados, el servicio de seguridad de la información de la empresa recibe más información sobre los nuevos puntos finales que se conectan a estos servicios, y también aumenta la seguridad de estos dispositivos Eso, además de la protección adicional de la información corporativa, proporciona protección y datos personales de los empleados.

Cuando se trabaja de forma remota, la cantidad de datos que circula en la red de información y telecomunicaciones de la compañía aumenta inevitablemente, por lo que las soluciones de clase NTA se convierten en una buena ayuda para monitorear esta actividad, identificando ataques informáticos y otras anomalías. Con su ayuda, es posible detectar influencias directamente nocivas en tiempo real y resolver las tareas de análisis retrospectivo de incidentes y eventos si el sistema NTA proporciona suficiente memoria para almacenar registros de tráfico.

¿Monitor clásico o con un brillo?


Desmontar y probar toda la variedad de casos es imposible y no recomendable. Pero hay un cierto conjunto de ellos, incluidos los escenarios más críticos. Estos escenarios se pueden implementar en un tiempo razonable y, lo que es más importante, requieren una cantidad adecuada de recursos. Al mismo tiempo, le permiten cubrir los vectores de ataque más probables, a través de los cuales un atacante puede intentar penetrar en la red de información de la compañía.

Simple pero de buen gusto: contraseñas erróneas, IP y conexiones duplicadas


Entonces, comencemos con los clásicos del género, que está dirigido a rastrear marcadores simples de la actividad de los empleados, como la falta de coincidencia de IP, un número excesivo de errores al ingresar una contraseña, etc.

  • . , VPN-. , . , , , , .
  • IP . ( ). , . , .
  • ( ). . , , . SIEM-, (VPN) ( , — ).

«» —


Un conjunto de esquemas más complejos de monitoreo y detección de incidentes tiene como objetivo enriquecer significativamente los datos recopilados durante los escenarios clásicos y aumentar la precisión de la identificación de conexiones ilegítimas en la masa de solicitudes que se generan en la red durante el acceso remoto total. Todos los escenarios incluidos en él también implican la acumulación de datos necesarios para la investigación más rápida y efectiva del incidente.

  • Identificación de estaciones de trabajo con y sin dominio con conexión remota. , , . , Microsoft, , AD, , , . ( ), «» , . , (FQDN) ― , , . NTA , , .
  • , . , , . , GeoIP- ( ) . , , , , .

El uso de un análisis retrospectivo de los datos almacenados sobre la ubicación de un usuario puede revelar anomalías menos visibles: por ejemplo, es poco probable que un usuario legítimo que necesita usar una computadora de escritorio se conecte a una red corporativa de diferentes ciudades.

Para una evaluación completa de la reputación de las direcciones desde las cuales se conectan los usuarios externos, se pueden usar sistemas de inteligencia de amenazas. Ayudarán a identificar las máquinas infectadas que son miembros de botnets y los intentos de conexión de varias redes de anonimato (por ejemplo, a través de TOR o proveedores de VPN contra el abuso).

  • Monitorear las conexiones de los administradores y realizar cambios en la configuración de los servicios de infraestructura críticos. , , , , . , , . ( , ) , . ― , AD. .

En el caso del trabajo remoto masivo de los empleados, es absolutamente necesario controlar estrictamente el acceso a los puntos de entrada a la red corporativa a través de la misma VPN y los cambios en su configuración. El seguimiento y registro de estos datos es útil tanto para verificar la legitimidad de las acciones como para investigar posibles incidentes de SI. El control general sobre las acciones de los administradores en los servicios de infraestructura crítica no es específico de la situación con el trabajo remoto masivo de los empleados; esta es una necesidad común, pero no se puede ignorar.
  • . , , IP- VPN, . , . , , , ― .


Al monitorear la seguridad de la información, a veces ocurren casos completamente no estándar. El beneficio de las herramientas disponibles con mayor frecuencia permite que se realicen con relativa facilidad.
Por ejemplo, por alguna razón, la compañía puede no tener un sistema de clase DLP. ¿Qué se puede hacer? Use SIEM y monitoree los accesos de almacenamiento de archivos. Para hacer esto, haga una lista de acceso a los archivos y la descarga desde un segmento de usuarios de VPN que trabajan de forma remota no es deseable o está prohibido, y configure las políticas de auditoría apropiadas en los almacenes mismos. Al arreglar tales intentos en el sistema SIEM, se inicia automáticamente un incidente. Sin embargo, sucede que los volúmenes de almacenamiento de archivos alcanzan tal tamaño que la tarea de compilar una lista y clasificación de datos en ellos se vuelve prácticamente insoluble. En este caso, el programa mínimo es configurar el registro de los accesos a los almacenes y las operaciones de archivos; esta información servirá para investigar posibles fugas.

Pero hay rompecabezas aún más sofisticados. Por ejemplo, los datos sobre la conexión a una VPN o servicios publicados, la duración de las sesiones pueden brindarle a un analista sobrecómo cambia la disciplina laboral en una empresa (y cambia) con las condiciones laborales cambiantes. Bromear como una broma, pero elaborar horas de trabajo para los empleados en un sitio remoto en el caso de la supervisión de la seguridad de la información es muy útil: conectarse a la red de una empresa fuera del límite de tiempo puede considerarse como un incidente IS claro. Si es imposible elaborar dicha regulación, tiene sentido que el servicio de monitoreo preste atención a cosas obviamente anómalas: por ejemplo, la actividad de un usuario que no está relacionado con ningún servicio de guardia por la noche. Acuerde que el empleado del departamento de recursos humanos que se conectó de forma remota a las tres de la mañana es al menos sospechoso: puede ser un atacante que utiliza la cuenta del empleado.

Uno no puede dejar de mencionar el análisis en profundidad del tráfico de red. Habiendo implementado la solución de clase NTA y asegurándose de que esté conectada al canal de tráfico de red desde la puerta de enlace para conectar de forma remota a los usuarios a la red interna, podrá determinar de manera efectiva qué servicios de intranet se están utilizando e identificar los intentos de comprometerlos, incluidos los "usuarios" que de hecho resultan ser intrusos o trabajadores estaciones infectadas con malware. Además, NTA puede facilitar la vida del personal de IS en términos de controlar si los segmentos de red corporativos están permitidos o están explícitamente prohibidos para el acceso remoto.

***


En la actual situación estresante, los empleados de los servicios de TI y seguridad de la información pueden gastar mucha energía y nervios si intentan garantizar una transición segura de la empresa al trabajo remoto descuidadamente o en una corazonada. Y para simplificar su trabajo tanto como sea posible, describimos las principales direcciones de movimiento. Por ejemplo, si hay un sistema SIEM integrado y fuentes conectadas a él, incluidos SZI y equipos de red, la selección de las zonas principales para monitorear e implementar las reglas relevantes para la correlación de eventos tomará de dos a tres días junto con el establecimiento de las fuentes. Es decir, esta tarea es más que factible en el contexto de trasladar los trabajos de los empleados a sus hogares.

Quedaba mucho detrás de escena: por ejemplo, prácticamente no tocamos el nivel general de madurez de la compañía de seguridad de la información, mientras que la implementación de medidas de protección para los casos considerados hoy puede ser completamente depreciada cuando el sistema de seguridad cotidiano tiene serias deficiencias. Suponga que tiene una supervisión bien organizada de usuarios conectados de forma remota, los trabajos con una precisión del 100 por ciento se clasifican como dominios y no dominios, pero al mismo tiempo, se publica un servicio web autoescrito con un RCE detectable de manera externa fuera de la red corporativa, cuyo servidor también tiene un servidor interno. dirección, y el diagrama de red está cerca de la estrella clásica. La protección del hormigón armado no existe, y en su mejora siempre hay espacio para la creatividad y el desarrollo.

Publicado por Pavel Kuznetsov, Jefe de Monitoreo de Seguridad de la Información,PT Expert Security Center , Tecnologías positivas

More articles:


All Articles