Get best of the week

Comment protéger les employés distants ou la sécurité du bureau à domicile



L'épidémie de coronavirus oblige les entreprises et les autorités de l'État à abandonner massivement leurs principes de sécurité, à laisser des périmètres protégés et à transférer les utilisateurs vers un mode de fonctionnement à distance. De nombreux articles ont déjà été écrits sur la façon de sécuriser l'accès et où obtenir des licences gratuites. En tant que centre de surveillance et de réponse aux cyberattaques, nous essaierons de décrire les risques et les difficultés temporaires de protection du périmètre qui surviennent dans le cadre du nouvel ordre mondial. À propos de quoi et comment surveiller lors du transfert d'employés vers un travail à distance, lire sous le chat.


Drains, fuites et appareils électroménagers


Le chemin d'accès à distance commence par une connexion. Si nous avions beaucoup de temps pour concevoir une vraie solution sécurisée, nous construirions des échelons de protection entiers:

  • Vérifier les politiques de sécurité des appareils connectés ou, au minimum, refuser l'accès à partir des appareils personnels.
  • Un certificat intégré dans les appareils ou un deuxième facteur d'authentification.
  • Système de contrôle administrateur pour l'enregistrement des accès, des commandes et des vidéos.

Mais le temps est limité, il est urgent de transférer les employés vers un site distant, donc personne n'attendra une grande implémentation, la livraison de jetons / de nouveaux systèmes ou la mise à l'échelle de l'accès actuel. En conséquence, la plupart des entreprises restent dans les appareils domestiques et la protection des connexions au niveau du fichier de configuration (facile à sélectionner), ainsi que la paire nom d'utilisateur / mot de passe classique du compte.

Et nous entrons ici dans l'orbite du premier cercle de problèmes. Malgré les politiques de domaine, les utilisateurs parviennent à utiliser des mots de passe «dictionnaire» et «arc-en-ciel». Certains d'entre eux coïncident avec des mots de passe personnels provenant de ressources externes, où les prunes sont si actives qu'il n'est même pas logique de faire des analyses. Parfois, les identifiants et les mots de passe fuient simplement des appareils personnels infectés et, dans les nouvelles réalités, compromettent non seulement le courrier, mais donnent également à un attaquant une marge de manœuvre pour un impact supplémentaire sur l'infrastructure.

Ce que nous recommandons de suivre:

  • Géolocalisation de la connexion VPN - l'erreur du scénario est élevée (en particulier lorsque vous travaillez avec Opera Turbo ou contournez activement les verrous), mais, néanmoins, vous permet de voir le directeur général adjoint, se connectant (soudainement) depuis le Sénégal. Chaque base de géolocalisation a ses propres limites et erreurs, mais maintenant il vaut mieux en faire trop.
  • «» — VPN- ( , , , ). , , .
  • «» . : , , , VPN-, .. , , , , , – . «», , .
  • . , , — -. — .
  • ( ). , , . VPN , . , , .
  • Un facteur important est l'utilisation de TI. Les tentatives, et encore plus de connexions réussies à partir d'hôtes, d'anonymiseurs, de mandataires ou de nœuds TOR compromis, peuvent être le signe d'une attaque par des pirates qui tentent de cacher des traces de leur travail en anonymisant la dernière étape.

Le VPN est piraté, nous protégeons le réseau


Si un attaquant a réussi à franchir la première ligne de défense et à accéder à un VPN, nos capacités d'identification ne s'arrêtent pas là. Comme les problèmes:

  • En règle générale, dans le feu de l'action rapide, des accès redondants sont ouverts: au lieu des systèmes cibles, à des segments de réseau entiers.
  • Souvent, il n'y a pas de gestion de compte à part entière et les comptes système ou privilégiés à jour sont généralement accessibles.

Que contrôler à ce stade:

  • () VPN . , . - -, VPN root, .
  • , / . VPN- , «» , . , . .
  • . , , low and slow . , ,
  • Les signes indirects d'une tentative de collecte de données sont la surveillance du volume de sessions dans le VPN, leur durée et toute anomalie qui indique que l'utilisateur se comporte de manière inhabituelle. Cela vous permet d'identifier les incidents internes et externes.

Protection des systèmes cibles ou de l'accès aux terminaux


Si nous ne sommes pas désespérément courageux au point de laisser chaque utilisateur sur notre poste de travail, alors les serveurs / hubs terminaux des utilisateurs agissent généralement comme un environnement de collaboration / proxy pour les employés distants.

Dans leur cas, les approches de surveillance sont complètement identiques à la surveillance de tout hôte critique:

  • Analyse des journaux de démarrage du processus hôte pour les anomalies
  • Surveillance des processus et des démarrages à distance
  • Contrôle des outils d'administration à distance
  • ,

Concernant la surveillance des stations d'extrémité, j'espère que nous vous le dirons dans un avenir très proche. Mais il est important de noter que si dans la portée générale des machines, en règle générale, il y a beaucoup de faux positifs, alors dans le groupe local de serveurs de terminaux, nous sommes généralement en mesure de traiter chaque positif et de rendre un verdict.

D'une manière ou d'une autre, il n'est pas nécessaire de mettre à disposition des employés un accès à distance à l'infrastructure en raison de solutions coûteuses et complexes, en particulier au début. Et pendant que nous concevons un accès vraiment sécurisé, il est important de ne pas lâcher le niveau de sécurité en nage libre et de continuer à gérer les principaux problèmes et risques. Par conséquent, respectez l'hygiène au quotidien, mais n'oubliez pas l'hygiène en termes de sécurité de l'information. Et sois en bonne santé.

More articles:


All Articles