Get best of the week

Comment ne pas donner votre entreprise à un hacker pendant son absence. Conseils aux spécialistes SOC



Images: Unsplash

Le concept de "télétravail" n'a pour beaucoup pris de l'importance que dans le cadre des mesures de non-prolifération des infections virales, auxquelles nous avons tous dû, hélas, faire face. Un très petit nombre d'entreprises ont l'expérience du transfert massif d'employés vers un site distant. Et même ceux qui se distinguent par une infrastructure informatique puissante et développée ne sont souvent pas prêts pour cela et n'ont pas les processus intégrés correspondants et un ensemble d'outils de protection. Par conséquent, leur département SI doit également résoudre de nouvelles tâches spécifiques. Et ici, l'industrie n'est pas du tout importante. Il existe des exemples d'entreprises dont l'activité repose sur le travail sur Internet et qui semblaient avoir mangé le chien dans le travail à distance et sa sécurité - mais non, elles ont également des problèmes dans la nouvelle réalité.

Afin de faciliter la vie de nos collaborateurs, nous avons élaboré un certain nombre de conseils pour travailler sur un site distant, spécialement conçu pour les unités SOC (quelles que soient les unités internes ou externalisées), qui s'adaptent également aux nouvelles réalités.

RDP, VPN, DaaS - qu'avez-vous?


Bien sûr, il est important de déterminer exactement comment les employés distants auront accès à l'infrastructure de l'entreprise. L'accès à un poste de travail distant peut être organisé de plusieurs manières:

  • à partir d'un appareil d'entreprise fourni à un employé ayant accès au réseau interne de l'entreprise;
  • avec l'aide d'un gros client à certains services publiés de l'entreprise;
  • à l'aide d'un client léger, via un navigateur, vers des services publiés dotés d'une interface Web.

D'une part, un client lourd est préférable, car il vous permet de contrôler l'appareil. En revanche, son installation sur des appareils personnels présente un risque de compromettre le service, car dans ce cas, l'état du logiciel sur l'appareil n'est pas surveillé (il n'y a pas de gestion des vulnérabilités et de conformité, vous ne pouvez pas vérifier la disponibilité de la protection antivirus et certains paramètres du système d'exploitation). Un appareil personnel est presque garanti d'être protégé plus faible qu'un appareil d'entreprise.

Selon la méthode d'organisation du travail à distance, l'accent mis sur la surveillance et l'identification des tentatives de compromis change également. Par exemple, WAF fait un bon travail de protection et de détection des attaques sur les services publiés pour les clients légers.. Et pour protéger et surveiller l'activité des appareils qui ont accès au réseau d'information d'entreprise via VPN, vous avez besoin d'une gamme plus large de solutions de sécurité de l'information. Il convient de garder à l'esprit que le canal Internet auquel l'appareil de l'employé est désormais connecté n'est pas sous le contrôle du service SI, ce qui crée un risque supplémentaire de fuite, par exemple, des informations d'identification de l'utilisateur (et parfois des données de l'entreprise si l'utilisateur travaille activement avec lui). et échange constamment de gros volumes d’informations avec le réseau de l’entreprise).

Dans le cas d'un transfert massif d'employés vers le travail à distance, certains d'entre eux recevront probablement un équipement d'entreprise configuré conformément à toutes les normes de sécurité. Mais il est impossible d'exclure d'éventuelles violations massives (en particulier si nous parlons d'une organisation avec un vaste réseau de succursales) et des tentatives d'accéder au réseau de l'entreprise non pas à partir d'un appareil d'entreprise, mais à partir d'un appareil personnel après avoir installé le logiciel approprié, même s'il y a une interdiction directe de telles actions . Dans ce cas, il convient d’envisager lors de la surveillance de la possibilité de classer les appareils connectés au réseau de l’entreprise et de les séparer selon certains critères.

Ce qui est sous le capot et son efficacité


La première chose à laquelle vous devez faire attention est un inventaire de l'équipement de protection disponible (si pour une raison quelconque vous avez l'habitude de vous attaquer à ce problème après les manches, il est maintenant temps de nettoyer les queues). Ainsi, le minimum technologique comprend:

  • Systèmes de contrôle d'accès et de sécurité des données conçus pour fournir aux employés un accès aux outils de travail sans compromettre la sécurité. Tout d'abord, nous parlons de pare-feu et de moyens d'organiser des réseaux privés virtuels (VPN).
  • Système SIEM en tant que «centre d'information» de surveillance, conçu pour regrouper les informations sur ce qui se passe à tous les nœuds du réseau protégé et répondre rapidement aux changements anormaux et aux incidents identifiés.
  • Web application firewall, , . IT-, , , (, -).
  • NTA-, , , , .
  • DLP-, .
  • Analyse du comportement des utilisateurs et des organisations ( analyse du comportement des utilisateurs et des entités, UEBA) - puisque nous parlons de profilage, nous ne pouvons pas nous en passer non plus. Cependant, dans ce cas, il convient de se rappeler qu'avec la transition de masse vers le travail à distance, le comportement habituel de l'utilisateur change, il est donc important de prévoir du temps pour affiner les profils.

La liste continue. Il ne diffère pas trop de la liste des systèmes de sécurité de l'information requis dans chaque infrastructure informatique bien développée - les priorités changent principalement: si la protection contre les menaces externes était auparavant plus pertinente, maintenant les utilisateurs des systèmes eux-mêmes peuvent être assimilés à une menace externe (ils cessent d'être totalement fiables) côté lors de la connexion à l'infrastructure).

Dans le même temps, si, pour une raison quelconque, vous avez manqué quelque chose dans la liste technologique répertoriée, la solution possible peut être d'utiliser des systèmes de sécurité des informations open source (comme des systèmes supplémentaires) ou de mettre en œuvre certaines fonctions manquantes en utilisant les moyens existants. La communauté de l'IB se mobilise au milieu d'une crise générale et vous pouvez désormais profiter des offres spéciales des fabricants d'équipements réseau et SZI (nationaux et étrangers): ils proposent des produits et services qui facilitent l'organisation d'un travail à distance sécurisé, avec des remises ou des périodes de grâce d'utilisation.

Est-il possible de réexister déjà


L'une des protections les plus réussies pour les tests dans un nouveau rôle - SIEM. Ce qui n'est pas surprenant: il est dans l'arsenal de presque toutes les équipes de sécurité de l'information, et s'il s'agit d'une commande SOC, c'est un outil de base. Les règles de corrélation des événements provenant de diverses sources permettent de mettre en œuvre pratiquement tout type de contrôle et de surveillance, ainsi que des notifications automatiques. Par exemple, en utilisant le système SIEM, vous pouvez créer une sorte d'UEBA (qui fait partie de l'ensemble des technologies nécessaires décrites ci-dessus). En connectant les équipements réseau et les lieux de travail retirés de l'infrastructure de l'organisation en tant que sources, vous pouvez surveiller les ressources d'information auxquelles les employés ont accès depuis un emplacement distant et répondre aux tentatives d'accès, par exemple, dans des segments de réseau dans lesquels il n'y a rien à faire pour cette catégorie d'utilisateurs.

En distribuant les outils de protection antivirus disponibles dans l'entreprise aux appareils domestiques des utilisateurs (bien sûr, avec leur consentement) auxquels le droit d'utiliser les services publiés a été délégué, le service de sécurité des informations de l'entreprise reçoit plus d'informations sur les nouveaux points de terminaison se connectant à ces services, et augmente également la sécurité de ces appareils Cela, en plus d'une protection supplémentaire des informations d'entreprise, assure la protection et les données personnelles des employés.

Lorsque vous travaillez à distance, la quantité de données circulant dans le réseau d'information et de télécommunications de l'entreprise augmente inévitablement, de sorte que les solutions de classe NTA deviennent une bonne aide pour surveiller cette activité, identifier les attaques informatiques et autres anomalies. Avec leur aide, il est possible à la fois de détecter les influences directement nuisibles en temps réel et de résoudre les tâches d'analyse rétrospective des incidents et des événements si le système NTA fournit suffisamment de mémoire pour stocker les enregistrements de trafic.

Moniteur classique ou scintillant?


Démonter et essayer toute la variété des cas est impossible et déconseillé. Mais il en existe un certain nombre, y compris les scénarios les plus importants. Ces scénarios peuvent être mis en œuvre dans un délai raisonnable et, surtout, nécessitent une quantité adéquate de ressources. Dans le même temps, ils vous permettent de couvrir les vecteurs d'attaque les plus probables, à travers lesquels un attaquant peut tenter de pénétrer le réseau d'information de l'entreprise.

Simple mais de bon goût: mots de passe erronés, IP et connexions en double


Commençons donc par les classiques du genre, qui visent à suivre de simples marqueurs de l'activité des employés, tels que l'inadéquation IP, un nombre excessif d'erreurs lors de la saisie d'un mot de passe, etc.

  • . , VPN-. , . , , , , .
  • IP . ( ). , . , .
  • ( ). . , , . SIEM-, (VPN) ( , — ).

«» —


Un ensemble de systèmes de surveillance et de détection d'incidents plus complexes vise à enrichir considérablement les données collectées lors de scénarios classiques et à augmenter la précision de l'identification des connexions illégitimes dans la masse des demandes générées sur le réseau lors d'un accès total à distance. Tous les scénarios qui y sont inclus impliquent également l'accumulation de données nécessaires à l'enquête la plus rapide et la plus efficace sur l'incident.

  • Identification des postes de travail de domaine et non-domaine avec connexion à distance. , , . , Microsoft, , AD, , , . ( ), «» , . , (FQDN) ― , , . NTA , , .
  • , . , , . , GeoIP- ( ) . , , , , .

L'utilisation d'une analyse rétrospective des données stockées sur l'emplacement d'un utilisateur peut révéler des anomalies moins visibles: par exemple, il est peu probable qu'un utilisateur légitime qui a besoin d'utiliser un ordinateur de bureau soit connecté à un réseau d'entreprise de différentes villes.

Pour une évaluation complète de la réputation des adresses à partir desquelles les utilisateurs externes se connectent, des systèmes de renseignement sur les menaces peuvent être utilisés. Ils aideront à identifier à la fois les machines infectées qui sont membres de réseaux de zombies et les tentatives de connexion de divers réseaux anonymes (par exemple, via TOR ou des fournisseurs VPN anti-abus).

  • Surveillance des connexions des administrateurs et modification de la configuration des services d'infrastructure critiques. , , , , . , , . ( , ) , . ― , AD. .

Dans le cas du travail à distance de masse des employés, il est absolument nécessaire de contrôler strictement l'accès aux points d'entrée dans le réseau d'entreprise via le même VPN et les changements de configuration. Le suivi et la consignation de ces données sont utiles à la fois pour vérifier la légitimité des actions et pour enquêter sur d'éventuels incidents SI. Le contrôle général des actions des administrateurs sur les services d'infrastructure critiques n'est pas spécifique à la situation du travail à distance de masse des employés - c'est une nécessité courante, mais elle ne peut être ignorée.
  • . , , IP- VPN, . , . , , , ― .


Lors de la surveillance de la sécurité des informations, des cas totalement non standard se produisent parfois. L'avantage des outils disponibles permet le plus souvent de les exécuter avec une relative facilité.
Par exemple, pour une raison quelconque, l'entreprise peut ne pas avoir de système de classe DLP. Ce qui peut être fait? Utiliser SIEM et surveiller les accès au stockage de fichiers. Pour ce faire, établissez une liste de fichiers auxquels l'accès et le téléchargement à partir d'un segment d'utilisateurs VPN travaillant à distance sont indésirables ou interdits, et configurez les politiques d'audit appropriées sur les stockages eux-mêmes. Lors de la correction de telles tentatives dans le système SIEM, un incident est automatiquement démarré. Cependant, il arrive que les volumes de stockage de fichiers atteignent des tailles telles que la tâche de compiler une liste et de classer les données les concernant devient pratiquement insoluble. Dans ce cas, le programme minimum installe la journalisation des accès aux stockages et aux opérations sur les fichiers - ces informations seront utiles pour étudier les éventuelles fuites.

Mais il existe des puzzles encore plus sophistiqués. Par exemple, les données sur la connexion à un VPN ou à des services publiés, la durée des sessions peuvent donner à un analystecomment la discipline du travail dans une entreprise change (et change-t-elle) avec l'évolution des conditions de travail. Blague comme une blague, mais établir des heures de travail pour les employés sur un site distant dans le cas de la surveillance de la sécurité des informations est très utile: la connexion au réseau d'une entreprise en dehors du délai peut être considérée comme un incident SI clair. S'il est impossible d'élaborer un tel règlement, il est logique que le service de surveillance prenne en compte des choses manifestement anormales: disons, l'activité d'un utilisateur qui n'est lié à aucun service de garde la nuit. Convenez que l'employé du service des ressources humaines qui s'est connecté à distance à trois heures du matin est au moins suspect - il peut s'avérer être un attaquant utilisant le compte de l'employé.

On ne peut que mentionner l' analyse approfondie du trafic réseau. Après avoir implémenté la solution de classe NTA et vous assurer qu'elle est connectée au canal de trafic réseau depuis la passerelle pour connecter à distance les utilisateurs au réseau interne, vous serez en mesure de déterminer efficacement les services intranet utilisés et d'identifier les tentatives de les compromettre, y compris les «utilisateurs» qui s'avèrent en fait être des intrus ou des travailleurs stations infectées par des logiciels malveillants. De plus, NTA peut simplifier la vie du personnel du SI en contrôlant si les segments de réseau d'entreprise sont autorisés ou explicitement interdits pour l'accès à distance.

***


Dans la situation stressante actuelle, les employés des services informatiques et de sécurité de l'information peuvent dépenser beaucoup d'énergie et de nerfs s'ils tentent d'assurer une transition en toute sécurité de l'entreprise vers le travail à distance avec négligence ou sur une intuition. Et afin de simplifier au maximum leur travail, nous avons esquissé les principales directions du mouvement. Par exemple, s'il existe un système SIEM intégré et des sources qui y sont connectées, y compris SZI et des équipements de réseau, la sélection des zones principales pour la surveillance et la mise en œuvre des règles pertinentes de corrélation des événements prendra deux à trois jours avec l'établissement des sources. Autrement dit, cette tâche est plus que réalisable dans le contexte du déplacement des emplois des employés à la maison.

Beaucoup est resté dans les coulisses: par exemple, nous n'avons pratiquement pas abordé le niveau général de maturité de l'entreprise de sécurité de l'information, tandis que la mise en œuvre de mesures de protection pour les cas examinés aujourd'hui peut être absolument dépréciée lorsque le système de sécurité quotidien présente de graves lacunes. Supposons que vous disposiez d'une surveillance bien organisée des utilisateurs connectés à distance, les travaux avec une précision de 100% sont classés en tant que domaine et non-domaine, mais en même temps, un service Web auto-écrit avec un RCE élémentairement détectable est publié en dehors du réseau d'entreprise, dont le serveur possède également un réseau interne adresse, et le schéma du réseau est proche de l'étoile classique. La protection du béton armé n'existe pas et dans son amélioration, il y a toujours place à la créativité et au développement.

Publié par Pavel Kuznetsov, chef de la surveillance de la sécurité de l'information,Centre de sécurité PT Expert , Technologies positives

More articles:


All Articles