Get best of the week

Bagaimana cara melindungi karyawan jarak jauh, atau Home Office Security



Epidemi coronavirus memaksa perusahaan dan otoritas negara untuk secara besar-besaran meninggalkan prinsip keamanan mereka, keluar dari perimeter aman dan memindahkan pengguna ke mode operasi jarak jauh. Banyak artikel telah ditulis tentang cara membuat akses aman dan di mana mendapatkan lisensi gratis. Kami, sebagai pusat pemantauan dan menanggapi serangan dunia maya, akan mencoba menggambarkan risiko dan kesulitan sementara dalam melindungi perimeter yang timbul sehubungan dengan tatanan dunia baru. Tentang apa dan bagaimana memonitor ketika mentransfer karyawan ke pekerjaan jarak jauh, baca di bawah kucing.


Saluran air, kebocoran, dan peralatan rumah tangga


Jalur ke akses jarak jauh dimulai dengan koneksi. Jika kami memiliki banyak waktu untuk merancang solusi aman nyata, kami akan membangun seluruh eselon perlindungan:

  • Memeriksa perangkat yang terhubung untuk kebijakan keamanan atau, setidaknya, menolak akses dari perangkat pribadi.
  • Sertifikat yang tertanam di perangkat atau faktor otentikasi kedua.
  • Sistem kontrol administrator untuk merekam akses, perintah dan video.

Tetapi waktu terbatas, sangat penting untuk memindahkan karyawan ke situs jarak jauh, jadi tidak ada yang akan menunggu implementasi besar, pengiriman token / sistem baru atau penskalaan akses saat ini. Akibatnya, sebagian besar perusahaan tetap berada di perangkat rumah dan perlindungan koneksi di tingkat file konfigurasi (mudah untuk dipilih), serta pasangan nama pengguna / kata sandi klasik dari akun.

Dan di sini kita memasuki orbit lingkaran masalah pertama. Terlepas dari kebijakan domain, pengguna dapat menggunakan kata sandi "kamus" dan "pelangi". Beberapa dari mereka bertepatan dengan kata sandi pribadi dari sumber eksternal, di mana buah plum sangat aktif sehingga tidak masuk akal untuk melakukan analisis. Terkadang login dan kata sandi hanya bocor dari perangkat pribadi yang terinfeksi dan dalam realitas baru tidak hanya berkompromi dengan surat, tetapi juga memberikan ruang penyerang untuk pengaruh lebih lanjut pada infrastruktur.

Apa yang kami rekomendasikan untuk diikuti:

  • Geolokasi koneksi VPN - kesalahan skenario tinggi (terutama ketika bekerja dengan Opera Turbo atau secara aktif melewati kunci), tetapi, bagaimanapun, memungkinkan Anda untuk melihat wakil manajer umum, menghubungkan (tiba-tiba) dari Senegal. Setiap basis geolokasi memiliki keterbatasan dan kesalahannya sendiri, tetapi sekarang lebih baik untuk melakukannya secara berlebihan.
  • «» — VPN- ( , , , ). , , .
  • «» . : , , , VPN-, .. , , , , , – . «», , .
  • . , , — -. — .
  • ( ). , , . VPN , . , , .
  • Faktor penting adalah penggunaan TI. Upaya, dan bahkan koneksi yang lebih berhasil dari host yang dikompromikan, anonimizer, proksi atau node TOR, bisa menjadi tanda serangan oleh peretas yang mencoba menyembunyikan jejak pekerjaan mereka melalui menganonimkan langkah terakhir.

VPN diretas, kami melindungi jaringan


Jika seorang penyerang berhasil melewati garis pertahanan pertama dan mendapatkan akses ke VPN, maka kemampuan kami dalam mengidentifikasi itu tidak berakhir di sana. Suka masalahnya:

  • Sebagai aturan, dalam panasnya kerja cepat, akses yang berlebihan dibuka: alih-alih sistem target, ke seluruh segmen jaringan.
  • Seringkali tidak ada manajemen akun yang lengkap, dan sistem terkini atau akun istimewa berada dalam akses umum.

Apa yang harus dikendalikan pada tahap ini:

  • () VPN . , . - -, VPN root, .
  • , / . VPN- , «» , . , . .
  • . , , low and slow . , ,
  • Tanda-tanda tidak langsung dari upaya untuk mengumpulkan data sedang memantau volume sesi dalam VPN, durasinya dan anomali apa pun yang menunjukkan bahwa pengguna berperilaku tidak biasa. Ini memungkinkan Anda mengidentifikasi insiden internal dan eksternal.

Melindungi sistem target atau akses terminal


Jika kita tidak begitu putus asa berani untuk membiarkan setiap pengguna untuk workstation kami, maka terminal server / hub pengguna biasanya bertindak sebagai kolaborasi / lingkungan proxy untuk karyawan jarak jauh.

Dalam kasus mereka, pendekatan pemantauan benar-benar identik dengan pemantauan host kritis:

  • Analisis proses host mulai log untuk anomali
  • Pemantauan proses dan layanan jarak jauh dimulai
  • Kontrol Alat Administrasi Jarak Jauh
  • ,

Tentang pemantauan stasiun akhir, saya harap kami akan memberi tahu Anda dalam waktu dekat. Tetapi penting untuk dicatat bahwa jika dalam lingkup umum mesin, sebagai suatu peraturan, ada banyak kesalahan positif, maka dalam kelompok server terminal lokal kita biasanya dapat berurusan dengan masing-masing positif dan memberikan vonis.

Dengan satu atau lain cara, menyediakan akses jarak jauh bagi karyawan ke infrastruktur tidak harus dilaksanakan karena solusi yang mahal dan kompleks, terutama pada awalnya. Dan sementara kami merancang akses yang benar-benar aman, penting untuk tidak melepaskan tingkat keamanan dalam berenang bebas dan terus menghadapi masalah dan risiko utama. Karena itu, perhatikan kebersihan dalam kehidupan sehari-hari, tetapi jangan lupakan kebersihan dalam hal keamanan informasi. Dan sehatlah.

More articles:


All Articles