Get best of the week

Bagaimana tidak memberikan perusahaan Anda kepada peretas saat dia pergi. Kiat untuk Spesialis SOC



Gambar: Unsplash

Konsep "kerja jarak jauh" bagi banyak orang menjadi penting hanya sehubungan dengan langkah-langkah untuk non-proliferasi infeksi virus, yang kita semua, sayangnya, harus hadapi. Sejumlah kecil perusahaan memiliki pengalaman pemindahan massal karyawan ke lokasi terpencil. Dan bahkan mereka yang dibedakan oleh infrastruktur TI yang kuat dan maju sering tidak siap untuk ini dan tidak memiliki proses bawaan yang sesuai dan seperangkat alat perlindungan. Oleh karena itu, departemen IS mereka juga harus menyelesaikan tugas baru dan spesifik. Dan di sini industri sama sekali tidak penting. Ada beberapa contoh perusahaan yang bisnisnya berbasis pada bekerja melalui Internet, dan mereka tampaknya telah memakan anjing dalam pekerjaan jarak jauh dan keamanannya - tetapi tidak, mereka juga memiliki masalah dalam kenyataan baru.

Untuk membuat hidup lebih mudah bagi kolega kami, kami telah membentuk sejumlah kiat untuk bekerja di situs terpencil, yang dirancang khusus untuk unit SOC (tidak peduli yang mana - internal atau outsourcing), yang sekarang juga beradaptasi dengan realitas baru.

RDP, VPN, DaaS - apa yang Anda miliki?


Tentu saja, penting untuk menentukan dengan tepat bagaimana karyawan jarak jauh akan mendapatkan akses ke infrastruktur perusahaan. Akses ke stasiun kerja jarak jauh dapat diatur dalam beberapa cara:

  • dari perangkat perusahaan yang diberikan kepada karyawan dengan akses ke jaringan internal perusahaan;
  • dengan bantuan klien yang tebal untuk layanan publikasi tertentu dari perusahaan;
  • menggunakan thin client, melalui browser, ke layanan yang diterbitkan yang memiliki antarmuka web.

Di satu sisi, klien yang tebal lebih disukai, karena memungkinkan Anda untuk mengontrol perangkat. Di sisi lain, menginstalnya pada perangkat pribadi penuh dengan risiko mengkompromikan layanan, karena dalam hal ini keadaan perangkat lunak pada perangkat tidak dipantau (tidak ada manajemen kerentanan dan kepatuhan, Anda tidak dapat memverifikasi ketersediaan perlindungan anti-virus dan pengaturan OS tertentu). Perangkat pribadi hampir dijamin terlindungi lebih lemah daripada perangkat perusahaan.

Bergantung pada metode pengorganisasian pekerjaan jarak jauh, penekanan pemantauan dan identifikasi upaya untuk berkompromi juga berubah. Sebagai contoh, WAF melakukan pekerjaan yang baik untuk melindungi dan mendeteksi serangan terhadap layanan yang dipublikasikan untuk klien kecil.. Dan untuk melindungi dan memantau aktivitas perangkat yang memiliki akses ke jaringan informasi perusahaan melalui VPN, Anda memerlukan beragam solusi keamanan informasi. Harus diingat bahwa saluran Internet di mana perangkat karyawan sekarang terhubung tidak di bawah kendali layanan IS, dan ini menciptakan risiko tambahan kebocoran, misalnya, kredensial pengguna (dan kadang-kadang data perusahaan jika pengguna secara aktif bekerja dengan mereka) dan secara konstan bertukar informasi dalam jumlah besar dengan jaringan perusahaan).

Dalam hal pemindahan massal karyawan ke pekerjaan jarak jauh, beberapa dari mereka mungkin akan dilengkapi dengan peralatan perusahaan yang dikonfigurasi sesuai dengan semua standar keamanan. Tetapi tidak mungkin untuk mengecualikan kemungkinan pelanggaran massal (terutama jika kita berbicara tentang organisasi dengan jaringan cabang yang luas) dan upaya untuk mengakses jaringan perusahaan bukan dari perangkat perusahaan, tetapi dari perangkat pribadi setelah menginstal perangkat lunak yang sesuai di dalamnya, bahkan jika ada larangan langsung pada tindakan tersebut . Dalam hal ini, ada baiknya untuk mempertimbangkan ketika memantau kemungkinan mengklasifikasikan perangkat yang terhubung ke jaringan perusahaan dan memisahkannya sesuai dengan kriteria tertentu.

Apa yang ada di bawah tenda dan seberapa efektif digunakan


Hal pertama yang perlu Anda perhatikan adalah inventaris dari alat pelindung yang tersedia (jika karena alasan tertentu Anda terbiasa dengan masalah ini setelah selongsong, sekarang adalah waktu untuk membersihkan ekor). Jadi, minimum teknologi mencakup:

  • Kontrol akses dan sistem keamanan data yang dirancang untuk memberi karyawan akses ke work tool tanpa mengurangi keamanan. Pertama-tama, kita berbicara tentang firewall dan cara mengatur jaringan pribadi virtual (VPN).
  • SIEM-system sebagai "pusat informasi" pemantauan, dirancang untuk mengumpulkan informasi tentang apa yang terjadi di semua simpul jaringan yang dilindungi dan dengan cepat menanggapi perubahan abnormal dan insiden yang diidentifikasi.
  • Web application firewall, , . IT-, , , (, -).
  • NTA-, , , , .
  • DLP-, .
  • Analisis perilaku pengguna dan organisasi (analitik perilaku pengguna dan entitas, UEBA) - karena kita berbicara tentang pembuatan profil, kita juga tidak dapat melakukannya tanpa itu. Namun, dalam hal ini, perlu diingat bahwa dengan transisi massal ke pekerjaan jarak jauh, perilaku pengguna yang biasa berubah, jadi penting untuk mengatur waktu untuk menyempurnakan profil.

Daftarnya berlanjut. Itu tidak jauh berbeda dari daftar sistem keamanan informasi yang diperlukan dalam setiap infrastruktur TI yang berkembang dengan baik - fokus sebagian besar berubah: jika perlindungan terhadap ancaman eksternal sebelumnya lebih relevan, sekarang pengguna sistem itu sendiri dapat disamakan dengan ancaman eksternal (mereka tidak sepenuhnya dipercayai) sisi saat menghubungkan ke infrastruktur).

Pada saat yang sama, jika karena alasan tertentu Anda melewatkan sesuatu dari daftar teknologi yang terdaftar, maka kemungkinan jalan keluar dari situasi tersebut adalah dengan menggunakan sistem keamanan informasi open-source (sebagai yang tambahan) atau untuk mengimplementasikan fungsi-fungsi yang hilang tertentu menggunakan cara yang ada. Komunitas IB menggalang di tengah krisis umum, dan sekarang Anda dapat memanfaatkan penawaran khusus dari produsen peralatan jaringan dan SZI (baik domestik dan asing): mereka menyediakan produk dan layanan yang memfasilitasi organisasi kerja jarak jauh yang aman, dengan diskon atau masa tenggang penggunaan.

Apakah mungkin untuk kembali ada


Salah satu perlindungan paling sukses untuk pengujian dalam peran baru - SIEM. Yang tidak mengejutkan: itu adalah gudang hampir semua tim keamanan informasi, dan jika kita berbicara tentang tim SOC, itu adalah alat dasar. Aturan untuk menghubungkan peristiwa dari berbagai sumber memungkinkan untuk menerapkan hampir semua jenis kontrol dan pemantauan, serta pemberitahuan otomatis. Misalnya, menggunakan sistem SIEM, Anda dapat membuat semacam UEBA (yang merupakan bagian dari rangkaian teknologi yang diperlukan yang dijelaskan di atas). Dengan menghubungkan peralatan jaringan dan tempat kerja yang diambil dari infrastruktur organisasi sebagai sumber, Anda dapat memantau sumber daya informasi yang diakses oleh karyawan dari lokasi yang jauh dan merespons upaya akses, misalnya, ke segmen jaringan di mana tidak ada yang dapat dilakukan oleh kategori pengguna ini.

Dengan mendistribusikan alat perlindungan anti-virus yang tersedia di perusahaan ke perangkat rumah pengguna (tentu saja, dengan persetujuan mereka) yang mendelegasikan hak untuk menggunakan layanan yang dipublikasikan, layanan keamanan informasi perusahaan menerima lebih banyak informasi tentang titik akhir baru yang menghubungkan ke layanan ini, dan juga meningkatkan keamanan perangkat ini Itu, selain perlindungan tambahan dari informasi perusahaan, memberikan perlindungan dan data pribadi karyawan.

Ketika bekerja dari jarak jauh, jumlah data yang bersirkulasi dalam informasi dan jaringan telekomunikasi perusahaan pasti meningkat, sehingga solusi kelas NTA menjadi bantuan yang baik dalam memantau aktivitas ini, mengidentifikasi serangan komputer dan anomali lainnya. Dengan bantuan mereka, dimungkinkan untuk mendeteksi pengaruh berbahaya secara langsung dalam waktu nyata, dan untuk menyelesaikan tugas analisis retrospektif insiden dan peristiwa jika sistem NTA menyediakan memori yang cukup untuk menyimpan catatan lalu lintas.

Pantau klasik atau dengan binar?


Membongkar dan mencoba semua jenis kasing tidak mungkin, dan tidak disarankan. Tetapi ada satu set tertentu dari mereka, termasuk skenario yang paling signifikan. Skenario ini dapat diimplementasikan dalam waktu yang wajar dan, yang penting, membutuhkan sumber daya yang memadai. Pada saat yang sama, mereka memungkinkan Anda untuk menutupi vektor serangan yang paling mungkin, di mana penyerang dapat mencoba menembus jaringan informasi perusahaan.

Sederhana tapi enak: kata sandi salah, IP, dan koneksi duplikat


Jadi, mari kita mulai dengan genre klasik, yang ditujukan untuk melacak penanda sederhana aktivitas karyawan, seperti IP mismatch, jumlah kesalahan yang berlebihan saat memasukkan kata sandi, dll.

  • . , VPN-. , . , , , , .
  • IP . ( ). , . , .
  • ( ). . , , . SIEM-, (VPN) ( , โ€” ).

ยซยป โ€”


Serangkaian skema pemantauan dan deteksi insiden yang lebih kompleks ditujukan untuk memperkaya data yang dikumpulkan secara signifikan selama skenario klasik dan meningkatkan akurasi identifikasi koneksi tidak sah dalam jumlah besar permintaan yang dihasilkan di jaringan selama total akses jarak jauh. Semua skenario yang dimasukkan di dalamnya juga menyiratkan akumulasi data yang diperlukan untuk investigasi insiden yang paling cepat dan efektif.

  • Identifikasi stasiun kerja domain dan non-domain dengan koneksi jarak jauh. , , . , Microsoft, , AD, , , . ( ), ยซยป , . , (FQDN) โ€• , , . NTA , , .
  • , . , , . , GeoIP- ( ) . , , , , .

Penggunaan analisis retrospektif data yang tersimpan tentang lokasi pengguna dapat mengungkapkan anomali yang kurang mencolok: misalnya, tidak mungkin bahwa pengguna yang sah yang perlu menggunakan komputer desktop akan terhubung ke jaringan perusahaan dari berbagai kota.

Untuk penilaian reputasi penuh dari alamat dari mana pengguna eksternal terhubung, sistem intelijen ancaman dapat digunakan. Mereka akan membantu mengidentifikasi kedua mesin yang terinfeksi yang merupakan anggota botnet dan upaya koneksi dari berbagai jaringan anonim (misalnya, melalui TOR atau penyedia VPN anti-penyalahgunaan).

  • Memantau koneksi administrator dan membuat perubahan konfigurasi ke layanan infrastruktur penting. , , , , . , , . ( , ) , . โ€• , AD. .

Dalam kasus pekerja jarak jauh yang bersifat massal, sangat penting untuk secara ketat mengontrol akses ke titik masuk ke jaringan perusahaan melalui VPN yang sama dan perubahan dalam konfigurasi mereka. Melacak dan mencatat data ini berguna untuk memverifikasi keabsahan tindakan dan untuk menyelidiki kemungkinan insiden IS. Kontrol umum atas tindakan administrator pada layanan infrastruktur kritis tidak spesifik untuk situasi dengan pekerjaan massal karyawan yang jauh - ini adalah kebutuhan umum, tetapi tidak dapat diabaikan.
  • . , , IP- VPN, . , . , , , โ€• .


Saat memantau keamanan informasi, kadang-kadang kasus yang benar-benar tidak standar terjadi. Manfaat dari alat yang tersedia paling sering memungkinkan mereka untuk dilakukan dengan relatif mudah.
Misalnya, untuk beberapa alasan, perusahaan mungkin tidak memiliki sistem kelas DLP. Apa yang bisa dilakukan? Gunakan SIEM dan monitor akses penyimpanan file. Untuk melakukan ini, buat daftar file yang aksesnya dan unduh dari segmen pengguna VPN yang bekerja dari jarak jauh tidak diinginkan atau dilarang, dan konfigurasikan kebijakan audit yang sesuai pada penyimpanan itu sendiri. Saat memperbaiki upaya semacam itu dalam sistem SIEM, sebuah insiden dimulai secara otomatis. Namun, itu terjadi bahwa volume penyimpanan file mencapai ukuran sedemikian rupa sehingga tugas menyusun daftar dan klasifikasi data pada mereka menjadi praktis tidak dapat dipecahkan. Dalam hal ini, program minimum adalah mengatur penebangan akses ke penyimpanan dan operasi file - informasi ini akan berfungsi dengan baik dalam menyelidiki kemungkinan kebocoran.

Tapi ada teka-teki yang lebih canggih. Misalnya, data tentang koneksi ke VPN atau layanan yang dipublikasikan, durasi sesi dapat memberikan analis tentangbagaimana disiplin kerja dalam suatu perusahaan berubah (dan apakah itu berubah) dengan perubahan kondisi kerja. Bercanda sebagai lelucon, tetapi menyusun jam kerja bagi karyawan di situs jarak jauh dalam hal pemantauan keamanan informasi sangat berguna: menghubungkan ke jaringan perusahaan di luar batas waktu dapat dianggap sebagai insiden IS yang jelas. Jika tidak mungkin untuk membuat peraturan semacam itu, masuk akal bagi layanan pemantauan untuk memperhatikan hal-hal yang jelas-jelas aneh: katakanlah, aktivitas pengguna yang tidak terkait dengan layanan tugas apa pun di malam hari. Setuju bahwa karyawan departemen sumber daya manusia yang terhubung jarak jauh pada tiga di pagi hari setidaknya mencurigakan - mungkin berubah menjadi penyerang menggunakan akun karyawan.

Seseorang tidak bisa tidak menyebutkan analisis mendalam dari lalu lintas jaringan. Setelah menerapkan solusi kelas NTA dan memastikannya terhubung ke saluran lalu lintas jaringan dari gateway ke pengguna yang terhubung dari jarak jauh ke jaringan internal, Anda akan dapat secara efektif menentukan layanan intranet mana yang sedang digunakan dan mengidentifikasi upaya untuk mengkompromikannya, termasuk "pengguna" yang sebenarnya ternyata adalah pengganggu atau pekerja. stasiun yang terinfeksi malware. Selain itu, NTA dapat membuat hidup lebih mudah bagi personel IS dalam hal mengendalikan apakah segmen jaringan perusahaan diizinkan atau secara eksplisit dilarang untuk akses jarak jauh.

***


Dalam situasi penuh tekanan saat ini, karyawan TI dan layanan keamanan informasi dapat menghabiskan banyak energi dan saraf jika mereka berusaha memastikan transisi yang aman dari perusahaan ke pekerjaan jarak jauh secara sembarangan atau berdasarkan dugaan. Dan untuk menyederhanakan pekerjaan mereka sebanyak mungkin, kami telah menguraikan arah utama gerakan. Misalnya, jika ada sistem SIEM tertanam dan sumber yang terhubung dengannya, termasuk SZI dan peralatan jaringan, pemilihan zona utama untuk memantau dan mengimplementasikan aturan yang relevan untuk korelasi peristiwa akan memakan waktu dua hingga tiga hari bersama dengan penetapan sumber. Artinya, tugas ini lebih dari layak dengan latar belakang pergerakan pekerjaan karyawan di rumah.

Banyak yang tertinggal di belakang layar: misalnya, secara praktis kami tidak menyentuh tingkat kematangan umum perusahaan keamanan informasi, sementara penerapan langkah-langkah perlindungan untuk kasus-kasus yang dipertimbangkan hari ini dapat benar-benar disusutkan ketika sistem keamanan sehari-hari memiliki kekurangan yang serius. Misalkan Anda memiliki pemantauan terorganisir yang baik dari pengguna yang terhubung jarak jauh, pekerjaan dengan akurasi 100 persen diklasifikasikan sebagai domain dan non-domain, tetapi pada saat yang sama, layanan web yang ditulis sendiri dengan RCE yang dapat dideteksi secara elementer diterbitkan di luar jaringan perusahaan, server yang juga memiliki internal alamat, dan diagram jaringan dekat dengan bintang klasik. Perlindungan beton bertulang tidak ada, dan dalam peningkatannya selalu ada ruang untuk kreativitas dan pengembangan.

Diposting oleh Pavel Kuznetsov, Kepala Pemantauan Keamanan Informasi,Pusat Pakar Keamanan PT , Teknologi Positif

More articles:


All Articles