Get best of the week

Lima risiko keamanan saat bekerja dari jarak jauh



Profesional cybersecurity di perusahaan tiba-tiba harus beradaptasi dengan kenyataan bahwa hampir 100% pengguna bekerja dari jarak jauh. Saat ini, dalam menghadapi ketidakpastian, perusahaan berusaha untuk melestarikan proses bisnis, dan keamanan semakin memudar. Profesional yang sebelumnya dilayani terutama komputer lokal mungkin tidak siap untuk menghadapi ancaman akses jarak jauh baru.

Tim respons insiden kami membantu pelanggan menyelesaikan masalah keamanan setiap hari. Tetapi selama beberapa bulan terakhir, sifat serangan ketika menghubungkan VPN dan menggunakan aplikasi dan data cloud telah berubah. Kami telah menyusun daftar lima ancaman terhadap pekerjaan jarak jauh untuk memberi tahu Anda apa yang dihadapi para ahli kami selama pandemi COVID-19.

1. Serangan brute force VPN


Karena banyak orang sekarang bekerja dari rumah, penyerang memiliki lebih banyak peluang untuk serangan brute force melalui VPN. ZDNet melaporkan bahwa baru-baru ini jumlah koneksi VPN telah tumbuh sebesar 33%. Ini berarti bahwa sejak awal 2020, penyerang memiliki lebih dari satu juta target baru.

Dalam sekitar 45% kasus, tim respons Varonis harus menyelidiki serangan brute force. Sebagian besar serangan ini ditujukan untuk mendapatkan akses ke VPN atau Direktori Aktif. Kebetulan organisasi mematikan kunci bawaan dan pembatasan lain untuk menghubungkan ke VPN agar tidak berhenti bekerja atau mengurangi biaya TI. Ini membuat sistem rentan terhadap serangan semacam itu.

Penyerang melakukan serangan brute force. Mereka memilih portal VPN dan berulang kali mencoba mengautentikasi menggunakan daftar kredensial yang dikompilasi sebelumnya. Serangan ini disebut isian kredensial. Jika setidaknya satu login atau kata sandi dipilih dengan benar, penyerang dapat meretas sistem.

Selain itu, jika sistem menggunakan sistem masuk tunggal (SSO), penyerang juga bisa mendapatkan login domain yang benar. Seorang penyerang menembus jaringan dengan sangat cepat. Dia dapat memulai pengintaian dengan masuk ke domain dan mencoba untuk meningkatkan hak istimewa.

Bagaimana Varonis Dapat Membantu


Solusi Varonis memiliki lebih dari seratus model ancaman bawaan untuk mendeteksi otentikasi yang mencurigakan (kredensial, spoofing kata sandi, brute force) di VPN atau Direktori Aktif. Anda akan melihat bahwa model ancaman kami mempertimbangkan beberapa sumber: data aktivitas VPN dilengkapi dengan informasi dari Active Directory, proksi web, dan gudang data seperti SharePoint atau OneDrive.



Anda juga dapat dengan cepat melihat aktivitas VPN kontekstual (log yang diproses) di perpustakaan pencarian yang disimpan, yang dapat Anda gunakan untuk membuat laporan atau mencari ancaman:



Beberapa ratus upaya login yang gagal dari alamat IP atau perangkat yang sama dapat berfungsi sebagai bukti serangan brute force. Tetapi, bahkan jika penyerang bertindak diam-diam dan lambat, Varonis dapat mendeteksi penyimpangan kecil dengan menganalisis telemetri perimeter, aktivitas Direktori Aktif dan akses data, dan kemudian membandingkan informasi ini dengan model dasar perilaku pengguna atau perangkat.



2. Manajemen dan kontrol melalui phishing


Ancaman terkenal lainnya yang disesuaikan dengan kondisi pandemi adalah phishing. Penyerang memanfaatkan ketakutan orang-orang selama pandemi, menipu pengguna agar mengklik tautan jahat dan mengunduh malware. Phishing benar-benar jahat.
Penjahat mengembangkan peta pusat distribusi COVID-19 dan membuat situs web yang menjual pasokan medis atau menawarkan cara ajaib, setelah itu Anda menginstal malware ke komputer Anda. Beberapa scammers bertindak berani, misalnya, meminta $ 500 untuk topeng N-95. Serangan lain ditujukan untuk mendapatkan akses ke komputer Anda dan semua data di dalamnya. Segera setelah Anda mengklik tautan jahat, sebuah program akan diunduh ke komputer Anda dengan bantuan yang penyerang akan membuat koneksi dengan server perintah. Dia kemudian akan mulai pengintaian dan meningkatkan hak istimewa untuk menemukan dan mencuri data sensitif Anda.

Bagaimana Varonis Dapat Membantu


Varonis mendeteksi aktivitas jaringan yang menyerupai tangkapan manajemen dan kontrol (tidak hanya menghubungkan ke alamat IP atau domain berbahaya yang diketahui). Solusinya melakukan pemindaian lalu lintas DNS yang mendalam dan mendeteksi program jahat yang menutupi pengiriman data dalam lalu lintas HTTP atau DNS.

Selain mendeteksi malware dan koneksinya ke server perintah, model ancaman Varonis sering mendeteksi pengguna yang dikompromikan dengan merekam upaya yang tidak biasa untuk mengakses file atau email. Varonis memonitor aktivitas file dan telemetri perimeter dan menciptakan profil perilaku pengguna dasar. Solusinya kemudian membandingkan kegiatan saat ini dengan profil dasar ini dan katalog model ancaman yang terus berkembang.



3. Aplikasi berbahaya di Azure


Vektor serangan ini relatif baru, bulan lalu pertama kali dibahas di blog kami . Kami sarankan untuk membaca versi lengkap artikel ini, karena di sini kami hanya memberikan deskripsi singkat untuk artikel tersebut.
Microsoft mengatakan bahwa selama sebulan terakhir, jumlah penyewa Azure telah meningkat 775%. Ini berarti bahwa sebagian dari Anda sekarang menciptakan lingkungan Azure untuk karyawan jarak jauh Anda, dan banyak yang menghabiskan semua upaya mereka untuk menjaga bisnis tetap bertahan dan dengan cepat memperkenalkan fitur-fitur baru. Mungkin ini berlaku untuk Anda.

Anda perlu tahu aplikasi mana yang memungkinkan pengguna mengakses data, dan merencanakan pemeriksaan reguler atas aplikasi yang disetujui untuk dapat memblokir segala sesuatu yang berisiko.

Penjahat menyadari bahwa mereka bisa menggunakan aplikasi jahat untuk Azure dalam kampanye phishing, dan ketika pengguna menginstal aplikasi, penyerang akan mendapatkan akses ke jaringan.



Bagaimana Varonis Dapat Membantu


Varonis dapat melacak permintaan pemasangan untuk aplikasi Azure dan mendeteksi tanda-tanda serangan ini sejak awal. Varonis mengumpulkan, menganalisis, dan membuat profil semua peristiwa di Office 365 untuk setiap komponen, oleh karena itu, segera setelah aplikasi jahat mulai menyamar sebagai pengguna (mengirim email dan mengunggah file), model ancaman perilaku kami berfungsi.

4. Lewati otentikasi multi-faktor


Ancaman lain terhadap karyawan jarak jauh adalah serangan dari orang ke orang. Karyawan Anda mungkin tidak pernah bekerja dari jarak jauh sebelumnya dan tidak terlalu mengenal Office 365, sehingga mereka mungkin disesatkan oleh jendela masuk palsu di Office 365 . Penyerang menggunakan jendela masuk ini untuk mencuri kredensial dan token otentikasi, yang cukup untuk mensimulasikan pengguna dan masuk. Selain itu, karyawan jarak jauh dapat menggunakan router Wi-Fi tidak aman yang dapat dengan mudah diretas.

Singkatnya, seorang penyerang mencegat token otentikasi yang dikirimkan server kepada Anda, dan kemudian menggunakannya untuk masuk ke sistem dari komputernya. Setelah mendapatkan akses, penyerang mengendalikan komputer Anda. Ia mencoba menginfeksi komputer pengguna lain atau segera mencari data sensitif.

Bagaimana Varonis Dapat Membantu


Varonis dapat mendeteksi login simultan dari tempat yang berbeda, serta upaya login yang tidak sesuai dengan perilaku pengguna sebelumnya dan berfungsi sebagai bukti penipuan. Varonis memonitor data Anda untuk upaya akses abnormal yang dapat dilakukan oleh penjahat cyber dengan hanya berada di dalam jaringan Anda.



5. Ancaman internal


Sekarang adalah masa ketidakpastian yang besar bagi semua orang. Orang melakukan segala upaya untuk mengatasi krisis, dan ketakutan dan ketidakpastian membuat mereka berperilaku tidak biasa.

Pengguna mengunduh file kerja ke komputer yang tidak terlindungi. Ini karena takut kehilangan pekerjaan atau ketidakmampuan untuk melakukannya secara efektif. Kedua opsi memiliki tempat untuk menjadi. Ini mempersulit pekerjaan TI dan layanan keamanan informasi yang perlu memastikan keamanan data.

Ancaman internal bisa sulit dideteksi, terutama ketika seorang karyawan menggunakan perangkat pribadi untuk mengakses data sensitif . Itu tidak memiliki kontrol keamanan perusahaan, seperti DLP, yang dapat mendeteksi pengguna mengirimkan data ini.

Bagaimana Varonis Dapat Membantu


Kami mendeteksi ancaman internal dengan mengidentifikasi di mana data rahasia perusahaan berada, dan kemudian memeriksa bagaimana pengguna biasanya bekerja dengan data ini. Varonis untuk waktu yang lama memonitor tindakan pengguna dengan data dan file, dan kemudian melengkapi mereka dengan VPN, DNS, dan data proxy. Oleh karena itu, Varonis memberi tahu Anda ketika pengguna mengunduh sejumlah besar data melalui jaringan atau mengakses data sensitif yang sebelumnya tidak dapat ia akses, dan dapat memberikan daftar lengkap file yang telah diakses pengguna.



Paling sering, karyawan tidak memiliki niat jahat. Namun, penting bagi perusahaan untuk memahami cara menyimpan data sensitif, karena ancaman internal sering terjadi. Kemampuan untuk langsung merespons perilaku karyawan bukan hanya cara untuk mengurangi risiko, tetapi juga membahas masalah dengan tim.

Pikiran terakhir


Varonis dapat membantu Anda menyelidiki apa pun yang terlihat mencurigakan dan memberikan rekomendasi tentang cara memulihkan dari serangan. Jika perlu, kami menyediakan lisensi uji coba gratis.
Seperti yang Anda pahami, kami tidak bergantung pada satu jenis perlindungan. Kami mendukung beberapa tingkat perlindungan yang mencakup semua sistem, seperti web. Tim respons insiden kami akan membantu mengintegrasikan Varonis ke dalam strategi keamanan siber Anda saat ini dan memberikan rekomendasi tentang sistem keamanan lain yang mungkin ingin Anda investasikan.

More articles:


All Articles