Get best of the week

Como proteger funcionários remotos ou o Home Office Security



A epidemia de coronavírus está forçando empresas e autoridades estaduais a abandonarem massivamente seus princípios de segurança, deixar perímetros protegidos e transferir usuários para um modo remoto de operação. Muitos artigos já foram escritos sobre como tornar o acesso seguro e onde obter licenças gratuitas. Nós, como centro de monitoramento e resposta a ataques cibernéticos, tentaremos descrever os riscos e dificuldades temporárias na proteção do perímetro que surgem em conexão com a nova ordem mundial. Sobre o que e como monitorar ao transferir funcionários para trabalho remoto, leia abaixo.


Drenos, vazamentos e eletrodomésticos


O caminho para o acesso remoto começa com uma conexão. Se tivéssemos muito tempo para projetar uma solução realmente segura, construiríamos escalões inteiros de proteção:

  • Verificando os dispositivos conectados em busca de políticas de segurança ou, no mínimo, negando o acesso de dispositivos pessoais.
  • Um certificado incorporado aos dispositivos ou um segundo fator de autenticação.
  • Sistema de controle de administrador para gravar acessos, comandos e vídeos.

Mas o tempo é limitado, é urgente transferir funcionários para um site remoto, para que ninguém espere uma grande implementação, entrega de tokens / novos sistemas ou redimensionamento do acesso atual. Como resultado, a maioria das empresas permanece em dispositivos domésticos e proteção de conexão no nível do arquivo de configuração (fácil de selecionar), além do par clássico de nome de usuário / senha da conta.

E aqui estamos entrando na órbita do primeiro círculo de problemas. Apesar das políticas de domínio, os usuários conseguem usar senhas de "dicionário" e "arco-íris". Alguns deles coincidem com senhas pessoais de recursos externos, onde as ameixas são tão ativas que nem faz sentido fazer análises. Às vezes, logons e senhas simplesmente vazam de dispositivos pessoais infectados e, em novas realidades, comprometem não apenas o correio, mas também dão a um invasor espaço para maior impacto na infraestrutura.

O que recomendamos seguir:

  • Geolocalização da conexão VPN - o erro do cenário é alto (especialmente ao trabalhar com o Opera Turbo ou ignorar ativamente os bloqueios), mas, no entanto, permite que você veja o vice-gerente geral, conectando-se (de repente) ao Senegal. Cada base de geolocalização tem suas próprias limitações e erros, mas agora é melhor exagerar.
  • «» — VPN- ( , , , ). , , .
  • «» . : , , , VPN-, .. , , , , , – . «», , .
  • . , , — -. — .
  • ( ). , , . VPN , . , , .
  • Um fator importante é o uso da TI. Tentativas e conexões ainda mais bem-sucedidas de hosts, anonimizadores, proxies ou nós TOR comprometidos podem ser um sinal de ataque de hackers que tentam ocultar traços de seu trabalho, anonimizando a última etapa.

VPN é invadida, protegemos a rede


Se um invasor conseguiu ultrapassar a primeira linha de defesa e obter acesso a uma VPN, nossos recursos para identificá-la não terminam aí. Como os problemas:

  • Como regra, no calor do trabalho rápido, são abertos acessos redundantes: em vez de sistemas de destino, a segmentos de rede inteiros.
  • Freqüentemente, não há gerenciamento completo de contas, e o sistema atualizado ou as contas privilegiadas têm acesso geral.

O que controlar nesta fase:

  • () VPN . , . - -, VPN root, .
  • , / . VPN- , «» , . , . .
  • . , , low and slow . , ,
  • Sinais indiretos de uma tentativa de coletar dados estão monitorando o volume de sessões na VPN, sua duração e quaisquer anomalias que indiquem que o usuário está se comportando de maneira incomum. Isso permite identificar incidentes internos e externos.

Protegendo sistemas de destino ou acesso ao terminal


Se não estamos tão desesperados corajosa como para permitir que cada usuário para a nossa estação de trabalho, os servidores de terminal / hubs de usuários geralmente agem como um ambiente de colaboração / proxy para funcionários remotos.

No caso deles, as abordagens de monitoramento são completamente idênticas às de qualquer host crítico:

  • Análise dos logs de início do processo host para anomalias
  • Monitorando o Processo Remoto e o Início do Serviço
  • Controle de ferramentas de administração remota
  • ,

Sobre o monitoramento de estações finais, espero que lhe digamos em um futuro muito próximo. Mas é importante observar que, se no escopo geral das máquinas, via de regra, existem muitos falsos positivos, no grupo local de servidores de terminal geralmente conseguimos lidar com cada positivo e dar um veredicto.

De uma forma ou de outra, o fornecimento de acesso remoto aos funcionários à infraestrutura não precisa ser implementado devido a soluções caras e complexas, especialmente no início. E enquanto projetamos um acesso verdadeiramente seguro, é importante não deixar de lado o nível de segurança da natação livre e continuar a lidar com os principais problemas e riscos. Portanto, observe a higiene no dia a dia, mas não esqueça a higiene em termos de segurança da informação. E seja saudável.

More articles:


All Articles