Get best of the week

Como não dar sua empresa a um hacker enquanto ele estiver ausente. Dicas para especialistas em SOC



Imagens: Unsplash

O conceito de "trabalho remoto" para muitos ganhou importância apenas em conexão com medidas para a não proliferação de infecções virais, que todos nós, infelizmente, tivemos que enfrentar. Um número extremamente pequeno de empresas tem experiência em transferência em massa de funcionários para um site remoto. E mesmo aqueles que se distinguem por uma infraestrutura de TI poderosa e desenvolvida geralmente não estão prontos para isso e não possuem os processos internos correspondentes e um conjunto de ferramentas de proteção. Portanto, seu departamento de SI também precisa resolver tarefas novas e específicas. E aqui a indústria não é de todo importante. Existem exemplos de empresas cujos negócios se baseiam no trabalho na Internet e eles pareciam ter comido o cachorro em trabalho remoto e em sua segurança - mas não, eles também têm problemas na nova realidade.

Para facilitar a vida de nossos colegas, formamos várias dicas para trabalhar em um local remoto, projetado especificamente para unidades SOC (independentemente de quais unidades internas ou de terceirização), que também estão se adaptando a novas realidades.

RDP, VPN, DaaS - o que você tem?


Obviamente, é importante determinar exatamente como os funcionários remotos terão acesso à infraestrutura da empresa. O acesso a uma estação de trabalho remota pode ser organizado de várias maneiras:

  • de um dispositivo corporativo fornecido a um funcionário com acesso à rede interna da empresa;
  • com a ajuda de um cliente grosso para determinados serviços publicados da empresa;
  • usando um thin client, por meio de um navegador, para serviços publicados que possuem uma interface da web.

Por um lado, é preferível um cliente espesso, pois permite controlar o dispositivo. Por outro lado, instalá-lo em dispositivos pessoais está repleto de riscos de comprometer o serviço, pois nesse caso o estado do software no dispositivo não é monitorado (não há gerenciamento e conformidade de vulnerabilidades, não é possível verificar a disponibilidade da proteção antivírus e de determinadas configurações do sistema operacional). É quase garantido que um dispositivo pessoal seja protegido mais fraco que um dispositivo corporativo.

Dependendo do método de organização do trabalho remoto, a ênfase no monitoramento e na identificação de tentativas de comprometimento também muda. Por exemplo, o WAF faz um bom trabalho de proteção e detecção de ataques a serviços publicados para thin clients.. E para proteger e monitorar a atividade de dispositivos que têm acesso à rede de informações corporativas via VPN, você precisa de uma gama mais ampla de soluções de segurança da informação. Deve-se ter em mente que o canal da Internet ao qual o dispositivo do funcionário está agora conectado não está sob o controle do serviço de segurança da informação e isso cria um risco adicional de vazamento, por exemplo, de credenciais do usuário (e às vezes dados da empresa, se o usuário estiver trabalhando ativamente com eles) e constantemente troca grandes volumes de informações com a rede da empresa).

No caso de transferência em massa de funcionários para trabalho remoto, alguns deles provavelmente receberão equipamentos corporativos configurados de acordo com todos os padrões de segurança. Mas é impossível excluir possíveis violações em massa (especialmente se estamos falando de uma organização com uma extensa rede de filiais) e tentar acessar a rede da empresa não a partir de um dispositivo corporativo, mas de um pessoal depois de instalar o software apropriado, mesmo se houver uma proibição direta de tais ações . Nesse caso, vale a pena considerar ao monitorar a possibilidade de classificar os dispositivos conectados à rede da empresa e separá-los de acordo com determinados critérios.

O que há sob o capô e com que eficácia ele é usado


A primeira coisa que você precisa prestar atenção é um inventário do equipamento de proteção disponível (se, por algum motivo, você costumava se relacionar com esse problema após as mangas, agora é a hora de limpar as caudas). Portanto, o mínimo tecnológico inclui:

  • Sistemas de controle de acesso e segurança de dados projetados para fornecer aos funcionários acesso a ferramentas de trabalho sem comprometer a segurança. Antes de tudo, estamos falando de firewalls e meios de organização de redes privadas virtuais (VPNs).
  • Sistema SIEM como um “centro de informações” de monitoramento, projetado para agregar informações sobre o que está acontecendo em todos os nós da rede protegida e responder rapidamente a alterações anormais e incidentes identificados.
  • Web application firewall, , . IT-, , , (, -).
  • NTA-, , , , .
  • DLP-, .
  • Análise do comportamento do usuário e da organização ( análise de comportamento do usuário e da entidade, UEBA) - como estamos falando de criação de perfil, também não podemos fazer isso. No entanto, nesse caso, vale lembrar que, com a transição em massa para o trabalho remoto, o comportamento usual do usuário muda, por isso é importante reservar um tempo para ajustar os perfis.

A lista continua. Não difere muito da lista de sistemas de segurança da informação exigida em cada infraestrutura de TI bem desenvolvida - os focos estão mudando: se a proteção contra ameaças externas era anteriormente mais relevante, agora os próprios usuários dos sistemas podem ser equiparados a uma ameaça externa (eles deixam de ser totalmente confiáveis) ao conectar-se à infraestrutura).

Ao mesmo tempo, se por algum motivo você perdeu alguma coisa da lista tecnológica listada, a possível saída da situação poderia ser usar sistemas de segurança da informação de código aberto (como sistemas adicionais) ou implementar certas funções ausentes usando os meios existentes. A comunidade do IB está se mobilizando em meio a uma crise geral, e agora você pode aproveitar as ofertas especiais dos fabricantes de equipamentos de rede e SZI (nacionais e estrangeiros): eles fornecem produtos e serviços que facilitam a organização do trabalho remoto seguro, com descontos ou períodos de uso gratuitos.

É possível re-existir


Uma das proteções mais bem-sucedidas para testes em uma nova função - SIEM. O que não é surpreendente: está no arsenal de quase qualquer equipe de segurança da informação e, se é um comando SOC, é uma ferramenta básica. As regras para correlacionar eventos de várias fontes tornam possível implementar praticamente qualquer tipo de controle e monitoramento, além de notificações automáticas. Por exemplo, usando o sistema SIEM, você pode criar algum tipo de UEBA (que faz parte do conjunto de tecnologias necessárias descrito acima). Ao conectar equipamentos de rede e locais de trabalho retirados da infraestrutura da organização como fontes, você pode monitorar os recursos de informações acessados ​​pelos funcionários de um local remoto e responder a tentativas de acesso, por exemplo, a segmentos de rede nos quais não há nada para essa categoria de usuários.

Ao distribuir as ferramentas de proteção antivírus disponíveis na empresa para os dispositivos domésticos dos usuários (é claro, com o consentimento deles) aos quais é delegado o direito de usar serviços publicados, o serviço de segurança das informações da empresa recebe mais informações sobre novos pontos de extremidade conectados a esses serviços e também aumenta a segurança desses dispositivos Isso, além da proteção adicional das informações corporativas, fornece proteção e dados pessoais dos funcionários.

Ao trabalhar remotamente, a quantidade de dados circulando na rede de informações e telecomunicações da empresa aumenta inevitavelmente, de modo que as soluções da classe NTA se tornam uma boa ajuda no monitoramento dessa atividade, identificando ataques de computador e outras anomalias. Com a ajuda deles, é possível detectar influências diretamente prejudiciais em tempo real e resolver as tarefas de análise retrospectiva de incidentes e eventos se o sistema NTA fornecer memória suficiente para armazenar registros de tráfego.

Monitor clássico ou com um brilho?


Desmontar e experimentar toda a variedade de casos é impossível e não é aconselhável. Mas há um certo conjunto deles, incluindo os cenários mais críticos. Esses cenários podem ser implementados em um tempo razoável e, principalmente, exigem uma quantidade adequada de recursos. Ao mesmo tempo, permitem cobrir os vetores de ataque mais prováveis, através dos quais um invasor pode tentar penetrar na rede de informações da empresa.

Simples, mas de bom gosto: senhas erradas, IP e conexões duplicadas


Então, vamos começar com os clássicos do gênero, voltados para rastrear marcadores simples da atividade dos funcionários, como incompatibilidade de IP, um número excessivo de erros ao digitar uma senha etc.

  • . , VPN-. , . , , , , .
  • IP . ( ). , . , .
  • ( ). . , , . SIEM-, (VPN) ( , — ).

«» —


Um conjunto de esquemas de monitoramento e detecção de incidentes mais complexos visa enriquecer significativamente os dados coletados durante cenários clássicos e aumentar a precisão da identificação de conexões ilegítimas na massa de solicitações geradas na rede durante o acesso remoto total. Todos os cenários incluídos nele também implicam o acúmulo de dados necessários para a investigação mais rápida e eficaz do incidente.

  • Identificação de estações de trabalho de domínio e não domínio com conexão remota. , , . , Microsoft, , AD, , , . ( ), «» , . , (FQDN) ― , , . NTA , , .
  • , . , , . , GeoIP- ( ) . , , , , .

O uso de uma análise retrospectiva dos dados armazenados sobre a localização de um usuário pode revelar anomalias menos evidentes: por exemplo, é improvável que um usuário legítimo que precise usar um computador de mesa esteja conectado a uma rede corporativa de cidades diferentes.

Para uma avaliação completa da reputação dos endereços dos quais os usuários externos se conectam, podem ser usados ​​sistemas de inteligência contra ameaças. Eles ajudarão a identificar as máquinas infectadas que são membros de redes de bots e as tentativas de conexão de várias redes anônimas (por exemplo, por meio de provedores de VPN TOR ou anti-abuso).

  • Monitorando as conexões dos administradores e fazendo alterações na configuração dos serviços críticos de infraestrutura. , , , , . , , . ( , ) , . ― , AD. .

No caso de trabalho remoto em massa de funcionários, é absolutamente necessário controlar estritamente o acesso aos pontos de entrada na rede corporativa por meio da mesma VPN e alterações em sua configuração. O rastreamento e o registro desses dados são úteis para verificar a legitimidade das ações e para investigar possíveis incidentes de SI. O controle geral sobre as ações dos administradores nos serviços críticos de infraestrutura não é específico da situação com trabalho remoto em massa dos funcionários - é uma necessidade comum, mas não pode ser ignorada.
  • . , , IP- VPN, . , . , , , ― .


Ao monitorar a segurança das informações, às vezes ocorrem casos completamente fora do padrão. O benefício das ferramentas disponíveis na maioria das vezes permite que elas sejam executadas com relativa facilidade.
Por exemplo, por algum motivo, a empresa pode não ter um sistema de classe DLP. O que pode ser feito? Use o SIEM e monitore os acessos ao armazenamento de arquivos. Para fazer isso, faça uma lista de arquivos cujo acesso e download de um segmento de usuários VPN remotamente é indesejável ou proibido e configure as políticas de auditoria apropriadas nos próprios armazenamentos. Ao corrigir essas tentativas no sistema SIEM, um incidente é iniciado automaticamente. No entanto, acontece que os volumes de armazenamento de arquivos atingem tamanhos tão grandes que a tarefa de compilar uma lista e classificação de dados neles se torna praticamente insolúvel. Nesse caso, o programa mínimo é configurar o registro de acessos a armazenamentos e operações de arquivos - essas informações serão úteis para investigar possíveis vazamentos.

Mas existem quebra-cabeças ainda mais sofisticados. Por exemplo, dados sobre a conexão a uma VPN ou serviços publicados, a duração das sessões pode fornecer a um analista sobrecomo a disciplina de trabalho em uma empresa muda (e muda) com a mudança das condições de trabalho. Brincar como uma piada, mas elaborar horas de trabalho para funcionários em um site remoto no caso de monitoramento de segurança da informação é muito útil: conectar-se à rede de uma empresa fora do prazo pode ser considerado um incidente de SI claro. Se for impossível elaborar tal regulamento, faz sentido que o serviço de monitoramento preste atenção a coisas obviamente anômalas: por exemplo, a atividade de um usuário que não esteja relacionado a nenhum serviço de serviço noturno. Concorde que o funcionário do departamento de recursos humanos que se conectou remotamente às três da manhã é pelo menos suspeito - pode ser um invasor usando a conta do funcionário.

Não se pode deixar de mencionar a análise aprofundada do tráfego de rede. Após implementar a solução da classe NTA e garantir que ela esteja conectada ao canal de tráfego da rede a partir do gateway para conectar remotamente os usuários à rede interna, você poderá determinar efetivamente quais serviços de intranet estão sendo usados ​​e identificar tentativas de comprometê-los, incluindo "usuários" que, na verdade, são intrusos ou trabalhadores estações infectadas com malware. Além disso, o NTA pode facilitar a vida do pessoal de SI em termos de controle sobre se os segmentos de rede corporativa são permitidos ou explicitamente proibidos para acesso remoto.

***


Na atual situação estressante, os funcionários de serviços de TI e de segurança da informação podem gastar muita energia e nervosismo se tentarem garantir uma transição segura da empresa para o trabalho remoto sem cuidado ou com pressentimento. E, a fim de simplificar o trabalho deles tanto quanto possível, descrevemos as principais direções do movimento. Por exemplo, se houver um sistema SIEM incorporado e fontes conectadas a ele, incluindo SZI e equipamento de rede, a seleção das principais zonas para monitorar e implementar as regras relevantes para correlação de eventos levará dois a três dias, juntamente com o estabelecimento das fontes. Ou seja, essa tarefa é mais do que possível no contexto da mudança dos empregos dos funcionários para casa.

Muito ficou nos bastidores: por exemplo, praticamente não tocamos no nível geral de maturidade da empresa de segurança da informação, enquanto a implementação de medidas de proteção para os casos considerados hoje pode ser totalmente depreciada quando o sistema de segurança cotidiano apresenta sérias deficiências. Suponha que você tenha um monitoramento bem organizado de usuários conectados remotamente; os trabalhos com 100% de precisão são classificados como domínio e não domínio, mas, ao mesmo tempo, um serviço da Web auto-escrito com um RCE detectável é publicado fora da rede corporativa, cujo servidor também possui um servidor interno. endereço eo diagrama de rede está próximo da estrela clássica. A proteção do concreto armado não existe e, na sua melhoria, sempre há espaço para criatividade e desenvolvimento.

Postado por Pavel Kuznetsov, chefe de monitoramento de segurança da informação,PT Expert Security Center , Tecnologias positivas

More articles:


All Articles