Get best of the week

如何不在黑客不在时将公司交给黑客。SOC专家提示



图片:未飞溅

对于许多人来说,“远程工作”的概念仅在不扩散病毒感染的措施方面才变得重要,可惜,我们所有人都必须面对这些措施。极少数公司具有将员工大规模转移到远程站点的经验。而且,即使那些以强大而发达的IT基础架构而著称的人,也常常对此不准备好,也没有相应的内置过程和一套保护工具。因此,他们的IS部门还必须解决新的特定任务。在这里,该行业一点都不重要。有一些公司的业务基于通过Internet进行工作的示例,并且它们似乎在远程工作及其安全性方面吃掉了狗-但是,在新的现实中它们也存在问题。

为了使我们的同事更轻松地生活,我们已经形成了许多在远程站点上工作的技巧,这些技巧专门为SOC单元(无论是内部的还是外包的单元)而设计,它们也适应了新的现实。

RDP,VPN,DaaS-您拥有什么?


当然,准确确定远程员工如何访问公司的基础结构非常重要。可以通过几种方式来组织对远程工作站的访问:

  • 从提供给有权访问公司内部网络的员工的公司设备中;
  • 在忠实客户的帮助下,公司的某些已发布服务;
  • 通过浏览器使用瘦客户端来发布具有Web界面的服务。

一方面,首选胖客户端,因为它允许您控制设备。另一方面,将其安装在个人设备上充满了损害服务的风险,因为在这种情况下,不会监视设备上的软件状态(没有漏洞管理和合规性,因此您无法验证防病毒保护和某些操作系统设置的可用性)。几乎可以保证个人设备的保护性要弱于公司设备。

根据组织远程工作的方法,监视和识别折衷尝试的重点也发生了变化。例如,WAF很好保护和检测了瘦客户机对已发布服务的攻击。。为了保护和监视可以通过VPN访问企业信息网络的设备的活动,您需要更广泛的信息安全解决方案。应当记住,员工设备现在连接到的Internet通道不受IS服务的控制,这会带来额外的泄露风险,例如,用户凭据(如果用户正在与他们一起工作,有时还会泄露公司数据)并不断与公司网络交换大量信息)。

在将员工大量转移到远程工作的情况下,其中一些员工可能会配备符合所有安全标准的公司设备。但是,不可能排除可能发生的大规模违规行为(尤其是在我们谈论的是一个拥有广泛分支机构的组织时),并且在安装了适当的软件之后,即使不是直接从此类设备上进行访问,也不是试图从公司设备上而是从个人设备上访问公司的网络。 。在这种情况下,当监视对连接到公司网络的设备进行分类并根据特定标准将它们分开的可能性时,值得考虑。

内幕是什么以及其使用效率如何


首先需要注意的是可用防护设备的清单(如果出于某种原因,您在袖子之后曾经与此问题相关,现在是时候清洁尾巴了)。因此,技术最低要求包括:

  • 访问控制和数据安全系统旨在为员工提供对工作工具的访问权限,而不会损害安全性。首先,我们谈论的是防火墙和组织虚拟专用网络(VPN)的方法。
  • SIEM系统作为监视“信息中心”,旨在汇总有关受保护网络所有节点上正在发生的事情的信息,并快速响应异常变化和已识别的事件。
  • Web application firewall, , . IT-, , , (, -).
  • NTA-, , , , .
  • DLP-, .
  • 分析用户和组织的行为(用户和实体的行为分析,UEBA)-由于我们正在讨论概要分析,因此我们也离不开概要分析。但是,在这种情况下,值得记住的是,随着向远程工作的大规模过渡,通常的用户行为会发生变化,因此为微调配置文件留出时间很重要。

清单继续。它与每个发达的IT基础架构所需的信息安全系统列表没有太大的不同-重点在不断变化:如果以前对抵御外部威胁的防护更加重要,那么现在系统本身的用户就可以等同于外部威胁(它们不再受到完全信任)连接到基础架构时)。

同时,如果由于某种原因您错过了所列技术清单中的某些内容,那么可能的解决方法可能是使用开源信息安全系统(作为附加系统)或使用现有手段实施某些缺少的功能。IB社区在普遍危机中团结起来,现在您可以利用网络设备和SZI(国内外)的制造商提供的特别优惠:它们提供的产品和服务可为组织安全的远程工作提供便利,并提供折扣或宽限期。

是否可以重新存在


在新角色中最成功的测试保护措施之一-SIEM。这不足为奇:几乎所有信息安全团队都在其中,并且,如果我们谈论的是SOC团队,它是一种基本工具。用于关联来自各种来源的事件的规则使实现几乎任何类型的控制和监视以及自动通知成为可能。例如,使用SIEM系统,您可以创建某种UEBA(属于上述必需技术集合的一部分)。通过连接从组织基础结构中取出的网络设备和工作场所作为源,您可以监视员工从远程位置访问的信息资源,并响应访问尝试,例如进入网络段,而这类用户无法进行任何操作。

通过将公司可用的防病毒保护工具分发给被授权使用已发布服务的用户的家庭设备(当然,在征得他们同意的情况下),公司的信息安全服务可以获得有关连接到这些服务的新端点的更多信息,并且还提高了这些设备的安全性那除了对公司信息的额外保护外,还提供了对员工的保护和个人数据。

在远程工作时,公司信息和电信网络中流通的数据量不可避免地会增加,因此NTA类解决方案成为监视此活动,识别计算机攻击和其他异常现象的好帮手。在他们的帮助下,如果NTA系统提供足够的内存来存储交通记录,则既可以实时直接检测有害影响,又可以解决事件和事件的追溯分析任务。

监听经典还是闪烁?


拆卸并尝试各种情况都是不可能的,也不可取。但是有一定的一组,包括最关键的方案。这些方案可以在合理的时间内实施,并且重要的是,需要足够的资源。同时,它们使您能够涵盖最可能的攻击媒介,攻击者可以通过这些媒介尝试渗透公司的信息网络。

简单但有品味:错误的密码,IP和重复的连接


因此,让我们从流派的经典开始,该流派旨在跟踪员工活动的简单标记,例如IP不匹配,输入密码时出现过多错误等。

  • . , VPN-. , . , , , , .
  • IP . ( ). , . , .
  • ( ). . , , . SIEM-, (VPN) ( , — ).

«» —


一组更复杂的监视和事件检测方案旨在显着丰富经典场景中收集的数据,并提高在整个远程访问过程中在网络上生成的大量请求中识别非法连接的准确性。其中包括的所有情况也暗示了对事件进行最迅速,最有效调查所必需的数据积累。

  • 通过远程连接识别域和非域工作站. , , . , Microsoft, , AD, , , . ( ), «» , . , (FQDN) ― , , . NTA , , .
  • , . , , . , GeoIP- ( ) . , , , , .

对有关用户位置的存储数据进行回顾性分析可以发现不那么明显的异常情况:例如,需要使用台式计算机的合法用户不太可能会连接到来自不同城市的公司网络。

为了对外部用户连接的地址进行完整的信誉评估,可以使用威胁情报系统。它们将帮助识别僵尸网络成员的受感染机器,以及来自各种匿名网络(例如,通过TOR或反滥用VPN提供商)的连接尝试。

  • 监视管理员的连接并更改关键基础架构服务的配置. , , , , . , , . ( , ) , . ― , AD. .

在员工进行大量远程工作的情况下,绝对有必要严格控制通过同一VPN进入公司网络的入口点及其配置的更改。跟踪和记录此数据对于验证操作的合法性和调查可能的IS事件都是有用的。对管理员对关键基础结构服务的操作的总体控制并非特定于员工进行大规模远程工作的情况-这是普遍的必要,但不可忽视。
  • . , , IP- VPN, . , . , , , ― .


在监视信息安全性时,有时会发生完全不标准的情况。可用工具的好处通常是可以相对轻松地执行它们。
例如,由于某种原因,公司可能没有DLP类系统。该怎么办?使用SIEM并监视文件存储访问。为此,需要列出或禁止从远程工作的一部分VPN用户访问文件并从中下载文件,并在存储本身上配置适当的审核策略。在SIEM系统中修复此类尝试时,将自动启动事件。但是,碰巧文件存储的容量达到了这样的大小,以至于在这些文件上编译列表和数据分类的任务实际上变得不可解决。在这种情况下,最低限度的程序是设置对存储和文件操作的访问记录-该信息将在调查可能的泄漏方面很好地发挥作用。

但是,还有更复杂的难题。例如,有关连接到VPN或发布的服务的数据,会话持续时间可以使分析人员了解公司的劳动纪律如何随着工作条件的变化而变化(并且变化)。开个玩笑,但在信息安全监控的情况下为远程站点的员工安排工作时间非常有用:在时间限制之外连接到公司的网络可视为IS事件。如果不可能制定这样的规定,则监视服务部门应注意明显异常的事情:例如,与夜间任何值班服务无关的用户活动。同意在凌晨三点进行远程连接的人力资源部门的员工至少是可疑的-可能是使用该员工帐户的攻击者。

不能不提及网络流量的深入分析实施NTA类解决方案并确保其已从网关连接到网络流量通道,以将用户远程连接到内部网络,您将能够有效地确定正在使用的Intranet服务,并找出危害他们的尝试,其中包括实际上是入侵者或工作者的“用户”感染恶意软件的站点。此外,在控制是允许还是明确禁止远程访问企业网段方面,NTA可以使IS人员的工作更加轻松。

***


在当前紧张的形势下,如果IT和信息安全服务的员工试图确保公司不慎或直觉地将公司安全过渡到远程工作,他们可能会花费大量精力和神经。为了尽可能简化他们的工作,我们概述了运动的主要方向。例如,如果有一个嵌入式SIEM系统及其连接的源(包括SZI和网络设备),则选择主要区域来监视和实施事件关联的相关规则将需要两到三天的时间,同时还要建立源。也就是说,在将员工的工作转移到家中的背景下,这项任务是可行的。

许多事情仍在幕后进行:例如,我们实际上没有涉及信息安全公司的一般成熟水平,而当日常安全系统存在严重缺陷时,针对今天考虑的案例采取的保护措施可以完全降低。假设您对远程连接的用户进行了良好的监视,将具有100%准确性的作业分为域和非域,但是与此同时,具有基本可检测RCE的“自写” Web服务在公司网络外部发布,其服务器还具有内部地址,并且网络图接近经典星号。钢筋混凝土保护不存在,在其改进中始终具有创造力和发展空间。信息安全监控主管Pavel Kuznetsov

发布PT专家安全中心,积极技术

More articles:


All Articles