Get best of the week

远程工作时的五个安全风险



公司中的网络安全专业人员突然不得不适应几乎100%的用户远程工作这一事实。如今,面对不确定性,公司正在尝试保留业务流程,而安全性正在逐渐淡出背景。以前主要为本地计算机提供服务的专业人员可能未准备好应对新的远程访问威胁。

我们的事件响应团队可以帮助客户每天解决安全问题。但是在过去的几个月中,连接VPN以及使用云应用程序和数据时攻击的性质已经改变。我们已经列出了五个远程工作威胁的清单,以告诉您我们的专家在COVID-19大流行期间面临的挑战。

1. VPN暴力攻击


由于现在有许多人在家工作,因此攻击者有更多机会通过VPN进行暴力攻击。 ZDNet报告说,最近VPN连接的数量增长了33%。这意味着自2020年初以来,攻击者拥有超过一百万的新目标。

在大约45%的情况下,Varonis响应小组必须调查暴力攻击。这些攻击大多数旨在获得对VPN或Active Directory的访问。碰巧的是,企业关闭了内置的锁和其他与VPN连接的限制,以免停止工作或降低IT成本。这使系统容易受到此类攻击。

攻击者进行蛮力攻击。他们选择一个VPN门户,然后反复尝试使用预编译的凭据列表进行身份验证。这种攻击称为凭据填充。如果至少正确选择了一个登录名或密码,则攻击者可以攻击该系统。

此外,如果系统使用单点登录(SSO),则攻击者也可以获取正确的域登录名。攻击者可以很快渗透到网络。他可以通过登录域来开始侦察并尝试增加特权。

Varonis如何提供帮助


Varonis解决方案具有一百多种内置的威胁模型,用于检测VPN或Active Directory中的可疑身份验证(凭据,密码欺骗,暴力破解)。您将注意到,我们的威胁模型考虑了多种来源:VPN活动数据由Active Directory,Web代理和数据仓库(如SharePoint或OneDrive)中的信息补充。



您还可以在已保存的搜索库中快速查看上下文VPN活动(已处理的日志),可用于创建报告或搜索威胁:



来自同一IP地址或设备的数百次失败登录尝试可以作为暴力攻击的证据。但是,即使攻击者采取安静缓慢的行动,Varonis仍可以通过分析外围遥测,Active Directory活动和数据访问,然后将该信息与用户或设备行为的基本模型进行比较,来检测出较小的偏差。



2.通过网络钓鱼进行管理和控制


网络钓鱼是适应流行病的另一种众所周知的威胁。攻击者在大流行期间利用人们的恐惧,诱使用户单击恶意链接并下载恶意软件。网络钓鱼是真正的邪恶。
犯罪分子绘制了COVID-19配送中心的地图,并创建了出售医疗用品或提供神奇手段的网站,然后在计算机上安装了恶意软件。一些骗子的行为很残酷,例如,要价500美元的N-95口罩。其他攻击旨在获取对您的计算机及其上所有数据的访问权限。一旦您单击恶意链接,程序就会被下载到您的计算机上,攻击者将借助该程序与命令服务器建立连接。然后,他将开始侦察并提升特权,以查找和窃取您的敏感数据。

Varonis如何提供帮助


Varonis检测类似于管理和控制捕获的网络活动(而不仅仅是连接到已知的恶意IP地址或域)。该解决方案对DNS流量进行深度扫描,并检测可屏蔽HTTP或DNS流量中数据传输的恶意程序。

除了检测恶意软件及其与命令服务器的连接之外,Varonis威胁模型还经常通过记录访问文件或电子邮件的异常尝试来检测受感染的用户。Varonis监视文件活动和周边遥测,并创建基本的用户行为配置文件。然后,该解决方案将当前活动与这些基本配置文件和不断增长的威胁模型目录进行比较。



3. Azure中的恶意应用


这个攻击媒介是相对较新的;上个月首次在我们的博客上进行讨论。我们建议您阅读本文的完整版本,因为在这里我们仅提供对其的简短描述。
微软表示,过去一个月,Azure租户的数量增加了775%。这意味着你们中的有些人现在正在为远程雇员创建Azure环境,而许多人则花了所有心血来保持业务发展并迅速推出新功能。也许这适用于您。

您需要知道哪些应用程序用户允许访问数据,并计划对批准的应用程序进行定期检查,以阻止可能带来风险的所有内容。

犯罪分子意识到,他们可以在网络钓鱼活动中使用Azure的恶意应用程序,当用户安装该应用程序时,攻击者将获得对网络的访问权限。



Varonis如何提供帮助


Varonis可以跟踪Azure应用程序的安装请求,并从一开始就检测到这种攻击的迹象。Varonis收集,分析和分析Office 365中每个组件的所有事件,因此,一旦恶意应用程序开始模仿用户(发送电子邮件和上传文件),我们的行为威胁模型便会起作用。

4.绕过多因素身份验证


远程员工的另一个威胁是中间人攻击。您的员工以前可能没有远程工作过,并且对Office 365不太熟悉,因此他们可能会被Office 365中的伪造登录窗口误导。攻击者使用这些登录窗口窃取凭据和身份验证令牌,足以模拟用户和登录。此外,远程员工可以使用容易被黑客入侵的不安全的Wi-Fi路由器。

简而言之,攻击者会拦截服务器发送给您的身份验证令牌,然后使用该令牌从他的计算机进入系统。获得访问权限后,攻击者即可控制您的计算机。它试图感染其他用户的计算机或立即搜索敏感数据。

Varonis如何提供帮助


Varonis可以检测到来自不同地方的同时登录,以及与以前的用户行为不匹配的登录尝试,并可以作为欺诈的证据。Varonis监视您的数据,以发现网络犯罪分子仅通过进入您的网络即可进行的异常访问尝试。



5.内部威胁


现在是每个人都充满不确定性的时期。人们竭尽全力克服危机,恐惧和不确定性使他们的举止异常。

用户将工作文件下载到不受保护的计算机上。这是由于担心失去工作或无法有效完成工作。两种选择都有一个地方。这使需要确保数据安全性的IT和信息安全服务的工作复杂化。

内部威胁可能很难检测到,尤其是当员工使用个人设备访问敏感数据时它没有可以检测用户传输此数据的公司安全控件(例如DLP)。

Varonis如何提供帮助


我们通过确定公司机密数据位于何处来检测内部威胁,然后检查用户通常如何使用此数据。Varonis长时间监视数据和文件的用户行为,然后用VPN,DNS和代理数据对其进行补充。因此,当用户通过网络下载大量数据或访问他之前无法访问的敏感数据时,Varonis会通知您,并可以提供用户已访问文件的完整列表。



大多数情况下,员工没有恶意意图。但是,对于公司来说,重要的是要了解如何存储敏感数据,因为内部威胁经常发生。直接响应员工行为的能力不仅是降低风险的一种方法,而且还可以与团队讨论问题。

最后的想法


Varonis可以帮助您调查任何看起来可疑的内容,并提供有关如何从攻击中恢复的建议。如有必要,我们提供免费试用许可证。
如您所知,我们不依赖一种保护。我们代表涵盖所有系统(例如网络)的几级保护。我们的事件响应团队将帮助将Varonis集成到您当前的网络安全策略中,并就您可能要投资的其他安全系统提供建议。

More articles:


All Articles