Lavoro a distanza, non controllo a distanza: Guida al rilevamento

Poiché si chiede a un numero sempre maggiore di dipendenti di lavorare da remoto, le organizzazioni che non sono già completamente remote subiranno naturalmente uno spostamento del traffico di rete interno, che influisce direttamente sui rilevamenti comportamentali identificati dalla piattaforma Vectra AI .

• I servizi RDP/VDI sono esposti inconsapevolmente?
• Le vostre credenziali VPN vengono abusate?
• Siete in grado di identificare i dispositivi non protetti che accedono in remoto ai vostri sistemi?

Vectra fornisce le seguenti raccomandazioni agli utenti della piattaforma Vectra AI per identificare e gestire il previsto aumento dei rilevamenti comportamentali legati a determinate condizioni dei lavoratori remoti.

Sintesi

• Identificare il pool VPN dell'organizzazione utilizzando la pagina Gruppi per identificare più rapidamente i lavoratori remoti.
• Se i rilevamenti delle videoconferenze diventano troppo rumorosi, creare filtri di triage basati sui modelli disponibili all'interno della piattaforma per il software in uso.
• Dopo alcune indagini di base per confermare l'autorizzazione, scrivere regole per gli strumenti di accesso remoto se diventano troppo rumorosi.
• Utilizzate i modelli personalizzati come guida, ma create regole specifiche per l'organizzazione.
• L'uso intensivo della VPN può causare un'improvvisa impennata dei rilevamenti di movimento laterale legati all'amministrazione. Le conoscenze acquisite potranno essere utilizzate in questo nuovo paradigma con l'attribuzione corretta dell'host.

Quando si crea un filtro di triage nella piattaforma Vectra AI , la configurazione dei suggerimenti delle regole di condizione di origine prevede l'utilizzo di uno spazio IP di origine non-datacenter. Se l'analista non è in grado di distinguere tra spazio IP di origine del data center e spazio IP non del data center nella piattaforma, Vectra consiglia di utilizzare Tutti gli host.

Conferenze web

Poiché i lavoratori remoti devono continuare a essere in contatto con i loro colleghi, clienti e partner senza comunicare di persona, si prevede che l'uso di software di web conferencing e messaggistica istantanea crescerà. Questo utilizzo non riguarderà solo la comunicazione video peer-to-peer, ma anche la condivisione di informazioni attraverso diversi metodi, tra cui la condivisione di file, la condivisione dello schermo e altre attività correlate. Questi comportamenti di comunicazione e condivisione di file aumenteranno probabilmente il numero di rilevamenti comportamentali nella piattaforma Vectra AI . Si consiglia agli utenti di identificare i servizi di comunicazione previsti all'interno della propria organizzazione e di creare filtri personalizzati per contrassegnare i comportamenti previsti.

Ad esempio, Microsoft Teams può essere facilmente identificato sia per l'intervallo IP in uso: 52.112.0.0/14 o dai protocolli e dalle porte principalmente utilizzati: UDP 3478-3481. Sfruttando queste informazioni, è possibile scrivere regole di triage con un impatto minimo sulle normali operazioni. Per impostazione predefinita, gli intervalli IP di diversi provider di videoconferenze fanno già parte delle pagine dei gruppi della piattaforma, come mostrato nella Figura 1, che aiutano a identificare i comportamenti legittimi noti.

I comportamenti di rete attesi in relazione all'uso degli strumenti di web conferencing sono i seguenti:

Command & Control

Il software di conferenza Web è un'applicazione remota comunemente utilizzata nella maggior parte delle organizzazioni e ha la capacità di controllare il sistema di un altro utente. Per questo motivo, sono noti attacchi che sfruttano il software di web conferencing esistente per scopi dannosi. I rilevamenti comportamentali comuni relativi all'uso di software per conferenze Web includono i seguenti:

• Tunnel HTTPS nascosto - Si suggerisce di scrivere una regola basata sugli IP di destinazione.
• Relè sospetto - Si suggerisce di scrivere una regola basata sugli IP di destinazione.

Esfiltrazione

Poiché i rilevamenti di esfiltrazione si basano sui modelli di traffico e sulla quantità di dati solitamente inviati a una destinazione specifica, è possibile che si registri un aumento dei rilevamenti di esfiltrazione correlati quando gli utenti condividono file o inviano video.

• Contrabbandiere di dati - Si suggerisce di scrivere una regola basata sugli IP e sulle porte di destinazione.
• Tunnel HTTPS nascosto - Si suggerisce di scrivere una regola basata sugli IP di destinazione.
• Smash & Grab - Si suggerisce di scrivere una regola basata sugli IP di destinazione.

Oltre a configurare regole personalizzate, la Vectra AI Platform dispone di modelli di triage predefiniti per i software di web conferencing noti, progettati per ridurre il rumore generato dalle attività di web conferencing.

Software di accesso remoto

Un'altra area di crescita prevista è l'utilizzo di strumenti di accesso remoto come TeamViewer per accedere alle risorse interne. Questo sarà vero soprattutto se la VPN aziendale non è in grado di gestire il traffico dell'intera azienda, rendendo necessari mezzi alternativi per la gestione delle risorse interne.

Allo stesso modo in cui un amministratore utilizzerebbe un software di accesso remoto per gestire un server, un aggressore vuole regolarmente accedere e gestire questi sistemi interni come parte del proprio ciclo di vita di attacco. Poiché si verifica un aumento improvviso e brusco degli accessi remoti legittimi, questo modello di rilevamento può innescare un aumento immediato dei comportamenti di accesso remoto già visti in precedenza. Vectra consiglia di identificare questi servizi attesi e di creare filtri personalizzati per contrassegnarli come approvati.

Per loro stessa natura, gli strumenti di accesso remoto consentono di controllare sia i computer che i server di altri utenti, il che è anche l'obiettivo di un aggressore. Gli strumenti più diffusi sfruttano i server esterni dei fornitori come relè (ad esempio, LogMeIn, TeamViewer) tra l'utente che richiede l'accesso e il sistema da gestire. Ciò rende questi strumenti più facilmente identificabili in quanto provengono da uno spazio di indirizzi noto. Ad esempio, i server TeamViewer sono esplicitamente nominati nel campo di descrizione del rilevamento del comportamento di accesso remoto, che può essere sfruttato per un filtro di triage dopo che l'analista ha convalidato rigorosamente che si tratta di traffico di rete remoto autorizzato.

Oltre agli strumenti di accesso remoto di terze parti, Windows fornisce in modo nativo una funzionalità di accesso remoto che consente all'utente di accedere direttamente a dispositivi interni che di solito sarebbero limitati, ma che ora richiedono l'accesso remoto da parte di un amministratore per funzionare a distanza. Ad esempio, un server di salto potrebbe permettere al Microsoft Remote Desktop Protocol di accedere a sistemi specifici a un utente privilegiato. Data la versatilità di questi strumenti, si consiglia di creare regole il più possibile ristrette.

I comportamenti di rete previsti in relazione all'uso degli strumenti di accesso remoto sono i seguenti:

Command & Control

• Tunnel HTTPS nascosto - A seconda della quantità di rumore generato da questi rilevamenti, si suggerisce di scrivere una regola il più possibile ristretta, basata sugli IP di destinazione e sugli IP di origine.
• Accesso remoto esterno - A seconda della quantità di rumore generato da questi rilevamenti, si suggerisce di scrivere una regola il più possibile ristretta, basata sugli IP di destinazione e sugli IP di origine.
• Relè sospetto - Questo rilevamento può essere attivato quando un utente utilizza un server di salto o un relay per l'accesso al desktop remoto su un host specifico. Vectra consiglia all'analista di contrassegnare l'host di origine come autorizzato per questa azione e di utilizzare un contrassegno una tantum come personalizzato, ipotizzando un basso volume di rumore. Se questo tipo di comportamento è prevalente in un sistema, si consiglia di scrivere un filtro personalizzato in base agli IP e alle porte di destinazione.

Condivisione di file

Sebbene i servizi di condivisione di file online come OneDrive e Dropbox siano già molto diffusi nelle aziende e tra i consumatori, ci aspettiamo di assistere a un aumento dell'utilizzo e dello sfruttamento dei servizi di condivisione di file come mezzo principale di condivisione e modifica dei documenti. È fondamentale capire come questi servizi di condivisione dei file verranno utilizzati all'interno dell'organizzazione. Gli analisti possono verificare se i servizi di condivisione dei file attualmente in uso e visti nella Vectra AI Platform sono approvati, verificando se l'host esterno è conforme alla politica di sicurezza dell'azienda.

Esfiltrazione

I rilevamenti del comportamento di esfiltrazione sono legati al volume dei dati inviati e alla destinazione. Ci aspettiamo di vedere una deviazione in entrambi gli attributi, che attiverà i seguenti comportamenti durante il periodo di lavoro prolungato a casa:

• Smash and Grab - Se questi rilevamenti diventano troppo rumorosi e l'host esterno viene identificato come autorizzato, si suggerisce di creare un filtro per la destinazione esterna.
• Contrabbandiere di dati - Se questi rilevamenti diventano troppo rumorosi e l'host esterno viene identificato come autorizzato, si suggerisce di creare un filtro per la destinazione esterna.

Utilizzo di sistemi gestiti non aziendali tramite accesso VPN

Poiché gli utenti lavorano da casa, potrebbero essere propensi a sfruttare un sistema personale nel loro ambiente domestico. Nel caso in cui ciò si verifichi e un nuovo sistema venga utilizzato per l'accesso VPN alle risorse interne, la Vectra AI Platform identificherà questi dispositivi come nuovi host, il che può portare a una serie di anomalie dei privilegi e ad altri rilevamenti di nuovi comportamenti basati su modelli di accesso al sistema-utente-servizio mai visti prima. La pagina Dettagli host della piattaforma fornisce i dettagli per identificare un host sconosciuto in base al nome, agli account e all'ora e alla data dell'ultimo accesso. Queste informazioni, insieme all'identificazione del pool di IP VPN dell'organizzazione nella pagina Gruppi, aiutano l'analista a identificare efficacemente i dispositivi utente sconosciuti.

Movimento laterale

• Poiché l'host sarà considerato "nuovo", rappresenta un dispositivo sconosciuto all'interno dell'organizzazione, che potrebbe essere il computer di un attaccante. Poiché gli aggressori mirano a estendere il loro attacco accedendo a varie risorse interne, alcuni comportamenti autorizzati possono essere rilevati come tentativi di movimento laterale.
• Anomalia nell'accesso ai privilegi: host insolito - Dopo l'identificazione dello spazio IP VPN e l'indagine sull'evento, Vectra consiglia di utilizzare i filtri di triage personalizzati Mark one-time.
• Desktop remoto sospetto - Dopo aver identificato lo spazio IP VPN e aver indagato sull'evento, Vectra consiglia di scrivere una regola basata sull'host di origine e sul dominio di destinazione. Se il traffico RDP non è crittografato internamente, saranno disponibili altre opzioni di filtraggio, come il nome del client.

Nota: Vectra consiglia vivamente agli analisti di non scrivere filtri personalizzati senza un'indagine iniziale, a causa della natura dei comportamenti espressi nei modelli di rilevamento di cui sopra. Per gli host identificati e autorizzati da un analista, i filtri devono essere scritti solo per quegli host specifici.

Sorveglianza della larghezza di banda

Prevediamo un forte aumento dell'utilizzo delle VPN, in quanto la maggior parte degli utenti dell'organizzazione lavora da remoto, ma ha comunque bisogno di accedere alle stesse risorse interne che aveva quando lavorava in ufficio. Ciò significa che la disponibilità delle VPN sarà fondamentale per il funzionamento dell'organizzazione e sarà necessario gestire un volume di traffico molto più elevato di quello che si registra di solito.

Alcuni comportamenti dell'utente che normalmente sarebbero innocenti e benigni se eseguiti all'interno di una rete, come ad esempio l'ascolto di applicazioni musicali su un PC mentre si lavora, potrebbero rappresentare un problema in una VPN full-tunnel. Una VPN full-tunnel invia tutto il traffico Internet attraverso la rete interna dell'organizzazione, consumando così grandi volumi di larghezza di banda della rete e causando l'esaurimento delle risorse della VPN.

Gli utenti di Vectra Recall e Stream possono tracciare questo tipo di traffico normalmente benigno per identificare gli utenti con grandi volumi di consumo di banda.

Utilizzo di VPN

Se la VPN aziendale utilizza la traduzione degli indirizzi di rete (NAT) per assegnare lo stesso IP a più utenti contemporanei, Vectra raccomanda le seguenti procedure:

• Aggiungere gli IP del pool VPN all'elenco dei proxy in Gestione -> Proxy.
• Aggiungete gli IP a un gruppo IP chiamato Pool VPN.
• Guardare una vista di rilevamento per i rilevamenti sul gruppo VPN (invece di una vista basata sull'host). Sarà necessaria una correlazione manuale per sapere quale utente si è collegato con quell'indirizzo IP in quel momento.

Se la funzionalità NAT non è disponibile e solo a un utente può essere assegnato un IP dal pool VPN, Vectra consiglia le seguenti procedure:

• Aggiungete gli IP a un gruppo IP chiamato Pool VPN.
• Osservare una vista di rilevamento per i rilevamenti sul gruppo VPN. È necessario eseguire una correlazione manuale per sapere quale utente si è collegato con quell'indirizzo IP in quel momento.

Split VPN

Si noti che se la base di utenti dell'organizzazione utilizza una VPN split, gli analisti possono aspettarsi un numero ridotto di rilevamenti di comportamento. Con una VPN divisa, una parte del traffico degli utenti va direttamente su Internet senza passare prima per l'infrastruttura interna dell'organizzazione.