Poiché a un numero sempre maggiore di dipendenti viene richiesto di lavorare da remoto, le organizzazioni che non hanno ancora adottato un modello di lavoro interamente da remoto registreranno inevitabilmente un cambiamento nel traffico di rete interno, con ripercussioni dirette sui rilevamenti comportamentali identificati dalla Vectra AI .
I vostri servizi RDP/VDI sono esposti a rischi senza che ve ne rendiate conto?
Le tue credenziali VPN vengono utilizzate in modo improprio?
È in grado di individuare i dispositivi non protetti che accedono in remoto ai vostri sistemi?
Vectra formula le seguenti raccomandazioni agli utenti della Vectra AI per individuare e gestire il previsto aumento dei casi di anomalie comportamentali legati a determinate condizioni di lavoro da remoto.
Sintesi
Individua il pool VPN dell'organizzazione tramite la pagina "Gruppi" per individuare più rapidamente i lavoratori remoti.
Se i dati rilevati durante la videoconferenza risultano troppo rumorosi, crea dei filtri di triage basati sui modelli disponibili nella piattaforma del software in uso.
Dopo aver effettuato alcune verifiche di base per confermare l'autorizzazione, definire delle regole per gli strumenti di accesso remoto qualora questi diventino troppo invadenti.
Utilizzate i modelli personalizzati come riferimento, ma create regole specifiche per l'organizzazione
Un uso intensivo della VPN può causare un improvviso aumento dei rilevamenti di movimenti laterali legati all'amministrazione. I modelli di apprendimento finiranno per integrare questo nuovo paradigma con una corretta attribuzione degli host.
Quando si crea un filtro di triage nella Vectra AI , la configurazione predefinita per i suggerimenti relativi alle regole sulle condizioni di origine prevede l'utilizzo di indirizzi IP di origine non appartenenti a data center. Se l'analista non è in grado di distinguere tra indirizzi IP di origine appartenenti a data center e quelli non appartenenti a data center all'interno della piattaforma, Vectra consiglia di utilizzare l'opzione "Tutti gli host".
Conferenze web
Poiché i lavoratori da remoto devono continuare a rimanere in contatto con colleghi, clienti e partner in assenza di comunicazioni di persona, si prevede un aumento dell'uso di software per conferenze web e messaggistica istantanea. Questo utilizzo non comprenderà solo la comunicazione video peer-to-peer, ma sarà impiegato anche per la condivisione di informazioni attraverso diversi metodi, tra cui la condivisione di file, la condivisione dello schermo e altre attività correlate. Queste comunicazioni e queste attività di condivisione dei file aumenteranno probabilmente il numero di rilevamenti comportamentali nella Vectra AI . Si raccomanda agli utenti di identificare i servizi di comunicazione previsti all'interno della propria organizzazione e di creare filtri personalizzati per contrassegnarli come comportamenti attesi.
Ad esempio, Microsoft Teams può essere facilmente identificato sia in base all'intervallo di indirizzi IP utilizzato: 52.112.0.0/14, sia in base ai protocolli e alle porte utilizzati principalmente: UDP da 3478 a 3481. Sfruttando queste informazioni, è possibile definire regole di triage con un impatto minimo sulle normali operazioni. Per impostazione predefinita, gli intervalli IP di diversi fornitori di servizi di videoconferenza fanno già parte delle pagine Gruppi della piattaforma, come mostrato nella Figura 1, e aiutano a identificare comportamenti legittimi noti.
Figura 1. Gruppi nella Vectra AI
I comportamenti previsti in rete in relazione all'uso degli strumenti di videoconferenza sarebbero i seguenti:
Command & Control
I software di videoconferenza sono applicazioni remote ampiamente utilizzate nella maggior parte delle organizzazioni e consentono di assumere il controllo del sistema di un altro utente. Per questo motivo, sono noti attacchi che sfruttano tali software a fini dannosi. Tra i comportamenti sospetti comunemente rilevati in relazione all'uso dei software di videoconferenza figurano i seguenti:
Tunnel HTTPS nascosto– Si consiglia di scrivere una regola basata sugli IP di destinazione.
Relè sospetto – Si consiglia di creare una regola basata sugli indirizzi IP di destinazione.
Esfiltrazione
Poiché il rilevamento delle esfiltrazioni si basa sui modelli di traffico e sulla quantità di dati solitamente inviati a una destinazione specifica, è possibile che si registri un aumento dei rilevamenti di esfiltrazioni quando gli utenti condividono file o inviano video.
Contrabbandiere di dati – Si consiglia di scrivere una regola basata sugli indirizzi IP e sulle porte di destinazione.
Tunnel HTTPS nascosto – Si consiglia di scrivere una regola basata sugli IP di destinazione.
Furto con scasso – Si consiglia di scrivere una regola basata sugli indirizzi IP di destinazione.
Figura 2. Comportamento "smash and grab" per le squadre
Figura 3. Funzionamento di Data Smuggler per Teams
Oltre alla configurazione di regole personalizzate, la Vectra AI offre modelli di triage predefiniti per i principali software di videoconferenza, pensati per ridurre il rumore generato dalle attività di videoconferenza.
Software per l'accesso remoto
Un altro settore in cui si prevede una crescita sarà quello dell'utilizzo di strumenti di accesso remoto, come TeamViewer, per accedere alle risorse interne. Ciò risulterà particolarmente vero qualora la VPN aziendale non fosse in grado di gestire il traffico dell'intera azienda, rendendo necessari mezzi alternativi per la gestione delle risorse interne.
Proprio come un amministratore utilizza un software di accesso remoto per gestire un server, anche un malintenzionato cerca spesso di accedere a questi sistemi interni e di gestirli nell’ambito del proprio ciclo di attacco. A causa dell’improvviso e marcato aumento degli accessi remoti legittimi, questo modello di rilevamento potrebbe far registrare un aumento immediato dei comportamenti di accesso remoto già osservati in precedenza. Vectra consiglia di identificare questi servizi previsti e di creare filtri personalizzati per contrassegnarli come approvati.
Per loro stessa natura, gli strumenti di accesso remoto consentono di controllare sia i computer di altri utenti che i server, il che rappresenta anche l'obiettivo di un malintenzionato. Gli strumenti più diffusi utilizzano i server esterni dei fornitori come relay (ad esempio, LogMeIn, TeamViewer) tra l'utente che richiede l'accesso e il sistema da gestire. Ciò rende questi strumenti più facilmente identificabili, poiché provengono da uno spazio di indirizzi noto. Ad esempio, i server TeamViewer sono esplicitamente indicati nel campo di descrizione del rilevamento del comportamento di accesso remoto, che può quindi essere utilizzato come filtro di triage dopo una rigorosa verifica da parte di un analista che si tratti di traffico di rete remoto autorizzato.
Oltre agli strumenti di accesso remoto di terze parti, Windows offre funzionalità di accesso remoto integrate che consentono a un utente di accedere direttamente a dispositivi interni che normalmente sarebbero soggetti a restrizioni, ma che ora richiedono l'accesso remoto affinché un amministratore possa operare a distanza. Ad esempio, un server di passaggio potrebbe consentire al protocollo Microsoft Remote Desktop Protocol di fornire a un utente con privilegi l'accesso a sistemi specifici. Data la versatilità di questi strumenti, raccomandiamo di definire regole il più restrittive possibile.
I comportamenti previsti della rete in relazione all'uso di strumenti di accesso remoto sarebbero i seguenti:
Command & Control
Tunnel HTTPS nascosto– A seconda della quantità di rumore generata da tali rilevamenti, si consiglia di scrivere una regola il più restrittiva possibile, basata sugli IP di destinazione e sugli IP di origine.
Accesso remoto esterno – A seconda della quantità di rumore generata da tali rilevamenti, si consiglia di scrivere una regola il più restrittiva possibile, basata sugli IP di destinazione e sugli IP di origine.
Relay sospetto – Questo rilevamento può essere attivato quando un utente utilizza un server di salto o un relay per l'accesso al desktop remoto su un host specifico. Vectra raccomanda a un analista di contrassegnare l'host di origine come autorizzato per questa azione e di utilizzare un contrassegno monouso come personalizzato, ipotizzando un basso volume di rumore. Se questi tipi di comportamenti sono prevalenti su un sistema, si consiglia di scrivere un filtro personalizzato basato sugli IP e sulle porte di destinazione.
Sebbene i servizi di condivisione file online come OneDrive e Dropbox siano già molto diffusi sia in ambito aziendale che tra i consumatori, prevediamo un aumento del loro utilizzo e del ricorso a tali servizi come strumento principale per la condivisione e la modifica dei documenti. È fondamentale comprendere in che modo questi servizi di condivisione file verranno utilizzati all'interno dell'organizzazione. Gli analisti possono verificare se i servizi di condivisione file attualmente in uso e rilevati dalla Vectra AI siano autorizzati, accertandosi che l'host esterno sia conforme alla politica di sicurezza aziendale.
Esfiltrazione
Il rilevamento dei comportamenti di esfiltrazione è legato al volume dei dati inviati e alla destinazione. Ci aspettiamo di osservare una variazione in entrambi questi aspetti, che determinerà i seguenti comportamenti durante il prolungato periodo di lavoro da casa:
Furto con scasso – Se questi rilevamenti diventano troppo rumorosi e l'host esterno viene identificato come autorizzato, si consiglia di creare un filtro per la destinazione esterna.
Contrabbandiere di dati – Se questi rilevamenti diventano troppo rumorosi e l'host esterno viene identificato come autorizzato, si consiglia di creare un filtro per la destinazione esterna.
Utilizzo di sistemi non gestiti dall'azienda tramite accesso VPN
Quando gli utenti lavorano da casa, potrebbero essere inclini a utilizzare un dispositivo personale nel proprio ambiente domestico. Nel caso in cui ciò avvenga e venga utilizzato un nuovo dispositivo tramite accesso VPN alle risorse interne, la Vectra AI identificherà tali dispositivi come nuovi host, il che potrebbe portare al rilevamento di una serie di anomalie relative ai privilegi e di altri comportamenti insoliti, basati su modelli di accesso da sistema a utente a servizio mai osservati prima. La pagina Dettagli host della piattaforma fornisce dettagli per identificare un host sconosciuto in base al nome, agli account e all'ora e alla data dell'ultimo avvistamento. Queste informazioni, insieme all'identificazione del pool di indirizzi IP VPN dell'organizzazione nella pagina Gruppi, aiuteranno un analista a identificare in modo efficiente i dispositivi utente sconosciuti.
Movimento laterale
Poiché l'host verrà considerato "nuovo", esso rappresenta un dispositivo sconosciuto all'interno di un'organizzazione, che potrebbe essere il computer di un aggressore. Poiché gli aggressori mirano ad ampliare il proprio attacco accedendo a varie risorse interne, alcuni comportamenti autorizzati possono essere rilevati come tentativi di movimento laterale.
Anomalia nell'accesso ai privilegi: host insolito– Dopo l'identificazione dello spazio IP della VPN e l'analisi dell'evento, Vectra raccomanda di utilizzare filtri di triage "Contrassegna come personalizzato" monouso.
Desktop remoto sospetto – Dopo aver identificato lo spazio IP della VPN e aver analizzato l'evento, Vectra consiglia di creare una regola basata sull'host di origine e sul dominio di destinazione. Se il traffico RDP non è crittografato internamente, ci saranno più opzioni di filtraggio, come il nome del client.
Nota: Vectra raccomanda vivamente agli analisti di non creare filtri personalizzati senza aver prima effettuato un'analisi approfondita, data la natura dei comportamenti descritti nei modelli di rilevamento sopra indicati. Per gli host identificati e autorizzati da un analista, i filtri devono essere creati esclusivamente per tali host specifici.
Monitoraggio della larghezza di banda
Prevediamo un forte aumento dell'utilizzo delle VPN, dato che la maggior parte degli utenti aziendali lavora da remoto ma necessita comunque di accedere alle stesse risorse interne di cui disponeva quando lavorava in ufficio. Ciò significa che la disponibilità delle VPN sarà fondamentale per il funzionamento dell'azienda e che queste dovranno gestire un volume di traffico molto più elevato rispetto al solito.
Alcuni comportamenti degli utenti che normalmente sarebbero innocui e innocenti se adottati all'interno di una rete, come l'ascolto di app musicali su un PC mentre si lavora, potrebbero rivelarsi problematici su una VPN a tunnel completo. Una VPN a tunnel completo fa passare tutto il traffico Internet attraverso la rete interna dell'organizzazione, consumando così grandi quantità di larghezza di banda, il che provoca l'esaurimento delle risorse della VPN.
Gli utenti di Vectra Recall Stream monitorare questo tipo di traffico, solitamente innocuo, al fine di individuare gli utenti che consumano grandi quantità di larghezza di banda.
Utilizzo della VPN
Se la VPN aziendale utilizza il Network Address Translation (NAT) per assegnare lo stesso indirizzo IP a più utenti contemporaneamente, Vectra consiglia di seguire le seguenti procedure:
Aggiungi gli indirizzi IP del pool VPN all'elenco dei proxy in Gestisci -> Proxy.
Aggiungi gli indirizzi IP a un gruppo denominato " VPN Pool".
Consulta una vista dei rilevamenti relativa al gruppo VPN (anziché una vista basata sugli host). Sarà necessaria una correlazione manuale per individuare quale utente abbia effettuato l'accesso utilizzando quell'indirizzo IP in quel momento.
Se la funzionalità NAT non è disponibile e solo a un utente può essere assegnato un indirizzo IP dal pool VPN, Vectra consiglia di seguire le seguenti procedure:
Aggiungi gli indirizzi IP a un gruppo denominato " VPN Pool".
Consulta la vista dei rilevamenti relativa al gruppo VPN. Sarà necessario eseguire una correlazione manuale per individuare quale utente abbia effettuato l'accesso utilizzando quell'indirizzo IP in quel momento.
VPN con connessione multipla
Si prega di notare che, se gli utenti dell'organizzazione utilizzano una VPN split, gli analisti potrebbero riscontrare un numero ridotto di rilevamenti di comportamenti sospetti. Con una VPN split, parte del traffico degli utenti viene indirizzato direttamente verso Internet senza passare prima attraverso l'infrastruttura interna dell'organizzazione.
