Lavoro a distanza, non controllo a distanza: linee guida per il rilevamento

Poiché sempre più dipendenti sono chiamati a lavorare da remoto, le organizzazioni che non sono ancora completamente remote subiranno naturalmente un cambiamento nel traffico di rete interno, che avrà un impatto diretto sui rilevamenti comportamentali identificati dalla Vectra AI .

• I tuoi servizi RDP / VDI sono esposti senza che tu lo sappia?
• Le tue credenziali VPN vengono utilizzate in modo improprio?
• È possibile identificare i dispositivi non protetti che accedono in remoto ai propri sistemi?

Vectra formula le seguenti raccomandazioni agli utenti della Vectra AI per identificare e gestire il previsto aumento dei rilevamenti comportamentali relativi a determinate condizioni dei lavoratori remoti.

Sommario

• Identifica il pool VPN dell'organizzazione utilizzando la pagina Gruppi per identificare più rapidamente i lavoratori remoti.
• Se i rilevamenti delle videoconferenze diventano troppo rumorosi, creare filtri di triage basati sui modelli disponibili all'interno della piattaforma per il software in uso.
• Dopo alcune indagini di base per confermare l'autorizzazione, scrivere regole per gli strumenti di accesso remoto se diventano troppo rumorosi.
• Utilizza i modelli personalizzati come guida, ma crea regole specifiche per l'organizzazione.
• Un uso intensivo della VPN può causare un improvviso aumento dei rilevamenti di movimenti laterali relativi all'amministrazione. Gli apprendimenti finiranno per acquisire questo nuovo paradigma con una corretta attribuzione dell'host.

Quando si crea un filtro di triage nella Vectra AI , la configurazione dei suggerimenti relativi alle regole sulle condizioni della fonte prevede l'utilizzo dello spazio IP di origine non appartenente al data center. Se l'analista non è in grado di distinguere tra lo spazio IP di origine appartenente al data center e quello non appartenente al data center nella piattaforma, Vectra consiglia di utilizzare Tutti gli host.

Conferenze web

Poiché i lavoratori remoti devono continuare a rimanere in contatto con i propri colleghi, clienti e partner senza poter comunicare di persona, si prevede un aumento dell'utilizzo di software per conferenze web e messaggistica istantanea. Tale utilizzo non comprenderà solo la comunicazione video peer-to-peer, ma sarà impiegato anche per la condivisione di informazioni attraverso diversi metodi, tra cui la condivisione di file, la condivisione dello schermo e altre attività correlate. Queste comunicazioni e questi comportamenti di condivisione dei file aumenteranno probabilmente il numero di rilevamenti comportamentali nella Vectra AI . Si raccomanda agli utenti di identificare i servizi di comunicazione previsti all'interno della propria organizzazione e di creare filtri personalizzati per contrassegnarli come comportamenti previsti.

Ad esempio, Microsoft Teams può essere facilmente identificato sia dall'intervallo IP in uso: 52.112.0.0/14, sia dai protocolli e dalle porte utilizzati principalmente: UDP da 3478 a 3481. Sfruttando queste informazioni, è possibile scrivere regole di triage con un impatto minimo sulle normali operazioni. Per impostazione predefinita, gli intervalli IP di diversi fornitori di servizi di videoconferenza sono già inclusi nelle pagine Gruppi della piattaforma, come mostrato nella Figura 1, che aiutano a identificare i comportamenti legittimi noti.

I comportamenti di rete previsti in relazione all'uso degli strumenti di conferenza web sarebbero i seguenti:

Command & Control

Il software per conferenze web è un'applicazione remota comunemente utilizzata nella maggior parte delle organizzazioni e ha la capacità di controllare il sistema di un altro utente. Per questo motivo, esistono attacchi noti che sfruttano il software per conferenze web esistente per scopi dannosi. I rilevamenti comportamentali comuni relativi all'uso del software per conferenze web includono quanto segue:

• Tunnel HTTPS nascosto – Si consiglia di scrivere una regola basata sugli IP di destinazione.
• Relè sospetto – Si consiglia di scrivere una regola basata sugli IP di destinazione.

Esfiltrazione

Poiché i rilevamenti di esfiltrazione si basano sui modelli di traffico e sulla quantità di dati solitamente inviati a una destinazione specifica, un aumento dei rilevamenti di esfiltrazione correlati può essere osservato quando gli utenti condividono file o inviano video.

• Contrabbandiere di dati – Si consiglia di scrivere una regola basata sugli IP e sulle porte di destinazione.
• Tunnel HTTPS nascosto – Si consiglia di scrivere una regola basata sugli IP di destinazione.
• Smash & Grab – Si consiglia di scrivere una regola basata sugli IP di destinazione.

Oltre alla configurazione di regole personalizzate, la Vectra AI dispone di modelli di triage predefiniti per i software di conferenza web conosciuti, progettati per ridurre il rumore generato dalle attività di conferenza web.

Software di accesso remoto

Un altro settore in cui è prevista una crescita sarà quello degli strumenti di accesso remoto, come TeamViewer, per accedere alle risorse interne. Ciò sarà particolarmente vero se la VPN aziendale non sarà in grado di gestire il traffico dell'intera azienda, rendendo necessari mezzi alternativi per la gestione delle risorse interne.

Allo stesso modo in cui un amministratore utilizzerebbe un software di accesso remoto per gestire un server, un hacker cerca regolarmente di accedere e gestire questi sistemi interni come parte del proprio ciclo di attacco. A causa dell'improvviso e netto aumento degli accessi remoti legittimi, questo modello di rilevamento potrebbe innescare un immediato aumento dei comportamenti di accesso remoto già osservati in precedenza. Vectra consiglia di identificare questi servizi previsti e di creare filtri personalizzati per contrassegnarli come approvati.

Per loro natura, gli strumenti di accesso remoto consentono di controllare sia i computer degli altri utenti che i server, il che è anche l'obiettivo di un aggressore. Gli strumenti più diffusi sfruttano i server esterni dei fornitori come relay (ad esempio LogMeIn, TeamViewer) tra l'utente che richiede l'accesso e il sistema da gestire. Ciò rende questi strumenti più facilmente identificabili poiché provengono da uno spazio di indirizzi noto. Ad esempio, i server TeamViewer sono esplicitamente indicati nel campo di descrizione del comportamento di rilevamento dell'accesso remoto, che può quindi essere utilizzato come filtro di triage dopo una rigorosa convalida da parte di un analista che si tratti di traffico di rete remoto autorizzato.

Oltre agli strumenti di accesso remoto di terze parti, Windows offre funzionalità di accesso remoto native che consentono all'utente di accedere direttamente a dispositivi interni che normalmente sarebbero soggetti a restrizioni, ma che ora richiedono l'accesso remoto affinché un amministratore possa operare da remoto. Ad esempio, un server di salto potrebbe consentire al protocollo Microsoft Remote Desktop Protocol di accedere a sistemi specifici per un utente privilegiato. Data la versatilità di questi strumenti, consigliamo di creare regole il più possibile restrittive.

I comportamenti di rete previsti relativi all'uso degli strumenti di accesso remoto sarebbero i seguenti:

Command & Control

• Tunnel HTTPS nascosto – A seconda della quantità di rumore generato da tali rilevamenti, si consiglia di scrivere una regola il più possibile restrittiva, basata sugli IP di destinazione e sugli IP di origine.
• Accesso remoto esterno – A seconda della quantità di rumore generato da tali rilevamenti, si consiglia di scrivere una regola il più possibile restrittiva, basata sugli IP di destinazione e sugli IP di origine.
• Relè sospetto – Questo rilevamento può essere attivato quando un utente utilizza un server di salto o un relay per l'accesso remoto al desktop su un host specifico. Vectra consiglia a un analista di contrassegnare l'host di origine come autorizzato per questa azione e di utilizzare un contrassegno monouso come personalizzato, ipotizzando un basso volume di rumore. Se questi tipi di comportamenti sono prevalenti in un sistema, prendere in considerazione la possibilità di scrivere un filtro personalizzato basato sugli IP e sulle porte di destinazione.

Condivisione di file

Sebbene i servizi di condivisione file online come OneDrive e Dropbox siano già molto diffusi nelle aziende e tra i consumatori, prevediamo un aumento dell'utilizzo e dello sfruttamento dei servizi di condivisione file come mezzo principale per la condivisione e la modifica dei documenti. È fondamentale comprendere come questi servizi di condivisione file verranno utilizzati all'interno dell'organizzazione. Gli analisti possono verificare se i servizi di condivisione file attualmente in uso e rilevati dalla Vectra AI sono approvati, validando la conformità dell'host esterno alla politica di sicurezza aziendale.

Esfiltrazione

Il rilevamento dei comportamenti di esfiltrazione è correlato al volume dei dati inviati e alla destinazione. Prevediamo una deviazione in entrambi gli attributi, che innescherà i seguenti comportamenti durante il periodo prolungato di lavoro da casa:

• Smash and Grab – Se questi rilevamenti diventano troppo rumorosi e l'host esterno viene identificato come autorizzato, si consiglia di creare un filtro per la destinazione esterna.
• Contrabbandiere di dati – Se questi rilevamenti diventano troppo rumorosi e l'host esterno viene identificato come autorizzato, si consiglia di creare un filtro per la destinazione esterna.

Utilizzo di sistemi non gestiti dall'azienda tramite accesso VPN

Quando gli utenti lavorano da casa, potrebbero essere inclini a utilizzare un sistema personale nel proprio ambiente domestico. Nel caso in cui ciò si verifichi e venga utilizzato un nuovo sistema tramite accesso VPN alle risorse interne, la Vectra AI identificherà questi dispositivi come nuovi host, il che potrebbe portare a una serie di anomalie dei privilegi e altri nuovi rilevamenti di comportamenti basati su modelli di accesso sistema-utente-servizio mai visti prima. La pagina Dettagli host della piattaforma fornisce dettagli per identificare un host sconosciuto in base al nome, agli account e all'ora e alla data dell'ultimo accesso. Queste informazioni, insieme all'identificazione del pool IP VPN dell'organizzazione nella pagina Gruppi, aiuteranno un analista a identificare in modo efficiente i dispositivi degli utenti sconosciuti.

Movimento laterale

• Poiché l'host sarà considerato "nuovo", esso rappresenta un dispositivo sconosciuto all'interno di un'organizzazione, che potrebbe essere il computer di un aggressore. Poiché gli aggressori mirano ad estendere il loro attacco accedendo a varie risorse interne, alcuni comportamenti autorizzati possono essere rilevati come tentativi di movimento laterale.
• Anomalia dell'accesso privilegiato: host insolito – Dopo aver identificato lo spazio IP VPN e aver indagato sull'evento, Vectra consiglia di utilizzare filtri di triage Mark as Custom (Contrassegna come personalizzato) monouso.
• Desktop remoto sospetto – Dopo aver identificato lo spazio IP VPN e aver indagato sull'evento, Vectra consiglia di scrivere una regola basata sull'host di origine e sul dominio di destinazione. Se il traffico RDP non è crittografato internamente, saranno disponibili più opzioni di filtraggio, come il nome del client.

Nota: Vectra raccomanda vivamente agli analisti di non scrivere filtri personalizzati senza un'indagine iniziale, data la natura dei comportamenti espressi nei modelli di rilevamento sopra indicati. Per gli host identificati e autorizzati da un analista, i filtri devono essere scritti solo per quegli host specifici.

Sorveglianza della larghezza di banda

Prevediamo un forte aumento dell'utilizzo delle VPN, poiché la maggior parte degli utenti aziendali lavora da remoto ma ha comunque bisogno di accedere alle stesse risorse interne di cui disponeva quando lavorava in ufficio. Ciò significa che la disponibilità delle VPN sarà fondamentale per il funzionamento dell'azienda e che sarà necessario gestire un volume di traffico molto più elevato rispetto al solito.

Alcuni comportamenti degli utenti che normalmente sarebbero innocui e innocenti se eseguiti all'interno di una rete, come ascoltare app musicali su un PC mentre si lavora, potrebbero rappresentare un problema su una VPN a tunnel completo. Una VPN a tunnel completo invia tutto il traffico Internet attraverso la rete interna dell'organizzazione, consumando così grandi volumi di larghezza di banda di rete, il che causa l'esaurimento delle risorse VPN.

Gli utenti di Vectra Recall Stream monitorare questo tipo di traffico normalmente innocuo al fine di identificare gli utenti con un elevato consumo di larghezza di banda.

Utilizzo della VPN

Se la VPN aziendale utilizza il Network Address Translation (NAT) per assegnare lo stesso IP a più utenti simultanei, Vectra consiglia le seguenti procedure:

• Aggiungi gli indirizzi IP del pool VPN all'elenco dei proxy in Gestisci -> Proxy.
• Aggiungi gli indirizzi IP a un gruppo IP denominato VPN Pool.
• Esamina una vista di rilevamento per i rilevamenti sul gruppo VPN (anziché una vista basata sull'host). Sarà necessaria una correlazione manuale per sapere quale utente ha effettuato l'accesso utilizzando quell'indirizzo IP in quel momento.

Se la funzionalità NAT non è disponibile e solo un utente può essere assegnato a un IP dal pool VPN, Vectra consiglia le seguenti procedure:

• Aggiungi gli indirizzi IP a un gruppo IP denominato VPN Pool.
• Guarda una vista di rilevamento per i rilevamenti sul gruppo VPN. Sarà necessario eseguire una correlazione manuale per sapere quale utente ha effettuato l'accesso utilizzando quell'indirizzo IP in quel momento.

VPN divisa

Si prega di notare che se la base utenti dell'organizzazione utilizza una VPN divisa, gli analisti possono aspettarsi un numero ridotto di rilevamenti comportamentali. Con una VPN divisa, parte del traffico dell'utente passerà direttamente a Internet senza attraversare prima l'infrastruttura interna dell'organizzazione.