Как не подарить свою компанию хакеру, пока она на удаленке. Советы специалистам SOC09.04.2020 01:48

amgr4gbv9dffwbeqcekarkgyzkg.jpeg

Изображени: Unsplash

Понятие «удаленной работы» для многих приобрело значимость только в связи с мерами по нераспространению вирусной инфекции, с которыми нам всем, увы, пришлось столкнуться. Опыт массового перевода сотрудников на удаленку есть у крайне малого числа компаний. И даже те, кто отличается мощной и развитой IT-инфраструктурой, часто не готовы к этому и не имеют соответствующих отстроенных процессов и набора средств защиты. Поэтому их отделу ИБ тоже приходится решать новые, специфические задачи. И здесь совсем не важна отрасль. Есть примеры компаний, чей бизнес основан на работе через интернет, и уж они-то, казалось бы, собаку съели в удаленной работе и ее защищенности —, но нет, в новой реальности проблемы возникают и у них.

Для того, чтобы немного облегчить жизнь своим коллегам, мы сформировали ряд советов по работе на удаленке, предназначенных именно для SOC-подразделений (не важно каких ― внутренних или аутсорсинговых), которые сейчас тоже адаптируются к новым реалиям.

RDP, VPN, DaaS — что у вас?


Безусловно, важно определиться, как именно удаленные сотрудники будут получать доступ к инфраструктуре компании. Доступ к удаленному рабочему месту может быть организован несколькими способами:

  • с предоставленного сотруднику корпоративного устройства с доступом во внутреннюю сеть компании;
  • с помощью толстого клиента к отдельным опубликованным сервисам компании;
  • с помощью тонкого клиента, через браузер, к опубликованным сервисам, имеющим веб-интерфейс.


С одной стороны, толстый клиент более предпочтителен, так как позволяет контролировать девайс. С другой ― его установка на личные устройства чревата риском компрометации сервиса, так как в этом случае не контролируется состояние ПО на устройстве (отсутствует vulnerability management и compliance, нельзя убедиться в наличии средств антивирусной защиты, определенных настроек ОС). Личное устройство практически гарантированно защищено слабее корпоративного.

В зависимости от способа организации удаленной работы меняются и акценты мониторинга и выявления попыток компрометации. Например, с защитой и выявлением атак на опубликованные сервисы под тонкие клиенты хорошо справляется WAF. А для защиты и мониторинга активности устройств, имеющих доступ в корпоративную информационную сеть посредством VPN, нужен более широкий спектр решений для ИБ. При этом надо учитывать, что интернет-канал, к которому теперь подключено устройство сотрудника, не находится под контролем службы ИБ, а это создает дополнительный риск утечки, к примеру, учетных данных пользователя (а иногда и данных компании, если пользователь активно с ними работает и постоянно обменивается с сетью компании большими объемами информации).

В случае массового перевода сотрудников на удаленную работу часть их вероятно будет обеспечена корпоративной техникой, настроенной в соответствии со всеми стандартами безопасности. Но нельзя исключать и возможных массовых нарушений (особенно, если речь идет об организации с разветвленной сетью филиалов) и попыток доступа в сеть компании не с корпоративного устройства, а с личного после самостоятельной установки на него соответствующего ПО, даже если есть прямой запрет на подобные действия. В таком случае стоит предусмотреть при мониторинге возможность классификации подключающихся к сети компании устройств и разделения их по определенным признакам.

Что под капотом и насколько эффективно это используется


Первое, на что надо обратить внимание, ― инвентаризация имеющихся средств защиты (если по какой-то причине к этому вопросу вы раньше относились спустя рукава, то сейчас самое время подчистить хвосты). Итак, в технологический минимум входят:

  • Системы контроля доступа и безопасности данных, предназначенные для обеспечения сотрудников доступом к рабочим инструментам без ущерба для безопасности. В первую очередь идет речь о межсетевых экранах и средствах организации виртуальных частных сетей (VPN).
  • SIEM-система как «информационный центр» мониторинга, призванный агрегировать информацию о происходящем на всех узлах защищаемой сети и оперативно реагировать на аномальные изменения и выявленные инциденты.
  • Web application firewall, настроенный в соответствии с особенностями конкретных приложений, чтобы исключить большое количество ложных срабатываний и упростить выявление действий реальных злоумышленников. Эта система незаменима для защиты IT-сервисов, доступ к которым, в рамках удаленной работы, предоставляется посредством публикации их на внешнем периметре (например, как веб-сервисов).
  • NTA-решение, необходимое для контроля происходящего в сети компании, выявления вредоносного сетевого трафика, иных аномалий, а также при расследованиях инцидентов безопасности.
  • Грамотно внедренная DLP-система, которая возьмет на себя риски утечки конфиденциальной информации.
  • Анализ поведения пользователей и организаций (user and entity behavior analytics, UEBA) ― раз уж мы заговорили о профилировании, без этого тоже не обойтись. Однако в этом случае стоит помнить, что при массовом переходе на удаленную работу, обычное поведение пользователей меняется, поэтому важно заложить время на тонкую донастройку профилей.


Этот список можно продолжать. Он не слишком отличается от списка СЗИ, необходимых в каждой достаточно развитой IT-инфраструктуре, — меняются в основном фокусы внимания: если ранее более актуальной была защита от внешних угроз, то сейчас самих пользователей систем можно приравнять к внешней угрозе (они перестают быть абсолютно доверенной стороной при подключении к инфраструктуре).

При этом, если чего-то из перечисленного технологического списка вы почему-то недосчитались, то возможным выходом из ситуации может стать использование опенсорсных СЗИ (в качестве дополнительных) либо реализация отдельных недостающих функций на уже имеющихся средствах. ИБ-коммьюнити сплачивается в условиях общего кризиса, и сейчас можно воспользоваться специальными предложениями производителей сетевого оборудования и СЗИ (как отечественных, так и зарубежных): они предоставляют продукты и сервисы, облегчающие организацию защищенной удаленной работы, со скидками или льготными периодами использования.

Можно ли переподковать уже имеющееся


Одно из самых удачных средств защиты для пробы в новой роли ― SIEM. Что и неудивительно: он имеется в арсенале почти любой команды ИБ, а если речь идет о SOC-команде, то и вовсе является базовым инструментом. Правила корреляции событий с самых разных источников позволяют реализовать практически любые виды контроля и мониторинга, а также автоматических уведомлений. Например, с применением SIEM-системы можно создать некое подобие UEBA (что входит в описанный выше набор необходимых технологий). Подключив в качестве источников сетевое оборудование и вынесенные за пределы инфраструктуры организации рабочие места, можно отслеживать информационные ресурсы, доступ к которым осуществляют сотрудники на удаленке, и реагировать на попытки доступа, например, в сетевые сегменты, в которых данной категории пользователей делать нечего.

Распространив средства антивирусной защиты, имеющиеся в компании, на домашние устройства пользователей (разумеется, с их согласия), которым делегировано право пользования опубликованными сервисами, служба ИБ компании получает больше информации о новых конечных точках, подключающихся к данным сервисам, а также повышает защищенность этих устройств, что, помимо дополнительной защиты корпоративной информации, обеспечивает защиту и личных данных сотрудников.

При удаленной работе неизбежно возрастает объем данных, циркулирующих в информационно-телекоммуникационной сети компании, поэтому хорошим подспорьем в контроле этой активности, выявлении компьютерных атак и иных аномалий становятся решения класса NTA. С их помощью возможно как выявлять непосредственно вредоносные воздействия в режиме реального времени, так и решать задачи ретроспективного анализа инцидентов и событий в случае обеспечения системы NTA достаточным объемом памяти для хранения записи трафика.

Мониторить по классике или с огоньком?


Разобрать и примерить на себя все разнообразие кейсов невозможно, да и не целесообразно. Но есть определенный их набор, включающий наиболее критически значимые варианты развития событий. Эти сценарии могут быть реализованы в разумные сроки и, что немаловажно, требуют адекватного количества ресурсов. При этом они позволяют покрыть наиболее вероятные векторы атак, по которым в информационную сеть компании может попытаться проникнуть злоумышленник.

Просто, но со вкусом: ошибочные пароли, IP и дублирующиеся подключения


Итак, начнем с классики жанра, которая заточена на отслеживание простых маркеров активности сотрудников, как то: несовпадение IP, избыточное число ошибок при вводе пароля и пр.

  • Выявление дублирующихся входов по удаленке. Источником данных для нас в этом случае является сетевое оборудование, с помощью которого организован VPN-доступ. Контроль установления сессий определенным пользователем позволит составить списки пользователей, работающих в сети компании в каждый отдельный промежуток времени. В случае, когда пользователь уже находится в списке работающих в сети в настоящий момент, а мы фиксируем попытку вторичного подключения под его учетными данными, это автоматически признается инцидентом и требует расследования, так как попытка такого подключения может свидетельствовать о компрометации учетной записи.
  • Логирование внешних IP сотрудников на удаленке. Снова к нам приходит на помощь сетевое оборудование или сетевые СЗИ (межсетевые экраны или средства организации удаленного доступа). Журналирование внешних адресов подключающихся к сети пользователей будет необходимо для расследования любого инцидента, связанного с внешним воздействием на информационную инфраструктуру компании. Кроме того, запись поможет накопить данные для профилирования групп внешних пользователей в дальнейшем.
  • Отслеживание неудачных попыток соединений (выявление брутфорса). Это классический кейс. Нередко в руки злоумышленников первой попадает учетная запись пользователя, а пароль остается неизвестен, и атакующий пытается его подобрать. Одним из способов выявления такой атаки может стать правило корреляции в SIEM-системе, отслеживающее неудачные попытки авторизации в сервисе (VPN) и генерирующее предупреждение при достижении заданных пороговых значений (к примеру, больше пяти неудачных попыток авторизации в короткий промежуток времени — дадим пользователю скидку на забывчивость).


Немного «подтюнили» классику — и можно даже расследовать


Набор более сложных схем мониторинга и выявления инцидентов нацелен на то, чтобы существенно обогатить данные, собранные в ходе классических сценариев, и повысить точность идентификации нелегитимных подключений в той массе запросов, которые генерируются в сети во время тотального удаленного доступа. Все вошедшие в него сценарии подразумевают и аккумулирование данных, которые необходимы для максимально оперативного и эффективного расследования инцидента.

  • Идентификация доменных и недоменных рабочих станций при удаленном подключении. Этот кейс особенно актуален, если при мониторинге мы знаем о том, какое оборудование использует сотрудник на удаленке. Например, если корпоративная сеть построена в основном в экосистеме Microsoft, то устройства, не входящие в домен AD, не должны иметь к ней доступа, так как они не контролируются службой ИБ, что не позволяет управляемо минимизировать риск компрометации. Однако в реальности все же случаются нарушения (или исключения), поэтому как минимум необходимо научиться отделять «доменные» устройства от тех, которые таковыми не являются. Это можно сделать, привязав по известным сетевым именам (FQDN) первичную ожидаемую от подключившегося к сети устройства активность к определенным инфраструктурным сервисам ― центру обновлений антивирусных средств, серверу управления конфигурациями, почтовому серверу. Решение класса NTA в данном случае позволит анализировать использующиеся в сети сервисы, а полученные результаты можно использовать также для идентификации рабочих станций, в зависимости от их обращений к специфическим узлам.
  • Географическая привязка пользователей, подключающихся к сетям. Данные, которые получены при журналировании внешних адресов подключающихся для удаленной работы пользователей, могут быть дополнительно обогащены. Например, с помощью GeoIP-сервиса и соотнесения информации с данными о нормальной для данного пользователя (или группы пользователей) геолокации. Это дает дополнительные возможности для профилирования и выявления аномалий, а также является простейшим способом детектирования нелегитимного соединения, так как среди злоумышленников популярно использование в ходе атак ресурсов, находящихся за пределами страны, в которой расположена атакуемая организация.


Применение ретроспективного анализа хранимых данных о локации пользователя может выявить и менее бросающиеся в глаза аномалии: например, вряд ли легитимный пользователь, который должен пользоваться стационарным компьютером, будет подключаться к корпоративной сети из разных городов.

Для полноценной репутационной оценки адресов, с которых подключаются внешние пользователи, можно применять системы threat intelligence. Они помогут выявить как инфицированные машины, являющиеся участниками ботнетов, так и попытки подключения из различных анонимизирующих сетей (например, через TOR или anti-abuse VPN-провайдеров).

  • Контроль подключений администраторов и внесения изменений в конфигурацию критически важных инфраструктурных сервисов. Злоумышленники, стремясь облегчить себе жизнь в атакуемой сети, могут изменить конфигурацию сетевого оборудования, в том числе межсетевых экранов, стоящих на границе корпоративной сети и интернета. Это может быть нужно, к примеру, для организации удобного канала выгрузки искомой информации большого объема. А порой и сами службы ИТ допускают небрежность (с точки зрения ИБ, так и вовсе преступную) и используют одну и ту же учетную запись как для администрирования оборудования, так и для администрирования внутренних сервисов. Поэтому учетные записи администраторов сетевого оборудования ― почти столь же лакомая цель для атакующих, как и учетные записи администраторов контроллера домена AD. Контроль подключений непосредственно к сетевому оборудованию привилегированных пользователей и отслеживание значимых изменений конфигурации оборудования превращается в важную составляющую обеспечения ИБ компании.


В случае массовой удаленной работы сотрудников совершенно необходимо жестко контролировать доступы к точкам входа в корпоративную сеть по той же VPN и изменения их конфигурации. Отслеживание и журналирование этих данных пригодится как для верификации легитимности действий, так и при расследовании возможных инцидентов ИБ. Общий контроль за действиями администраторов на критически важных инфраструктурных сервисах не является специфичным для ситуации с массовой удаленной работой сотрудников — это обычная необходимость, но не упомянуть ее нельзя.

  • Выявление нарушений правил сегментации сети. АРМ сотрудников, работающих удаленно, при получении внутреннего IP-адреса после подключения к VPN, получают адрес из заданной на сетевом устройстве подсети. При мониторинге активности удаленных пользователей более чем полезно отслеживать обращения из этого пула адресов к внутренним ресурсам и подсетям, чтобы убедиться в корректном для этих пользователей поведении. Если на удаленной работе не находится, к примеру, ни одного сотрудника финансового блока компании, то в сетевом сегменте бухгалтерии удаленным пользователям делать нечего ― и обращение к соответствующему пулу адресов должно стать поводом для инициации расследования инцидента.


Задачи вне обязательной программы


При мониторинге ИБ иногда случаются совершенно нестандартные случаи. Благо имеющийся инструментарий чаще всего позволяет их выполнить с относительной легкостью.
Например, по каким-то причинам в компании может не быть системы класса DLP. Что можно предпринять? Использовать SIEM и мониторить обращения к файловым хранилищам. Для этого необходимо составить список файлов, доступ к которым и скачивание из сегмента VPN-пользователей, работающих удаленно, нежелателен или запрещен, и настроить соответствующие политики аудита на самих хранилищах. При фиксации подобных попыток в SIEM-системе автоматически заводится инцидент. Однако бывает, что объемы файловых хранилищ достигают таких размеров, что задача составления перечня и классификации данных на них становится практически нерешаемой. В таком случае программой минимум является настройка журналирования обращений к хранилищам и операций с файлами ― эта информация сослужит хорошую службу при расследовании возможных утечек.

Но бывают и еще более изощренные задачки. Например, данные по подключению к VPN или опубликованным сервисам, продолжительности сессий могут дать аналитику о том, как меняется (и меняется ли) трудовая дисциплина в компании с изменением условий работы. Шутки шутками, но составление регламента рабочих часов для сотрудников на удаленке в случае мониторинга ИБ оказывается очень полезным: подключение к сети компании вне регламента можно рассматривать как явный инцидент ИБ. В случае невозможности составления подобного регламента, службе мониторинга имеет смысл обращать внимание на очевидно аномальные вещи: скажем, на активность пользователя, не имеющего отношения к какой-либо дежурной службе, в ночные часы. Согласитесь, что сотрудник отдела кадров, удаленно подключившийся в три часа ночи, это как минимум подозрительно ― это может оказаться злоумышленник, использующий учетную запись сотрудника.

Нельзя не упомянуть глубокий анализ сетевого трафика. Внедрив решение класса NTA и обеспечив его подключение к каналу прохождения сетевого трафика от шлюза удаленного подключения пользователей во внутреннюю сеть, вы сможете эффективно определять использующиеся внутрисетевые сервисы, выявлять попытки их компрометации, в том числе «пользователями», которые по факту оказываются злоумышленниками, или рабочими станциями, инфицированными вредоносным ПО. Кроме того, NTA может облегчить сотрудникам службы ИБ жизнь в части контроля разрешенных либо явно запрещенных для удаленного доступа сегментов корпоративной сети.

***


В нынешней стрессовой ситуации, сотрудники служб ИТ и ИБ могут потратить немало сил и нервов, если будут пытаться обеспечить безопасный переход компании на удаленную работу небрежно или по наитию. И для того, чтобы максимально упросить их работу, мы наметили основные направления движения. К примеру, при наличии внедренной SIEM-системы и подключенных к ней источников, в том числе СЗИ и сетевого оборудования, выбор основных зон для мониторинга и реализации соответствующих правил корреляции событий займет два-три дня вместе с заведением источников. То есть эта задача более чем реализуема на фоне перемещения рабочих мест сотрудников на дом.

Многое осталось за кадром: так, мы практически не касались общего уровня зрелости ИБ компании, при этом реализация защитных мер по рассмотренным сегодня кейсам может быть абсолютно обесценена, когда повседневная система ИБ имеет серьезные недостатки. Допустим, у вас отлично организован мониторинг удаленно подключающихся пользователей, рабочие места со 100-процентной точностью классифицируются как доменные и недоменные, но в то же время вовне корпоративной сети опубликован «самописный» веб-сервис с элементарно обнаруживаемой RCE, сервер которого имеет еще и внутренний адрес, а схема сети близка к классической звезде. Железобетонной защиты не существует, а в ее улучшении всегда есть простор для творчества и развития.

Автор: Павел Кузнецов, руководитель отдела мониторинга ИБ, PT Expert Security Center, Positive Technologies

© Habrahabr.ru