Как защитить удаленных сотрудников, или Безопасность в режиме home office +15




Эпидемия коронавируса заставляет компании и органы госвласти массово поступаться своими принципами безопасности, выходить из защищенных периметров и переводить пользователей на удаленный режим работы. Уже много статей написано на тему того, как сделать доступ защищенным и где взять бесплатные лицензии. Мы, как центр мониторинга и реагирования на кибератаки, попробуем описать риски и временные трудности в защите периметра, возникающие в связи с новым мировым порядком. О том, что и как надо мониторить при переводе сотрудников на удаленную работу, читайте под катом.


Сливы, утечки и домашние устройства


Путь к удаленному доступу начинается с подключения. Если бы у нас было много времени на то, чтобы спроектировать настоящее защищенное решение, мы бы выстроили целые эшелоны защиты:

  • Проверка подключаемых устройств на политики безопасности или, как минимум, запрет доступа с личных устройств.
  • Сертификат, вшитый в устройства, или второй фактор аутентификации.
  • Система контроля администраторов для записи доступов, команд и видео.

Но время ограничено, переводить сотрудников на удаленку нужно срочно, поэтому ждать большого внедрения, доставки токенов/новых систем или масштабирования текущего доступа никто не будет. В итоге большинство компаний остается в условиях домашних устройств и защиты подключения на уровне конфигурационного файла (легко подбираем), а также классической пары логин/пароль от учетной записи.

И тут мы заходим на орбиту первого круга проблем. Несмотря на доменные политики, пользователи умудряются использовать «словарные» и «радужные» пароли. Часть из них совпадают с личными паролями от внешних ресурсов, где сливы идут так активно, что даже нет смысла делать аналитику. Иногда логины и пароли просто утекают с зараженных личных устройств и в новых реалиях не только компрометируют почту, но и дают злоумышленнику простор для дальнейшего воздействия на инфраструктуру.

За чем мы рекомендуем следить:

  • Геолокация подключения по VPN — погрешность сценария высока (особенно при работе с Opera Turbo или активном обходе блокировок), но, тем не менее, позволяет увидеть зама генерального директора, подключающегося (внезапно) из Сенегала. Каждая база геолокации имеет свои ограничения и погрешность, но сейчас лучше перебдеть.
  • Подключение со «странного» устройства — современные VPN-шлюзы умеют собирать очень много информации о подключаемом устройстве (название хоста, сетевые атрибуты, приложение, используемое для подключения). Это позволяет выявлять потенциальные аномалии в поведении, как минимум, критичных пользователей.
  • «Одновременное» подключение под одной учетной записью с нескольких хостов. Часто причины вовсе не криминальны: забытая сессия на ноутбуке, подключение с телефона, залипшие сессии, которые не отключил VPN-концентратор, и т.д. Но ситуация, когда пользователь, который, по идее, должен сидеть дома и непрерывно работать с одного хоста, вдруг подключается с другого места – это повод задуматься и разобраться в происходящем. Критерии «одновременности», конечно, каждый выставляет для себя.
  • Подключение в выходные или нерабочее время. В классической ситуации, когда доступ нацелен на ИТ и прикладных администраторов, подключение ночью или в выходные — скорее часть бизнес-процессов. В массовой работе — повод разобраться.
  • Подборы паролей (успешные или не успешные). В корпоративной сети это обычно свидетельствует не о злоумышленнике, а о забытом после бурных выходных пароле или зависшем сервисе, где забыли сменить пароль от системной учетной записи. Но на периметре и при подключении к VPN все смотрится более неприятно, особенно когда заканчивается успешной аутентификацией после подбора. Необходимые меры реагирования, я думаю, объяснять не надо.
  • Немаловажным фактором является использование TI. Попытки, а уж тем более успешные подключения со скомпрометированных хостингов, анонимайзеров, прокси-серверов или с нод TOR могут быть признаком атаки хакеров, которые пытаются скрыть следы своей работы через анонимизацию последнего шага.

VPN взломан, защищаем сеть


Если злоумышленнику удалось пройти первый рубеж обороны и получить доступ к VPN, то наши возможности в его выявлении на этом не заканчиваются. Как и проблемы:

  • Как правило, в горячке быстрых работ доступы открываются избыточные: вместо целевых систем к целым сегментам сети.
  • Зачастую нет полноценного управления учетными записями, и в общем доступе оказываются актуальные системные или привилегированные учетки.

Что контролировать на этом этапе:

  • Несоответствие учетной записи (УЗ) пользователя в VPN и на конечной системе. УЗ может быть привилегированной или системной, но несоответствие всегда говорит об аномалии. Чаще всего эти инциденты возникают из-за ИТ-администраторов, которые после входа в VPN используют учетку доменного администратора или УЗ root, но и боевые срабатывания по этому сценарию встречаются нередко.
  • Подключение к сетевым ресурсам, которые не планировались/не использовались в удаленном доступе. Если количество ресурсов в VPN-пуле оказалось избыточным, то зачастую злоумышленник начинает «щупать» машины в произвольном порядке и приходит на случайный хост, который не нужен ему для полноценной работы. Это может быть тестовая среда, системы управления или просто случайный сервер. Эти отклонения от привычного пользовательского поведения по инструкции тоже помогают эффективно выявлять злоумышленников.
  • Злонамеренные или разведывательные активности. Сюда относятся эксплуатация уязвимостей, сканирование административных портов, low and slow атаки и прочие техники. Если злоумышленники не ожидают работы ИБ, то могут после получения первого доступа вести себя достаточно грубо, что дает нам инструменты для их выявления и противодействия
  • Косвенные признаки попытки забрать данные — отслеживание объема сессий в VPN, их длительности и любых аномалий, которые говорят о том, что пользователь ведет себя непривычно. Это позволяет выявлять как внутренние, так и внешние инциденты.

Защищаем целевые системы или терминальный доступ


Если мы не настолько отчаянные отважные, чтобы пускать каждого пользователя на свою рабочую станцию, то в качестве среды совместной работы/проксирования удаленных сотрудников обычно выступают терминальные серверы/точки-концентраторы пользователей.

В их случае подходы к мониторингу полностью идентичны мониторингу любого критичного хоста:

  • Анализ журналов запуска процессов на хосте для поиска аномалий
  • Контроль удаленных запусков процессов и служб
  • Контроль средств удаленного администрирования
  • Контроль получаемых файлов и изменений в системе
  • Анализ журналов антивирусного ПО, контроль его состояния

Про мониторинг конечных станций, надеюсь, мы расскажем вам в самое ближайшее время. Но важно отметить, что если в общем скоупе машин, как правило, возникает много ложных срабатываний, то в локальной группе терминальных серверов мы обычно в состоянии разобраться с каждым срабатыванием и вынести вердикт.

Так или иначе, обеспечение удаленного доступа сотрудников в инфраструктуры не обязательно должно реализовываться за счет дорогих и сложных решений, особенно на старте. И пока мы проектируем по-настоящему защищенный доступ, важно не отпустить уровень безопасности в свободное плавание и продолжать бороться с ключевыми проблемами и рисками. Поэтому соблюдайте гигиену в обычной жизни, но не забывайте и про гигиену в части ИБ. И будьте здоровы.




К сожалению, не доступен сервер mySQL