12 May

Пять угроз безопасности при удаленной работе

Varonis Systems corporate blogInformation SecurityMicrosoft AzureRemote work
Original author: Jeff Petters


Специалистам по кибербезопасности в компаниях неожиданно пришлось адаптироваться к тому, что почти 100% пользователей работают удаленно. Сегодня, в условиях неопределенности, компании стараются сохранить бизнес-процессы, а безопасность отходит на второй план. Специалисты, которые ранее обслуживали преимущественно локальные компьютеры, могут быть не готовы к борьбе с новыми угрозами удаленного доступа.

Наша группа реагирования на инциденты ежедневно помогает нашим клиентам устранять проблемы безопасности. Но за последние пару месяцев характер атак при подключении VPN и использовании облачных приложений и данных изменился. Мы составили список из пяти угроз удаленной работы, чтобы рассказать, с чем сталкиваются наши специалисты в период пандемии COVID-19.

1. Атаки через VPN методом грубой силы


Поскольку многие люди сейчас работают из дома, у злоумышленников появилось больше возможностей для атак через VPN методом грубой силы. ZDNet сообщает, что за последнее время количество VPN-подключений выросло на 33%. Это значит, что с начала 2020 года у злоумышленников появилось более миллиона новых целей.

Примерно в 45% случаев группе реагирования Varonis приходится расследовать именно атаки методом грубой силы. Большая часть этих атак направлена на получение доступа к VPN или Active Directory. Случалось, что организации отключали встроенные блокировки и другие ограничения на подключение к VPN, чтобы не останавливать работу или снизить затраты на ИТ. Это делает систему уязвимой к такого рода атакам.

Злоумышленники проводят атаку методом грубой силы. Они выбирают портал VPN и многократно пытаются пройти аутентификацию, используя предварительно собранные списки учетных данных. Такую атаку называют «подстановка учетных данных» (credential stuffing). Если хотя бы один логин или пароль подобран правильно, злоумышленник может взломать систему.

Более того, если в системе используется единый вход (SSO), злоумышленник также может получить корректный доменный логин. Злоумышленник проникает в сеть очень быстро. Он может начать разведку, войдя в домен, и попытаться повысить привилегии.

Чем может помочь Varonis


Решения Varonis имеют более ста встроенных моделей угроз для обнаружения подозрительной аутентификации (подстановка учетных данных, распыление пароля, перебор) в VPN или Active Directory. Вы заметите, что наши модели угроз учитывают несколько источников: данные об активности VPN дополняются информацией из Active Directory, веб-прокси и хранилищ данных, таких как SharePoint или OneDrive.



Вы также можете быстро просмотреть контекстную VPN-активность (обработанные журналы) в библиотеке сохраненных поисков, которую можно использовать для создания отчетов или поиска угроз:



Несколько сотен неудавшихся попыток входа с одного и того же IP-адреса или устройства могут служить подтверждением атаки методом грубой силы. Но, даже если злоумышленники действуют незаметно и медленно, Varonis может обнаружить незначительные отклонения, анализируя телеметрию периметра, активность Active Directory и доступ к данным, а затем сравнивая эту информацию с базовой моделью поведения пользователя или устройства.



2. Управление и контроль через фишинг


Еще одна известная угроза, адаптированная к условиям пандемии, — фишинг. Злоумышленники наживаются на страхе людей во время пандемии, обманом заставляя пользователей нажимать на вредоносные ссылки и загружать вредоносные программы. Фишинг — настоящее зло.
Преступники разработали карты очагов распространения COVID-19 и создали веб-сайты, на которых «продаются» медицинские принадлежности или предлагаются чудодейственные средства, после заказа которых вы устанавливаете на свой компьютер вредоносное ПО. Некоторые мошенники действуют нагло, например просят 500 долларов за маску N-95. Другие же атаки направлены на то, чтобы получить доступ к вашему компьютеру и всем данным на нем. Как только вы перейдете по вредоносной ссылке, на ваш компьютер загрузится программа, с помощью которой злоумышленник установит соединение с командным сервером. Затем он начнет разведку и повысит привилегии, чтобы найти и украсть ваши конфиденциальные данные.

Чем может помочь Varonis


Varonis обнаруживает действия в сети, которые напоминают захват управления и контроля (не только соединение с известными вредоносными IP-адресами или доменами). Решение выполняет глубокую проверку трафика DNS и выявляет вредоносные программы, маскирующие передачу данных в трафике HTTP или DNS.

Помимо обнаружения вредоносных программ и их соединений с командным сервером, модели угроз Varonis часто обнаруживают скомпрометированного пользователя, регистрируя необычные попытки доступа к файлам или электронной почте. Varonis отслеживает активность файла и телеметрию периметра и создает базовые профили поведения пользователей. Затем решение сравнивает текущую активность с этими базовыми профилями и постоянно растущим каталогом моделей угроз.



3. Вредоносные приложения в Azure


Этот вектор атаки относительно новый, в прошлом месяце он впервые обсуждался в нашем блоге. Рекомендуем прочитать полную версию статьи, поскольку здесь мы приведем лишь краткое ее описание.
Компания Microsoft сообщила, что за последний месяц количество арендаторов Azure увеличилось на 775%. Это означает, что некоторые из вас сейчас создают среды Azure для своих удаленных сотрудников, и многие тратят все силы, чтобы удержать бизнес на плаву и быстро внедрить новые функции. Возможно, это относится и к вам.

Вы должны знать, каким приложениям пользователи разрешают доступ к данным, и запланировать регулярные проверки одобренных приложений, чтобы иметь возможность блокировать все, что несет риск.

Преступники поняли, что они могут использовать вредоносные приложения для Azure в фишинговых кампаниях, и, когда пользователь установит приложение, злоумышленники получат доступ к сети.



Чем может помочь Varonis


Varonis может отслеживать запросы на установку приложения Azure и обнаруживать признаки этой атаки с самого начала. Varonis собирает, анализирует и профилирует все события в Office 365 для каждого компонента, поэтому, как только вредоносное приложение начинает выдавать себя за пользователя (отправлять электронные письма и загружать файлы), срабатывают наши поведенческие модели угроз.

4. Обход многофакторной аутентификации


Еще одна угроза для удаленных сотрудников — атака посредника («man-in-the-middle attack»). Возможно, ваши сотрудники раньше не работали удаленно и не очень хорошо знакомы с Office 365, поэтому их могут ввести в заблуждение поддельные окна входа в Office 365. Злоумышленники используют эти окна входа, чтобы выкрасть учетные данные и токены аутентификации, которых достаточно для имитации пользователя и входа в систему. Помимо этого, удаленные сотрудники могут использовать незащищенный маршрутизатор Wi-Fi, который можно с легкостью взломать.

Вкратце, злоумышленник перехватывает токен аутентификации, который сервер отправляет вам, а затем использует его для входа в систему со своего компьютера. Получив доступ, злоумышленник перехватывает управление вашим компьютером. Он пытается заразить компьютеры других пользователей или сразу ищет конфиденциальные данные.

Чем может помочь Varonis


Varonis может обнаруживать одновременный вход в систему из разных мест, а также попытки входа, которые не совпадают с предыдущим поведением пользователя и служат доказательством махинации. Varonis отслеживает ваши данные на предмет аномальных попыток доступа, которые злоумышленники могут совершать, просто находясь внутри вашей сети.



5. Внутренние угрозы


Сейчас время большой неопределенности для каждого. Люди прикладывают все усилия, чтобы преодолеть кризис, а страх и неопределенность заставляют их вести себя непривычно.

Пользователи загружают рабочие файлы на незащищенный компьютер. Это происходит из-за страха потерять работу или невозможности выполнить ее эффективно. Оба варианта имеют место быть. Это затрудняет работу ИТ- и ИБ-служб, которым нужно обеспечивать безопасность данных.

Внутренние угрозы бывает сложно выявить, особенно когда сотрудник использует для доступа к конфиденциальным данным персональное устройство. На нем нет корпоративных средств управления безопасностью, таких как DLP, которые могли бы обнаружить пользователя, передающего эти данные.

Чем может помочь Varonis


Мы обнаруживаем внутренние угрозы, определяя, где находятся конфиденциальные данные компании, а затем изучаем то, как пользователи обычно работают с этими данными. Varonis длительное время отслеживает действия пользователей с данными и файлами, а затем дополняет их данными VPN, DNS и прокси. Поэтому Varonis оповещает, когда пользователь загружает большой объем данных по сети или получает доступ к конфиденциальным данным, к которым ранее он не имел доступа, и может предоставить полный список файлов, к которым обращался пользователь.



Чаще всего сотрудники не имеют злого умысла. Тем не менее для компании важно понимать, как хранить конфиденциальные данные, поскольку внутренние угрозы — частое явление. Возможность напрямую реагировать на поведение сотрудников — это способ не только снизить риски, но и обсудить проблемы с командой.

Заключительные мысли


Varonis поможет вам расследовать все, что выглядит подозрительным, и дать рекомендации по восстановлению системы после атаки. При необходимости мы предоставляем бесплатные пробные лицензии.
Как вы понимаете, мы не полагаемся на один тип защиты. Мы выступаем за несколько уровней защиты, которые охватывают все системы, как паутина. Наша команда реагирования на инциденты поможет включить Varonis в вашу текущую стратегию кибербезопасности и даст рекомендации по другим системам защиты, в которые вы, возможно, захотите инвестировать.
Tags:брутфорсVPNмногофакторная аутентификацияazureвредоносные программыфишингcovidудалёнка
Hubs: Varonis Systems corporate blog Information Security Microsoft Azure Remote work
+5
3.2k 19
Comments 2
Top of the last 24 hours