С точки зрения сценариев мониторинга, какие наиболее актуальны сейчас для повышения защищённости компании при массовой удалённой работе сотрудников? На этот вопрос в эфире программы «ИБшник на удалёнке» ответил руководитель отдела мониторинга ИБ экспертного центра безопасности Positive Technologies Павел Кузнецов.
Необходимый минимум
«Сперва необходимо настроить, если вы этого ещё не сделали в рамках обычной работы, совершенно необходимо настроить логирование IP-адресов, подключающихся удалённо пользователей», — начал Павел Кузнецов.
По его словам, эта информация в дальнейшем пригодится для расследования инцидента, если он вдруг случится. Плюс, если эти данные удастся соответствующим образом обогатить, можно получить хороший инструмент профилирования удалёнщиков и выявления аномального для них поведения.
Второе минимальное, на что имеет смысл обратить внимание — это выявление дублирующихся входов при удалённой работе. Если пользователь подключился и спокойно работает во внутренних системах, но при этом фиксируются параллельные попытки подключения с этой же чётной записи — это однозначный сигнал того, что учётная запись могла утечь.
«И третий, достаточно очевидный кейс — мониторим те средства сетевые, шлюзы, с помощью которых у нас организовано удалённое подключение. И проверяем множественные последовательные попытки подключения под легальными учётными записями, но с неправильным паролем. Соответственно, при превышении определённых временных параметров количества попыток подключения — это для нас чёткий сигнал, что происходит попытка подбора пароля», — рассказал Павел Кузнецов.
Это необходимый минимум. Развивать эту историю можно практически бесконечно. С помощью той же самой SIEM системы по определённым признакам можно попытаться отделить доменные устройства (то есть легальные с точки зрения комплайенс), подключающиеся во внутреннюю сеть, от не доменных. По крайней мере это будет поводом для того, чтобы связаться с пользователем и уточнить, он ли пытается зайти с не корпоративного устройства в сеть или это какой-то злоумышленник. С этой целью можно отслеживать классические для доменной машины обращения к инфраструктурным сервисам по известным FQDN (Fully Qualified Domain Name). То есть если машина подключается в корпоративную сеть, обращается в центр обновления антивирусов, к известному файловому хранилищу, к системе управления конфигурациями и так далее, значит мы считаем что эта машина условно доменная и можно с ней работать как с доменной. Даже если она захвачена, у нас больше контроля в её отношении.
Network Traffic Analysis
«В современной ситуации при современном уровне развития информатизации общества решения класса Network Traffic Analysis становятся необходимостью в составе парка решений защиты информации, которые должны использоваться в корпоративной сети», — отметил Павел Кузнецов.
По его словам, запись сетевого трафика — это важный процесс, который нужно обеспечивать как минимум на горизонте (самый минимум) одной недели, лучше, если ёмкости будут позволять, хранить трафик порядка месяца (как минимум). Для чего это нужно? Например, трафик нужно хранить для расследования инцидентов в ретроспективном анализе на каком-то относительно длинном промежутке времени. Ещё NTA решения незаменимы, чтобы иметь возможность отмотать на пару часов назад и посмотреть, что было в трафике по отношению к конкретному узлу, потому что алерт не всегда приходит одновременно с сетевой атакой. Кроме прочего NTA решения можно использовать в режиме онлайн как источник событий в реальном времени, потому что с помощью такого решения можно увидеть передачу вредоносных файлов по сети, попытки эксплуатации уязвимости в отдельных узлах. В случае если источник вредоносного воздействия является внешним по отношению к инфраструктуре узлом, то технологии DPI (Deep packet inspection) позволят вычленить этот вредоносный узел, а в дальнейшем заблокировать его на периметровых средствах защиты. «Анализ трафика — один из краеугольных камней обеспечения безопасности в целом, а не только в связи с переходом на «удалёнку». В 2020 году без него никуда», — заключил Павел Кузнецов.