Afin d'endiguer la propagation de COVID-19, il est demandé aux employés de travailler à distance dans la mesure du possible. Ce déplacement soudain et immédiat d'employés qui travailleraient normalement dans un bureau vers un site distant créera naturellement un changement dans le mouvement interne du trafic réseau. Il en résultera une modification des schémas de trafic du réseau interne dans lesquels les attaquants pourront dissimuler leurs propres communications.
Par exemple, Microsoft Teams comptait 32 millions d'utilisateurs actifs quotidiens la semaine dernière, le 11 mars, mais ce chiffre a bondi de 12 millions pour atteindre 44 millions d'utilisateurs actifs quotidiens le 18 mars.
Les domaines ci-dessous nécessiteront une attention et une compréhension accrues de la part des analystes des opérations de sécurité qui gèrent l'impact quotidien de leur environnement en évolution rapide.
Conférence en ligne
Comme les travailleurs à distance ont besoin de rester en contact avec leurs pairs, leurs clients et leurs partenaires sans communiquer en personne, l'utilisation des logiciels de conférence web et de messagerie instantanée devrait augmenter. Vectra , par exemple, a encouragé la multiplication des appels vidéo en tête-à-tête afin de maintenir notre sens de la communauté. Cette utilisation englobera non seulement la communication vidéo d'égal à égal, mais servira également à partager des informations par le biais de multiples méthodes, notamment le partage de fichiers, le partage d'écran et d'autres activités connexes. L'utilisation accrue de ces fonctions augmentera le nombre de connexions à surveiller et à analyser par les opérations de sécurité. Les analystes devront identifier les services de communication attendus au sein de leur organisation et les marquer comme des comportements attendus.
Par exemple, Microsoft Teams peut être facilement identifié soit par la plage IP utilisée : 52.112.0.0/14 ou par le protocole et les ports principalement utilisés : UDP 3478 à 3481 et TCP 80 et 443. En exploitant ces informations, la surveillance peut être ajustée avec un impact minimal sur les opérations normales.
Commandement et contrôle
Le logiciel de conférence web est une application couramment utilisée dans la plupart des organisations et permet de contrôler le système d'un autre utilisateur. C'est pourquoi il existe des attaques connues qui exploitent les logiciels de conférence web existants à des fins malveillantes. L'utilisation accrue de ces applications peut masquer ces attaques réelles. Des événements qui auraient normalement été occasionnels sont désormais fréquents. Discerner ce qui est légitime de ce qui ne l'est pas sera une tâche ardue. La mise en place d'une politique stricte concernant les applications autorisées et les fonctions pouvant être utilisées aidera grandement l'équipe de sécurité.
Exfiltration
L'exfiltration de données consiste simplement à déplacer des données de l'intérieur d'une organisation vers une destination externe. C'est également le même schéma de trafic que celui des logiciels de communication sur le web lorsque les utilisateurs partagent des fichiers et envoient des vidéos. Plus de données quittant le réseau signifie que les alertes traditionnelles basées sur des seuils deviennent moins utiles. Les opérations de sécurité devront s'adapter pour trouver les données autorisées qui circulent sur leur réseau afin de comprendre les mouvements de données non autorisés.
Logiciel d'accès à distance
L'utilisation d'outils d'accès à distance tels que TeamViewer pour accéder aux ressources internes est un autre domaine de croissance attendu. Cela sera particulièrement vrai si le VPN de l'entreprise est notable pour gérer le trafic de l'ensemble de l'entreprise en tant que moyen alternatif de gestion des ressources internes.
De la même manière qu'un administrateur utilise un logiciel d'accès à distance pour gérer un serveur, un pirate souhaite régulièrement accéder à ces systèmes internes et les gérer dans le cadre de son cycle d'attaque. De par leur conception, les outils d'accès à distance permettent de contrôler à la fois les machines et les serveurs d'autres utilisateurs, ce qui est également l'objectif d'un pirate. Les outils les plus populaires utilisent les serveurs externes des fournisseurs comme relais (LogMeIn, TeamViewer) entre l'utilisateur qui demande l'accès et le système à gérer. Ces outils sont ainsi plus facilement identifiables, car ils se produisent à partir d'un espace d'adresses connu, mais il est difficile d'identifier la source de l'activité. La compréhension de ces compromis et l'élaboration d'une politique solide concernant les logiciels d'accès à distance autorisés peuvent aider les analystes de la sécurité en produisant moins de bruit à partir de leurs outils de surveillance.
En plus des outils d'accès à distance de tiers, Windows fournit nativement une fonctionnalité d'accès à distance qui permet à un utilisateur d'accéder directement à des dispositifs internes qui seraient habituellement restreints mais qui nécessitent désormais un accès à distance pour qu'un administrateur puisse fonctionner à distance. Par exemple, un serveur de saut pourrait permettre au protocole Microsoft Remote Desktop d'accéder à des systèmes spécifiques pour un utilisateur privilégié. En raison de la polyvalence de ces outils, nous recommandons que le contrôle soit aussi précis que possible.
Commandement et contrôle
Les logiciels commerciaux d'accès à distance, de plus en plus répandus, posent un défi aux équipes chargées de la sécurité. Comme pour les conférences web, il faut limiter les comportements courants associés aux logiciels d'accès à distance ou l'envoi de données sur des canaux cryptés et l'accès externe à distance à des fins malveillantes.
Les opérations de sécurité peuvent également s'attendre à voir des comportements suspects de relais, qui se produisent lorsqu'un utilisateur utilise un serveur de saut ou un relais pour l'accès au bureau à distance sur un hôte spécifique. Un analyste doit suivre et surveiller l'hôte source autorisé pour cette action.
Partage de fichiers
Alors que les services de partage de fichiers en ligne tels que OneDrive et Dropbox sont déjà populaires dans les entreprises et pour les consommateurs, nous nous attendons à une augmentation de l'utilisation et de l'exploitation des services de partage de fichiers comme moyen principal de partage et d'édition de documents. Il est essentiel de comprendre comment ces services de partage de fichiers seront utilisés au sein de l'entreprise. L'élaboration d'une politique relative aux services autorisés peut aider les analystes à hiérarchiser leurs investigations.
Utilisation d'un système non géré par l'entreprise par le biais d'un accès VPN
À mesure que les utilisateurs travaillent à domicile, les entreprises peuvent être tentées d'exploiter des systèmes personnels dans l'environnement domestique de leurs employés. Ces nouveaux systèmes, tout en permettant une transition rapide vers le travail à distance, posent leurs propres problèmes aux équipes de sécurité. Ces nouveaux appareils peuvent donner lieu à diverses anomalies de privilèges et autres écarts de comportement, et les moyens d'investigation seront plus limités. Il sera essentiel de disposer de détails permettant d'identifier et de corréler les hôtes inconnus par nom, comptes et temps d'activité. Ces informations, ainsi que l'identification du pool d'adresses IP du VPN de l'organisation, aideront l'analyste à identifier efficacement les dispositifs inconnus des utilisateurs.
Diviser le VPN
De nombreuses entreprises utilisent un VPN à tunnel divisé. Ce type de VPN permet aux entreprises de diriger le trafic de l'entreprise vers le réseau de l'entreprise, tandis que d'autres trafics transitent vers l'internet sans toucher le réseau de l'entreprise. Cette méthode a un certain nombre d'implications en matière de sécurité, mais elle est généralement utilisée pour économiser la bande passante. En ce qui concerne les enquêtes, les analystes peuvent s'attendre à une visibilité réduite du trafic internet d'un utilisateur, y compris celui des attaquants et des services de commandement et de contrôle.
Surveillance de la bande passante
Nous nous attendons à une forte augmentation de l'utilisation des VPN car la plupart des utilisateurs de l'organisation travaillent à distance mais ont toujours besoin d'accéder aux mêmes ressources internes que lorsqu'ils travaillaient au bureau. Cela signifie que la disponibilité des VPN sera essentielle au fonctionnement de l'organisation et qu'elle devra gérer un volume de trafic beaucoup plus important qu'à l'accoutumée.
Certains comportements des utilisateurs qui seraient normalement innocents et bénins lorsqu'ils sont effectués à l'intérieur d'un réseau, tels que l'écoute d'applications musicales sur un PC pendant le travail, pourraient poser un problème sur un VPN à tunnel complet. Un VPN à tunnel complet envoie tout le trafic internet à travers le réseau interne de l'organisation, consommant ainsi de grands volumes de bande passante, ce qui entraîne l'épuisement des ressources du VPN.
Si la base d'utilisateurs de l'organisation utilise un VPN divisé, les analystes peuvent s'attendre à une visibilité réduite du trafic nord/sud. Avec un VPN divisé, une partie du trafic de l'utilisateur ira directement sur l'internet sans d'abord traverser l'infrastructure interne de l'organisation.