Travail à distance et non contrôle à distance : Guidage de la détection

Comme de plus en plus d'employés sont appelés à travailler à distance, les organisations qui ne sont pas encore totalement à distance vont naturellement connaître un changement dans le trafic réseau interne, ce qui a un impact direct sur les détections comportementales identifiées par la plateforme Vectra AI .

• Vos services RDP / VDI sont-ils exposés à votre insu ?
• Vos informations d'identification VPN sont-elles utilisées à mauvais escient ?
• Pouvez-vous identifier les dispositifs non protégés qui accèdent à distance à vos systèmes ?

Vectra fait les recommandations suivantes aux utilisateurs de la plateforme Vectra AI afin d'identifier et de gérer l'augmentation attendue des détections comportementales liées à certaines conditions de travail à distance.

Résumé

• Identifier le pool VPN de l'organisation en utilisant la page Groupes pour identifier plus rapidement les travailleurs à distance.
• Si les détections de vidéoconférence deviennent trop bruyantes, créez des filtres de triage basés sur les modèles disponibles dans la plate-forme pour le logiciel utilisé.
• Après une enquête de base visant à confirmer l'autorisation, rédigez des règles pour les outils d'accès à distance s'ils deviennent trop bruyants.
• Utilisez les modèles personnalisés comme guide, mais créez des règles spécifiques à l'organisation.
• L'utilisation intensive d'un VPN peut entraîner une augmentation soudaine des détections de mouvements latéraux liés à l'administration. Les apprentissages finiront par prendre en compte ce nouveau paradigme avec l'attribution correcte de l'hôte.

Lors de l'élaboration d'un filtre de triage dans la plate-forme Vectra AI , la configuration des suggestions de règles de condition de source consiste à utiliser l'espace IP source hors centre de données. Si l'analyste n'est pas en mesure de faire la différence entre l'espace IP source d'un centre de données et celui d'un autre centre de données dans la plate-forme, Vectra recommande d'utiliser All Hosts.

Conférence en ligne

Les travailleurs à distance ayant besoin de rester en contact avec leurs pairs, leurs clients et leurs partenaires sans avoir à communiquer en personne, l'utilisation des logiciels de conférence web et de messagerie instantanée devrait augmenter. Cette utilisation englobera non seulement la communication vidéo d'égal à égal, mais servira également à partager des informations par le biais de multiples méthodes, notamment le partage de fichiers, le partage d'écran et d'autres activités connexes. Ces comportements de communication et de partage de fichiers augmenteront probablement le nombre de détections de comportements sur la plateforme Vectra AI . Il est recommandé aux utilisateurs d'identifier les services de communication attendus au sein de leur organisation et de créer des filtres personnalisés pour marquer ces comportements attendus.

Par exemple, Microsoft Teams peut être facilement identifié soit par la plage IP utilisée : 52.112.0.0/14 ou par les protocoles et ports principalement utilisés : UDP 3478 à 3481. En exploitant ces informations, des règles de triage peuvent être rédigées avec un impact minimal sur les opérations normales. Par défaut, les plages d'adresses IP de plusieurs fournisseurs de vidéoconférence font déjà partie des pages Groupes de la plateforme, comme le montre la figure 1, ce qui permet d'identifier les comportements légitimes connus.

Les comportements attendus du réseau liés à l'utilisation des outils de conférence en ligne seraient les suivants :

Command & Control

Le logiciel de conférence web est une application à distance couramment utilisée dans la plupart des organisations et permet de contrôler le système d'un autre utilisateur. C'est pourquoi il existe des attaques connues qui exploitent les logiciels de conférence web existants à des fins malveillantes. Les détections comportementales courantes liées à l'utilisation d'un logiciel de conférence web sont les suivantes :

• Tunnel HTTPS caché - Il est suggéré d'écrire une règle basée sur les IP de destination.
• Relais suspect - Il est suggéré d'écrire une règle basée sur les adresses IP de destination.

Exfiltration

Comme les détections d'exfiltration sont basées sur les modèles de trafic et la quantité de données habituellement envoyées vers une destination spécifique, une augmentation des détections d'exfiltration peut être observée lorsque les utilisateurs partagent des fichiers ou envoient des vidéos.

• Contrebandier de données - Il est suggéré d'écrire une règle basée sur les IP et les ports de destination.
• Tunnel HTTPS caché - Il est suggéré d'écrire une règle basée sur les IP de destination.
• Frapper et attraper - Il est suggéré d'écrire une règle basée sur les adresses IP de destination.

Outre la configuration de règles personnalisées, la plateforme Vectra AI propose des modèles de triage prédéfinis pour les logiciels de conférence web connus, conçus pour réduire le bruit généré par les activités de conférence web.

Logiciel d'accès à distance

L'utilisation d'outils d'accès à distance tels que TeamViewer pour accéder aux ressources internes est un autre domaine de croissance attendu. Cela sera particulièrement vrai si le VPN de l'entreprise n'est pas en mesure de gérer le trafic de l'ensemble de l'entreprise, ce qui nécessitera d'autres moyens de gestion des ressources internes.

De la même manière qu'un administrateur utilise un logiciel d'accès à distance pour gérer un serveur, un pirate souhaite régulièrement accéder à ces systèmes internes et les gérer dans le cadre de son cycle d'attaque. En raison de l'augmentation soudaine et importante des accès à distance légitimes, ce modèle de détection peut déclencher une augmentation immédiate des comportements d'accès à distance déjà observés. Vectra recommande d'identifier ces services attendus et de créer des filtres personnalisés pour les marquer comme approuvés.

De par leur conception, les outils d'accès à distance permettent de contrôler à la fois les machines et les serveurs d'autres utilisateurs, ce qui est également l'objectif d'un attaquant. Les outils les plus populaires utilisent les serveurs externes des fournisseurs comme relais (par exemple, LogMeIn, TeamViewer) entre l'utilisateur qui demande l'accès et le système à gérer. Ces outils sont donc plus facilement identifiables car ils se produisent à partir d'un espace d'adressage connu. Par exemple, les serveurs TeamViewer sont explicitement nommés dans le champ de description de la détection du comportement d'accès à distance, qui peut ensuite être exploité pour un filtre de triage après validation stricte par un analyste qu'il s'agit d'un trafic réseau à distance autorisé.

En plus des outils d'accès à distance de tiers, Windows fournit nativement une fonctionnalité d'accès à distance qui permet à un utilisateur d'accéder directement à des dispositifs internes qui seraient habituellement restreints mais qui nécessitent désormais un accès à distance pour qu'un administrateur puisse fonctionner à distance. Par exemple, un serveur de saut pourrait permettre au protocole Microsoft Remote Desktop d'accéder à des systèmes spécifiques pour un utilisateur privilégié. En raison de la polyvalence de ces outils, nous recommandons que la création de règles soit aussi limitée que possible.

Les comportements attendus du réseau liés à l'utilisation d'outils d'accès à distance sont les suivants :

Command & Control

• Tunnel HTTPS caché - En fonction de la quantité de bruit générée par ces détections, il est suggéré d'écrire une règle aussi étroite que possible, basée sur les IP de destination et les IP source.
• Accès à distance externe - En fonction de la quantité de bruit générée par ces détections, il est suggéré d'écrire une règle aussi étroite que possible, basée sur les adresses IP de destination et les adresses IP de source.
• Relais suspect - Cette détection peut être déclenchée lorsqu'un utilisateur utilise un serveur de saut ou un relais pour accéder au bureau à distance sur un hôte spécifique. Vectra recommande à l'analyste de marquer l'hôte source comme autorisé pour cette action et d'utiliser un marquage unique comme personnalisé, en supposant un faible volume de bruit. Si ces types de comportements sont fréquents dans un système, il faut envisager d'écrire un filtre personnalisé basé sur les IP et les ports de destination.

Partage de fichiers

Alors que les services de partage de fichiers en ligne tels que OneDrive et Dropbox sont déjà populaires dans les entreprises et pour les consommateurs, nous nous attendons à une augmentation de l'utilisation et de l'exploitation des services de partage de fichiers comme principal moyen de partage et d'édition de documents. Il est essentiel de comprendre comment ces services de partage de fichiers seront utilisés au sein de l'organisation. Les analystes peuvent vérifier si les services de partage de fichiers actuellement utilisés et visibles sur la plate-forme Vectra AI sont approuvés en validant si l'hôte externe est conforme à la politique de sécurité de l'entreprise.

Exfiltration

Les détections de comportements d'exfiltration sont liées au volume de données envoyées et à la destination. Nous nous attendons à voir une déviation dans ces deux attributs, ce qui déclenchera les comportements suivants pendant la période prolongée de travail à domicile :

• Frapper et attraper - Si ces détections deviennent trop bruyantes et que l'hôte externe est identifié comme autorisé, il est suggéré de créer un filtre pour la destination externe.
• Contrebandier de données - Si ces détections deviennent trop bruyantes et que l'hôte externe est identifié comme autorisé, il est suggéré de créer un filtre pour la destination externe.

Utilisation de systèmes non gérés par l'entreprise par le biais d'un accès VPN

Comme les utilisateurs travaillent à domicile, ils peuvent être enclins à utiliser un système personnel dans leur environnement domestique. Si cela se produit et qu'un nouveau système est utilisé pour l'accès VPN aux ressources internes, la plate-forme Vectra AI identifiera ces appareils comme de nouveaux hôtes, ce qui peut conduire à une variété d'anomalies de privilèges et à d'autres détections de nouveaux comportements basés sur des modèles d'accès jamais vus entre le système et l'utilisateur et le service. La page Host Details de la plate-forme fournit des détails permettant d'identifier un hôte inconnu par son nom, ses comptes, ainsi que la date et l'heure de sa dernière apparition. Ces informations, ainsi que l'identification du pool IP VPN de l'organisation dans la page Groupes, aideront l'analyste à identifier efficacement les appareils d'utilisateurs inconnus.

Mouvement latéral

• L'hôte étant considéré comme "nouveau", il représente un dispositif inconnu au sein d'une organisation, qui pourrait être l'ordinateur d'un attaquant. Comme les attaquants cherchent à étendre leur attaque en accédant à diverses ressources internes, certains comportements autorisés peuvent être détectés comme des tentatives de mouvement latéral.
• Anomalie d'accès aux privilèges : hôte inhabituel - Après identification de l'espace IP VPN et investigation de l'événement, Vectra recommande d'utiliser la marque unique comme filtre de triage personnalisé.
• Bureau à distance suspect - Après identification de l'espace IP VPN et enquête sur l'événement, Vectra recommande d'écrire une règle basée sur l'hôte source et le domaine cible. Si le trafic RDP n'est pas crypté en interne, il y aura plus d'options de filtrage, comme le nom du client.

Note : Vectra encourage fortement les analystes à ne pas écrire de filtres personnalisés sans enquête initiale en raison de la nature des comportements exprimés dans les modèles de détection ci-dessus. Pour les hôtes identifiés et autorisés par un analyste, les filtres doivent être écrits uniquement pour ces hôtes spécifiques.

Surveillance de la bande passante

Nous nous attendons à une forte augmentation de l'utilisation des VPN car la plupart des utilisateurs de l'organisation travaillent à distance mais ont toujours besoin d'accéder aux mêmes ressources internes que lorsqu'ils travaillaient au bureau. Cela signifie que la disponibilité des VPN sera essentielle au fonctionnement de l'organisation et qu'elle devra gérer un volume de trafic beaucoup plus important qu'à l'accoutumée.

Certains comportements des utilisateurs qui seraient normalement innocents et bénins lorsqu'ils sont effectués à l'intérieur d'un réseau, tels que l'écoute d'applications musicales sur un PC pendant le travail, pourraient poser problème sur un VPN à tunnel complet. Un VPN à tunnel complet envoie tout le trafic internet à travers le réseau interne de l'organisation, consommant ainsi de grands volumes de bande passante, ce qui entraîne l'épuisement des ressources du VPN.

Les utilisateurs de Vectra Recall et Stream peuvent suivre ce type de trafic normalement anodin afin d'identifier les utilisateurs qui consomment beaucoup de bande passante.

Utilisation du VPN

Si le VPN d'entreprise utilise la traduction d'adresses réseau (NAT) pour attribuer la même IP à plusieurs utilisateurs simultanés, Vectra recommande les procédures suivantes :

• Ajoutez les IP du pool VPN à la liste des proxies sous Gérer -> Proxies.
• Ajoutez les IP à un groupe d'IP appelé VPN Pool.
• Regardez une vue de détection pour les détections sur le groupe VPN (au lieu d'une vue basée sur l'hôte). Une corrélation manuelle sera nécessaire pour savoir quel utilisateur s'est connecté à l'aide de cette adresse IP à ce moment-là.

Si la fonctionnalité NAT n'est pas disponible et qu'un seul utilisateur peut se voir attribuer une IP à partir du pool VPN, Vectra recommande les procédures suivantes :

• Ajoutez les IP à un groupe d'IP appelé VPN Pool.
• Consultez une vue de détection pour les détections sur le groupe VPN. Une corrélation manuelle devra être effectuée pour savoir quel utilisateur s'est connecté à l'aide de cette adresse IP à ce moment-là.

Diviser le VPN

Veuillez noter que si la base d'utilisateurs de l'organisation utilise un VPN divisé, les analystes peuvent s'attendre à un nombre réduit de détections de comportement. Avec un VPN divisé, une partie du trafic de l'utilisateur ira directement sur l'internet sans d'abord traverser l'infrastructure interne de l'organisation.