Alors que de plus en plus d'employés sont amenés à travailler à distance, les entreprises qui ne sont pas encore entièrement passées au télétravail vont naturellement constater une évolution du trafic sur leur réseau interne, ce qui a un impact direct sur les détections comportementales identifiées par la Vectra AI .
Vos services RDP / VDI sont-ils exposés à votre insu ?
Vos informations d'identification VPN sont-elles utilisées à mauvais escient ?
Pouvez-vous identifier les dispositifs non protégés qui accèdent à distance à vos systèmes ?
Vectra formule les recommandations suivantes à l'intention des utilisateurs de la Vectra AI afin de leur permettre d'identifier et de gérer l'augmentation prévue des détections comportementales liées à certaines situations rencontrées par les télétravailleurs.
Résumé
Identifier le pool VPN de l'organisation en utilisant la page Groupes pour identifier plus rapidement les travailleurs à distance.
Si les détections lors des vidéoconférences génèrent trop de bruit, créez des filtres de triage à partir des modèles disponibles sur la plateforme du logiciel utilisé.
Après une enquête de base visant à confirmer l'autorisation, rédigez des règles pour les outils d'accès à distance s'ils deviennent trop bruyants.
Utilisez les modèles personnalisés comme guide, mais créez des règles spécifiques à l'organisation.
L'utilisation intensive d'un VPN peut entraîner une augmentation soudaine des détections de mouvements latéraux liés à l'administration. Les apprentissages finiront par prendre en compte ce nouveau paradigme avec l'attribution correcte de l'hôte.
Lors de la création d'un filtre de triage dans la Vectra AI , la configuration recommandée pour les suggestions de règles relatives aux conditions de source consiste à utiliser l'espace IP de source hors centre de données. Si l'analyste n'est pas en mesure de distinguer, au sein de la plateforme, l'espace IP de source du centre de données de celui hors centre de données, Vectra recommande alors d'utiliser l'option « Tous les hôtes ».
Conférence en ligne
Les télétravailleurs devant rester en contact avec leurs collègues, leurs clients et leurs partenaires en l'absence de communication en face à face, l'utilisation des logiciels de visioconférence et de messagerie instantanée devrait s'intensifier. Cette utilisation englobera non seulement la communication vidéo entre pairs, mais servira également à partager des informations par divers moyens, notamment le partage de fichiers, le partage d'écran et d'autres activités connexes. Ces communications et ces comportements de partage de fichiers sont susceptibles d'augmenter le nombre de détections de comportements sur la Vectra AI . Il est recommandé aux utilisateurs d'identifier les services de communication attendus au sein de leur organisation et de créer des filtres personnalisés pour les marquer comme des comportements attendus.
Par exemple, Microsoft Teams peut être facilement identifié soit par la plage d'adresses IP utilisée : 52.112.0.0/14, soit par les protocoles et ports principalement utilisés : UDP 3478 à 3481. En exploitant ces informations, il est possible de définir des règles de triage avec un impact minimal sur les opérations normales. Par défaut, les plages d'adresses IP de plusieurs fournisseurs de visioconférence font déjà partie des pages Groupes de la plateforme, comme le montre la figure 1, ce qui permet d'identifier les comportements légitimes connus.
Figure 1. Groupes dans la Vectra AI
Les comportements attendus du réseau liés à l'utilisation des outils de conférence en ligne seraient les suivants :
Command & Control
Le logiciel de conférence web est une application à distance couramment utilisée dans la plupart des organisations et permet de contrôler le système d'un autre utilisateur. C'est pourquoi il existe des attaques connues qui exploitent les logiciels de conférence web existants à des fins malveillantes. Les détections comportementales courantes liées à l'utilisation d'un logiciel de conférence web sont les suivantes :
Tunnel HTTPS caché- Il est suggéré d'écrire une règle basée sur les IP de destination.
Relais suspect - Il est suggéré d'écrire une règle basée sur les adresses IP de destination.
Exfiltration
Comme les détections d'exfiltration sont basées sur les modèles de trafic et la quantité de données habituellement envoyées vers une destination spécifique, une augmentation des détections d'exfiltration peut être observée lorsque les utilisateurs partagent des fichiers ou envoient des vidéos.
Contrebandier de données - Il est suggéré d'écrire une règle basée sur les IP et les ports de destination.
Tunnel HTTPS caché - Il est suggéré d'écrire une règle basée sur les IP de destination.
Frapper et attraper - Il est suggéré d'écrire une règle basée sur les adresses IP de destination.
Figure 2. Comportement de "Smash and Grab" pour les équipes
Figure 3. Comportement du passeur de données pour les équipes
Outre la configuration de règles personnalisées, la Vectra AI propose des modèles de triage prédéfinis pour les logiciels de visioconférence connus, conçus pour réduire le bruit généré par les activités de visioconférence.
Logiciel d'accès à distance
L'utilisation d'outils d'accès à distance tels que TeamViewer pour accéder aux ressources internes est un autre domaine de croissance attendu. Cela sera particulièrement vrai si le VPN de l'entreprise n'est pas en mesure de gérer le trafic de l'ensemble de l'entreprise, ce qui nécessitera d'autres moyens de gestion des ressources internes.
De la même manière qu'un administrateur utilise un logiciel d'accès à distance pour gérer un serveur, un pirate souhaite régulièrement accéder à ces systèmes internes et les gérer dans le cadre de son cycle d'attaque. En raison de l'augmentation soudaine et importante des accès à distance légitimes, ce modèle de détection peut déclencher une augmentation immédiate des comportements d'accès à distance déjà observés. Vectra recommande d'identifier ces services attendus et de créer des filtres personnalisés pour les marquer comme approuvés.
De par leur conception, les outils d'accès à distance permettent de contrôler à la fois les machines et les serveurs d'autres utilisateurs, ce qui est également l'objectif d'un attaquant. Les outils les plus populaires utilisent les serveurs externes des fournisseurs comme relais (par exemple, LogMeIn, TeamViewer) entre l'utilisateur qui demande l'accès et le système à gérer. Ces outils sont donc plus facilement identifiables car ils se produisent à partir d'un espace d'adressage connu. Par exemple, les serveurs TeamViewer sont explicitement nommés dans le champ de description de la détection du comportement d'accès à distance, qui peut ensuite être exploité pour un filtre de triage après validation stricte par un analyste qu'il s'agit d'un trafic réseau à distance autorisé.
En plus des outils d'accès à distance de tiers, Windows fournit nativement une fonctionnalité d'accès à distance qui permet à un utilisateur d'accéder directement à des dispositifs internes qui seraient habituellement restreints mais qui nécessitent désormais un accès à distance pour qu'un administrateur puisse fonctionner à distance. Par exemple, un serveur de saut pourrait permettre au protocole Microsoft Remote Desktop d'accéder à des systèmes spécifiques pour un utilisateur privilégié. En raison de la polyvalence de ces outils, nous recommandons que la création de règles soit aussi limitée que possible.
Les comportements attendus du réseau liés à l'utilisation d'outils d'accès à distance sont les suivants :
Command & Control
Tunnel HTTPS caché- En fonction de la quantité de bruit générée par ces détections, il est suggéré d'écrire une règle aussi étroite que possible, basée sur les IP de destination et les IP source.
Accès à distance externe - En fonction de la quantité de bruit générée par ces détections, il est suggéré d'écrire une règle aussi étroite que possible, basée sur les adresses IP de destination et les adresses IP de source.
Relais suspect - Cette détection peut être déclenchée lorsqu'un utilisateur utilise un serveur de saut ou un relais pour accéder au bureau à distance sur un hôte spécifique. Vectra recommande à l'analyste de marquer l'hôte source comme autorisé pour cette action et d'utiliser un marquage unique comme personnalisé, en supposant un faible volume de bruit. Si ces types de comportements sont fréquents dans un système, il faut envisager d'écrire un filtre personnalisé basé sur les IP et les ports de destination.
Si les services de partage de fichiers en ligne tels que OneDrive et Dropbox sont déjà très répandus tant dans les entreprises que chez les particuliers, nous prévoyons une utilisation accrue de ces services, qui deviendront le principal moyen de partage et de modification de documents. Il est essentiel de comprendre comment ces services seront utilisés au sein de l’organisation. Les analystes peuvent vérifier si les services de partage de fichiers actuellement utilisés et détectés par la Vectra AI sont autorisés, en s’assurant que l’hébergeur externe respecte la politique de sécurité de l’entreprise.
Exfiltration
Les détections de comportements d'exfiltration sont liées au volume de données envoyées et à la destination. Nous nous attendons à voir une déviation dans ces deux attributs, ce qui déclenchera les comportements suivants pendant la période prolongée de travail à domicile :
Frapper et attraper - Si ces détections deviennent trop bruyantes et que l'hôte externe est identifié comme autorisé, il est suggéré de créer un filtre pour la destination externe.
Contrebandier de données - Si ces détections deviennent trop bruyantes et que l'hôte externe est identifié comme autorisé, il est suggéré de créer un filtre pour la destination externe.
Utilisation de systèmes non gérés par l'entreprise par le biais d'un accès VPN
Lorsque les utilisateurs travaillent à domicile, ils peuvent être tentés d'utiliser un appareil personnel dans leur environnement domestique. Si tel est le cas et qu'un nouvel appareil est utilisé via un accès VPN pour accéder aux ressources internes, la Vectra AI identifiera ces appareils comme de nouveaux hôtes, ce qui peut entraîner diverses anomalies au niveau des privilèges et la détection d'autres comportements inhabituels, basés sur des schémas d'accès « système-utilisateur-service » inédits. La page « Détails de l'hôte » de la plateforme fournit des informations permettant d'identifier un hôte inconnu par son nom, ses comptes, ainsi que la date et l'heure de sa dernière connexion. Ces informations, associées à l'identification du pool d'adresses IP VPN de l'organisation sur la page « Groupes », aideront un analyste à identifier efficacement les appareils d'utilisateurs inconnus.
Mouvement latéral
L'hôte étant considéré comme "nouveau", il représente un dispositif inconnu au sein d'une organisation, qui pourrait être l'ordinateur d'un attaquant. Comme les attaquants cherchent à étendre leur attaque en accédant à diverses ressources internes, certains comportements autorisés peuvent être détectés comme des tentatives de mouvement latéral.
Anomalie d'accès aux privilèges : hôte inhabituel- Après identification de l'espace IP VPN et investigation de l'événement, Vectra recommande d'utiliser la marque unique comme filtre de triage personnalisé.
Bureau à distance suspect - Après identification de l'espace IP VPN et enquête sur l'événement, Vectra recommande d'écrire une règle basée sur l'hôte source et le domaine cible. Si le trafic RDP n'est pas crypté en interne, il y aura plus d'options de filtrage, comme le nom du client.
Note : Vectra encourage fortement les analystes à ne pas écrire de filtres personnalisés sans enquête initiale en raison de la nature des comportements exprimés dans les modèles de détection ci-dessus. Pour les hôtes identifiés et autorisés par un analyste, les filtres doivent être écrits uniquement pour ces hôtes spécifiques.
Surveillance de la bande passante
Nous nous attendons à une forte augmentation de l'utilisation des VPN car la plupart des utilisateurs de l'organisation travaillent à distance mais ont toujours besoin d'accéder aux mêmes ressources internes que lorsqu'ils travaillaient au bureau. Cela signifie que la disponibilité des VPN sera essentielle au fonctionnement de l'organisation et qu'elle devra gérer un volume de trafic beaucoup plus important qu'à l'accoutumée.
Certains comportements des utilisateurs qui seraient normalement innocents et bénins lorsqu'ils sont effectués à l'intérieur d'un réseau, tels que l'écoute d'applications musicales sur un PC pendant le travail, pourraient poser problème sur un VPN à tunnel complet. Un VPN à tunnel complet envoie tout le trafic internet à travers le réseau interne de l'organisation, consommant ainsi de grands volumes de bande passante, ce qui entraîne l'épuisement des ressources du VPN.
Les utilisateurs de Vectra Recall et Stream peuvent suivre ce type de trafic normalement anodin afin d'identifier les utilisateurs qui consomment beaucoup de bande passante.
Utilisation du VPN
Si le VPN d'entreprise utilise la traduction d'adresses réseau (NAT) pour attribuer la même IP à plusieurs utilisateurs simultanés, Vectra recommande les procédures suivantes :
Ajoutez les IP du pool VPN à la liste des proxies sous Gérer -> Proxies.
Ajoutez les IP à un groupe d'IP appelé VPN Pool.
Regardez une vue de détection pour les détections sur le groupe VPN (au lieu d'une vue basée sur l'hôte). Une corrélation manuelle sera nécessaire pour savoir quel utilisateur s'est connecté à l'aide de cette adresse IP à ce moment-là.
Si la fonctionnalité NAT n'est pas disponible et qu'un seul utilisateur peut se voir attribuer une IP à partir du pool VPN, Vectra recommande les procédures suivantes :
Ajoutez les IP à un groupe d'IP appelé VPN Pool.
Consultez une vue de détection pour les détections sur le groupe VPN. Une corrélation manuelle devra être effectuée pour savoir quel utilisateur s'est connecté à l'aide de cette adresse IP à ce moment-là.
Diviser le VPN
Veuillez noter que si la base d'utilisateurs de l'organisation utilise un VPN divisé, les analystes peuvent s'attendre à un nombre réduit de détections de comportement. Avec un VPN divisé, une partie du trafic de l'utilisateur ira directement sur l'internet sans d'abord traverser l'infrastructure interne de l'organisation.
