Эффективны ли традиционные методы защиты в эпоху удаленной работы? Да, но вам нужно использовать другие правила и продукты. Традиционные сети были настроены таким же образом: традиционный домен Active Directory, множество контроллеров домена, рабочие станции под контролем этого домена, и все это спрятано за брандмауэром.
До пандемии у нас были перемещаемые ноутбуки или пользователи, которые доставляли нам головную боль из-за профилей и групповых политик, ориентированных на тех, кто оставался в сети, а не на тех, кто перемещался по нашим доменам. Пандемия ударила, и теперь рабочие станции везде и всюду. Вместо довольно красивого и аккуратного домена, спрятанного за серией брандмауэров и средств защиты, теперь он подключен к той же сети, что и устройства Alexa. В ответ часто на рабочих станциях размещаются сканирующие механизмы и антивирусные продукты, но все, что они делают, - это задерживают время загрузки и входа в сеть.
Наличие нескольких развернутых инструментов сканирования не является решением проблемы. Вам нужно обратить внимание на различные методы защиты. Вместо развертывания ресурсов защиты на уровне рабочей станции вам необходимо проверить, какие средства защиты у вас есть на уровне проверки подлинности. Как отметила Microsoft в недавнем сообщении в блоге, директора по информационной безопасности стремятся сосредоточиться на защите от программ-вымогателей, поскольку они видят в этом явный риск для своих сетей, пишет CSO.
Исходящая фильтрация
Начнем с одной из основ старой сети: фильтрации исходящего трафика. FireEye сообщает, что среднее время пребывания злоумышленника в вашей сети, прежде чем он начнет атаку с помощью программы-вымогателя, составляет чуть более 72 дней. Таким образом, у вас есть два месяца на то, чтобы проанализировать сетевой трафик и найти затаившегося злоумышленника.
Одним из первых инструментов в вашем арсенале является просмотр исходящего трафика с рабочих станций и серверов, находящихся под вашим контролем. Определите, можете ли вы отключить старые протоколы обмена файлами и общего доступа, которые позволяют злоумышленникам свободно перемещаться по вашей сети. Просмотрите трафик, исходящий от чувствительных серверов с информативными базами данных.
Выходная фильтрация не является новой техникой, но ею часто пренебрегают. Для этих чувствительных систем ограничивайте исходящие системы только теми портами и протоколами, которые соответствуют потребностям сети. Настройте наборы правил брандмауэра, чтобы протокол удаленного рабочего стола (RDP) был разрешен только для определенных административных рабочих станций, где это возможно. Атаки программ-вымогателей часто начинаются с открытия удаленного рабочего стола и сбора пароля. Сканируйте свою сеть на наличие удаленных рабочих столов, прежде чем злоумышленники их обнаружат.
Используйте государственные инструменты безопасности
Правительства также наращивают ресурсы, чтобы помочь нам защититься от угроз. Национальный центр кибербезопасности Великобритании (NCSC) выпустил серию скриптов NMAP Scripting Engine, призванных помочь владельцам и администраторам находить системы с уязвимостями. Используйте это вместе со списком известных эксплуатируемых уязвимостей Агентства США по кибербезопасности и безопасности инфраструктуры (CISA), чтобы соответствующим образом настроить вашу защиту. В собственной сети попытки фишинга все еще могут попасть в сеть, несмотря на то, что были включены инструменты для их блокировки. Часто в качестве единственного барьера между сетью и злоумышленниками используется один слегка параноидальный человек, который ничего не нажимает.
Используйте облачные варианты условного доступа
Поскольку все больше рабочих станций перемещаются в домашние или удаленные соединения, ограничение доступа к службам только с помощью IP-адреса может оказаться невозможным. Облачные службы предлагают технологии, обычно называемые условным доступом. В Azure условный доступ может добавлять правила проверки подлинности на основе рисков, которые проверяют имена пользователей и логины для определенного поведения. Если вы знаете, что пользователи в одном отделе никогда не будут входить в службу, используя IP-адреса в какой-либо другой стране, кроме определенной страны, вы можете установить правила условного доступа для соответствующего ограничения.
Вы можете использовать Intune, чтобы настроить эти политики на основе рисков для доступа к сетевым ресурсам. Вы также можете использовать его для управления доступом к локальным приложениям. Например, вы можете использовать правила Intune, чтобы установить условный доступ на основе контроля доступа к сети или риска устройства, для ПК с Windows, включая как корпоративные машины, так и компьютеры с собственными устройствами (BYOD), а также для локального Exchange. Вы можете настроить Intune для использования либо в гибридных сценариях присоединения к Azure Active Directory, либо в облачных развертываниях Azure Active Directory. Вы также можете установить правила, разрешающие доступ для определенных приложений.
В наших сетях больше не только рабочие столы Windows. Теперь мы должны защитить устройства Apple, такие как iPhone и iPad, подключенные к нашим сетям. Microsoft добавляет функции управления устройствами для управления другими операционными системами.
Еще один аргумент в пользу использования правил условного доступа: злоумышленники крадут учетные данные нетрадиционными способами. Один из методов заключается во внедрении вредоносного программного обеспечения в приложения, которые затем внедряются в другие сети, что также известно как атака на цепочку поставок программного обеспечения. Он фокусируется на учетных данных, а не на атаках конкретных устройств.
В Crowdstrike подробно описали последовательность атаки, в которой используется переключение учетных данных для сокрытия бокового перемещения, перехват принципала службы и приложения Office 365, выдача себя за другое лицо и манипулирование, кража файлов cookie браузера для обхода многофакторной аутентификации, использование имплантата TrailBlazer и Linux-варианта вредоносного ПО GoldMax в системах, а также наконец, кража учетных данных с использованием Get-ADReplAccount. Crowdstrike обнаружил, что учетная запись прошла проверку подлинности в учетной записи Microsoft 365 с сервера, а не с ожидаемой рабочей станции.
Чтобы противостоять такого рода атакам на учетные данные, используйте правила условного доступа, чтобы получить предупреждение о необычной активности доступа к вашим облачным ресурсам.
Просмотрите свои варианты и используйте различные методы для защиты пользователей и учетных данных в дополнение к устройствам и рабочим станциям.
Автор: Susan BradleyНажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться