Combaterea amenințărilor de securitate neevidente ale muncii la distanță - TechRobot

Combaterea amenințărilor de securitate neevidente ale muncii la distanță

În primăvara anului 2020, majoritatea guvernelor și afacerilor din întreaga lume au fost forțate să transfere rapid mulți angajați la munca de la distanță. Din această cauză, problemele de proiectare ale unui nou sistem de securitate informațională au fost amânate. În schimb, organizațiile au adoptat cele mai relevante măsuri de protecție disponibile la acel moment, de exemplu, firewall-uri, VPN-uri și autentificare multi-factor.

Din cauza grabei în construirea muncii la distanță și a bugetelor limitate, multe amenințări urgente de securitate au fost ignorate. În timp, sistemul de protecție a informațiilor și baza sa documentară au fost perfecționate pentru a lua în considerare un număr mai mare de amenințări reale. Totuși, atacatorii continuă să găsească și să utilizeze lacune pentru a provoca daune.

Amenințări la adresa conturilor utilizatorilor

· Interceptarea datelor de autentificare introduse

Una dintre măsurile de protejare a informațiilor atunci când se organizează munca la distanță și angajații folosesc dispozitive personale este virtualizarea locurilor de muncă și mutarea aplicațiilor pe un server terminal, urmată de izolarea completă a mediului.

Într-adevăr, dacă malware este instalat pe computerul unui angajat, acesta nu va afecta mediul de lucru sau aplicațiile de business.

Totuși, chiar dacă se utilizează o autentificare alternativă pentru conexiunea la distanță, dacă te conectezi la un post de lucru virtualizat (VDI) și o aplicație terminal (de exemplu, prin RemoteApp), există o probabilitate mare ca aplicația să solicite autorizare folosind un nume de utilizator și o parolă. În acest caz, malware-ul poate intercepta apăsările de taste, poate identifica combinația corectă de login-parolă și, în final, un atacator va putea obține acces la date confidențiale.

Pentru a atenua această amenințare, se recomandă utilizarea soluțiilor de Single Sign-On (SSO) în combinație cu soluții pentru autentificare alternativă. Soluția SSO ar trebui instalată pe stațiile de lucru din birou la care angajatul se conectează prin VDI sau pe un server terminal. În continuare, pentru a confirma autentificarea în aplicațiile corporative, sistemul va solicita un factor de autentificare alternativ, după care SSO va furniza independent acreditările necesare. Astfel, chiar dacă există un keylogger pe stația de lucru a unui angajat, loginurile și parolele introduse nu pot fi interceptate.

· Clonarea generatorului de parole unice

Este de la sine înțeles că metodele puternice (multi-factor) de autentificare cresc semnificativ rezistența la amenințări atunci când se lucrează de la distanță. Totuși, toate tehnologiile de autentificare au diferențe semnificative atât în ceea ce privește aplicabilitatea, cât și securitatea.

Metodele populare de astăzi de autentificare multi-factor care utilizează coduri unice generate pe dispozitiv sau trimise prin mesagerie au vulnerabilități semnificative. Dacă un atacator obține acces continuu la un smartphone, poate încerca să obțină privilegii ridicate pe un smartphone (jailbreaking pentru dispozitivele iOS, root pentru Android.) Și dacă un atacator reușește, va putea să cloneze cheile generatorului de parole unice și să-l configureze să trimită codurile către propriul său dispozitiv.

Pentru a atenua acest risc, se recomandă renunțarea la parolele de unică folosință și utilizarea autentificării push, care este legată explicit de dispozitiv și nu va funcționa pe dispozitivul atacatorului.

Amenințări la adresa disponibilității resurselor corporative

· Blocare la distanță a conturilor utilizatorilor

Adesea, serviciile web sunt disponibile pe Internet. De exemplu, webmail-ul poate fi folosit pentru a accesa resursele corporative.

Uneori, numele căsuței poștale este același cu numele contului de domeniu. Hackerii pot încerca să ghicească parola prin lansarea unui atac de tip brute-force. Pentru a neutraliza această amenințare, blocarea contului ar trebui activată după mai multe încercări nereușite de introducere a parolei.

Totuși, un atacator poate forța brut parolele pentru a bloca intenționat un cont de domeniu. Un astfel de atac poate paraliza unele procese de afaceri.

Pentru a neutraliza parțial această amenințare, puteți utiliza o soluție specializată pentru autentificarea cu doi factori (2FA), de exemplu, parolele unice. În acest caz, chiar dacă se face o încercare de forțare brută, al doilea autentificator, și nu contul, va fi blocat. Astfel, angajatul va păstra capacitatea de a accesa resursele corporative, deși doar printr-o conexiune alternativă sau când lucrează local.

· Pierderea sau defectarea unui mediu care stochează cheile de securitate

Când își îndeplinesc sarcinile de serviciu, lucrătorii la distanță pot folosi certificate digitale pentru a semna documente, pentru a se conecta la servicii web terțe, sau pentru alte sarcini. În același timp, în cazul pierderii sau defectării dispozitivului (de exemplu, stick-ul USB care stochează cheile), apare problema înlocuirii sale rapide. Adesea, aceasta nu poate fi implementată într-un timp rezonabil, mai ales dacă angajatul este situat departe de birou.

Pentru a neutraliza amenințarea, puteți utiliza soluții specializate care implementează o cartelă inteligentă virtuală ce nu păstrează informațiile cheie pe un dispozitiv detașabil.

În acest caz, stocarea cheii va fi efectuată în următoarele moduri:

1) Pe partea serverului, toate operațiunile cu chei se efectuează pe server.

2) Un modul specializat în interiorul dispozitivului – Trusted Platform Module.

Aceste soluții sunt considerate mai puțin sigure decât mediile de stocare protejate și detașabile, dar aceste soluții sunt cele mai flexibile și potrivite pentru situația de urgență descrisă.

După înlocuirea cheii, cartela virtuală inteligentă poate fi dezactivată. Astfel, chiar dacă purtătorul cheii se pierde sau se strică, nu va exista întrerupere în procesele de afaceri ale companiei.

Amenințările neatribuirii acțiunilor care au condus la incident

· Dispute în cazul unei defecțiuni critice a resurselor

De fiecare dată când utilizatorii privilegiați lucrează cu resurse IT, există întotdeauna un risc de eroare umană. Acțiunile lor în sine pot duce la eșecul unei resurse critice.

Chiar și atunci când se lucrează direct în incinta unei organizații, poate fi dificil să se determine ce s-a întâmplat și cine este responsabil pentru eșec. În cazul accesului la distanță, această situație devine și mai complicată. Investigarea unor astfel de incidente nu numai că afectează negativ mediul de lucru când există încercări de a da vina pe partea nevinovată, dar și pierde mult timp pe acțiuni neproductive.

Utilizarea soluțiilor SIEM probabil că vă va permite să aflați cine s-a conectat la resursă, dar este puțin probabil să determine cu exactitate cine este responsabil în cazul mai multor conexiuni simultane. Și secvența de acțiuni care a condus la defecțiune este de asemenea greu de determinat.

Totuși, atunci când se utilizează soluțiile de Privileged Access Management (PAM), toate conexiunile utilizatorilor privilegiați pot fi înregistrate în diverse formate (video, text, capturi de ecran, apăsări de taste, fișiere transferate, etc.) Mai târziu, folosind aceste înregistrări, puteți determina rapid care secvență de acțiuni a condus la defecțiune și identifica persoana responsabilă pentru incident.

· O încercare de a evita responsabilitatea

Există situații când un insider rău intenționat lucrează într-o companie. Acesta poate să efectueze intenționat unele acțiuni care pot duce la o defecțiune sau întreruperea unei resurse critice. În sine, sarcina de a identifica persoana responsabilă nu este ușoară; totuși, folosind soluții PAM, poți să găsești rapid vinovatul.

Când este prins, angajatul poate spune că parola lui a fost furată. Nu este un secret că autentificarea prin parolă este foarte vulnerabilă la diverse amenințări, iar faptul divulgării este adesea dezvăluit doar după incident.

Evident, în astfel de situații, ofițerii de securitate pot crede că angajatul este nevinovat și că ceea ce s-a întâmplat este doar o coincidență nefericită.

Pentru a neutraliza această amenințare, se recomandă utilizarea 2FA în combinație cu soluția PAM. Dacă angajatul este într-adevăr un insider rău intenționat, îi va fi dificil să evite responsabilitatea. Dacă totuși, un angajat susține că nu numai parola lui, dar și telefonul i-au fost furate, pe care este instalat un generator de parole unice, i se va pune o întrebare logică: “De ce nu ai notificat imediat serviciul de securitate despre acest lucru?”

Concluzie

Având în vedere amenințările suplimentare care apar atunci când se lucrează de la distanță, este necesar să ținem minte că amenințările la adresa securității informațiilor evoluează odată cu dezvoltarea tehnologiilor IT. Atacatorii se adaptează și sunt mereu în căutarea unor noi modalități de a face mai mulți bani. Până când sistemele de apărare sunt complet reconstruite pentru noile realități, infractorii cibernetici pot profita de slăbiciunile tale vechi și noi în scopurile lor.

Astăzi, formatul de muncă la distanță a intrat ferm în viața noastră și este chiar reglementat la nivel de stat în unele țări. Prin urmare, specialiștii în securitatea informațiilor trebuie să analizeze cu grijă și fără grabă în ce măsură sistemele de protecție existente sunt pregătite să facă față provocărilor cibernetice moderne. Am fost chiar nevoiți să începem să ne uităm la lucruri la care niciodată nu credeam că va trebui să luăm în considerare, cum ar fi riscurile de securitate ale ieșitului la restaurant.