Um die Ausbreitung von COVID-19 einzudämmen, werden die Mitarbeiter gebeten, nach Möglichkeit an entfernten Standorten zu arbeiten. Diese plötzliche und unmittelbare Verlagerung von Mitarbeitern, die normalerweise in einem Büro arbeiten, an einen entfernten Standort führt natürlich zu einer Verschiebung des internen Netzwerkverkehrs. Das Ergebnis wird eine Veränderung der internen Netzwerkverkehrsmuster sein, in denen Angreifer ihre eigene Kommunikation verstecken könnten.
Zum Beispiel hatte Microsoft Teams letzte Woche am 11. März 32 Millionen täglich aktive Nutzer, aber diese Zahl stieg bis zum 18. März um 12 Millionen auf 44 Millionen täglich aktive Nutzer.
Die folgenden Bereiche erfordern besondere Aufmerksamkeit und Verständnis seitens der Sicherheitsanalytiker, die sich tagtäglich mit den Auswirkungen ihrer sich schnell verändernden Umgebung befassen.
Webkonferenzen
Da Fernarbeitskräfte weiterhin mit ihren Kollegen, Kunden und Partnern in Verbindung bleiben müssen, ohne persönlich mit ihnen zu kommunizieren, wird erwartet, dass die Nutzung von Webkonferenzen und Instant-Messaging-Software zunehmen wird. Vectra zum Beispiel hat sich für mehr 1-on-1-Videoanrufe eingesetzt, um unser Gemeinschaftsgefühl zu erhalten. Diese Nutzung wird nicht nur die Peer-to-Peer-Videokommunikation umfassen, sondern auch für den Austausch von Informationen durch verschiedene Methoden wie Dateifreigabe, Bildschirmfreigabe und andere verwandte Aktivitäten genutzt werden. Die stärkere Nutzung dieser Funktionen wird die Anzahl der Verbindungen erhöhen, die von den Sicherheitsdiensten überwacht und analysiert werden müssen. Die Analysten müssen die erwarteten Kommunikationsdienste innerhalb ihrer Organisation identifizieren und diese als erwartete Verhaltensweisen kennzeichnen.
So lässt sich Microsoft Teams beispielsweise leicht anhand des verwendeten IP-Bereichs identifizieren: 52.112.0.0/14 oder an den hauptsächlich verwendeten Protokollen und Ports: UDP 3478 bis 3481 und TCP 80 und 443. Durch die Nutzung dieser Informationen kann die Überwachung mit minimalen Auswirkungen auf den normalen Betrieb angepasst werden.
Befehl und Kontrolle
Webkonferenzsoftware ist in den meisten Unternehmen eine weit verbreitete Anwendung, die die Möglichkeit bietet, das System eines anderen Benutzers zu kontrollieren. Aus diesem Grund gibt es bekannte Angriffe, die vorhandene Webkonferenzsoftware für böswillige Zwecke ausnutzen. Die zunehmende Nutzung dieser Anwendungen kann diese echten Angriffe verschleiern. Was normalerweise nur gelegentlich vorkommt, ist jetzt häufig. Es wird eine mühsame Aufgabe sein, alle legitimen von den nicht legitimen Anwendungen zu unterscheiden. Eine strenge Richtlinie, die festlegt, welche Anwendungen zugelassen sind und welche Funktionen genutzt werden können, wird dem Sicherheitsteam sehr helfen.
Exfiltration
Bei der Exfiltration von Daten handelt es sich einfach um die Übertragung von Daten aus einer Organisation an ein externes Ziel. Dies ist auch das gleiche Verkehrsmuster von Web-Kommunikationssoftware, wenn Benutzer Dateien austauschen und Videos senden. Mehr Daten, die das Netzwerk verlassen, bedeuten, dass herkömmliche, auf Schwellenwerten basierende Warnmeldungen weniger nützlich werden. Sicherheitsprozesse müssen sich darauf einstellen, die Daten zu finden, die sich durch ihr Netzwerk bewegen und autorisiert sind, um die Bewegung von Daten zu verstehen, die nicht autorisiert sind.
Software für den Fernzugriff
Ein weiterer zu erwartender Wachstumsbereich ist die Nutzung von Fernzugriffstools wie TeamViewer für den Zugriff auf interne Ressourcen. Dies gilt vor allem dann, wenn das Unternehmens-VPN den Datenverkehr für das gesamte Unternehmen abwickelt und somit eine Alternative zur Verwaltung interner Ressourcen bietet.
Genauso wie ein Administrator Fernzugriffssoftware zur Verwaltung eines Servers verwendet, möchte ein Angreifer regelmäßig auf diese internen Systeme zugreifen und sie als Teil seines Angriffszyklus verwalten. Fernzugriffstools bieten die Möglichkeit, sowohl die Rechner anderer Benutzer als auch die Server zu kontrollieren, was auch das Ziel eines Angreifers ist. Die gängigsten Tools nutzen die externen Server der Hersteller als Relais (LogMeIn, TeamViewer) zwischen dem Benutzer, der den Zugriff anfordert, und dem zu verwaltenden System. Dadurch sind diese Tools leichter identifizierbar, da sie von einem bekannten Adressraum aus agieren, was jedoch die Identifizierung der Quelle der Aktivitäten erschwert. Das Verständnis dieser Kompromisse und die Entwicklung einer strengen Richtlinie für autorisierte Fernzugriffssoftware können Sicherheitsanalysten helfen, indem sie weniger Rauschen von ihren Überwachungstools erzeugen.
Zusätzlich zu den Fernzugriffstools von Drittanbietern bietet Windows von Haus aus eine Fernzugriffsfunktion, die es einem Benutzer ermöglicht, direkt auf interne Geräte zuzugreifen, die normalerweise eingeschränkt sind, aber jetzt einen Fernzugriff erfordern, damit ein Administrator aus der Ferne arbeiten kann. So könnte beispielsweise ein Jump-Server einem privilegierten Benutzer den Zugriff auf bestimmte Systeme über das Microsoft Remote Desktop Protocol ermöglichen. Aufgrund der Vielseitigkeit dieser Tools wird empfohlen, die Überwachung so spezifisch wie möglich zu gestalten.
Befehl und Kontrolle
Die zunehmende Verbreitung kommerzieller Fernzugriffssoftware stellt eine Herausforderung für Sicherheitsteams dar. Ähnlich wie bei Webkonferenzen gilt es, gängige Verhaltensweisen im Zusammenhang mit Fernzugriffssoftware oder das Senden von Daten über verschlüsselte Kanäle und den externen Fernzugriff in böswilliger Absicht einzuschränken.
Sicherheitsprozesse können auch verdächtige Relay-Verhaltensweisen erkennen, die auftreten, wenn ein Benutzer einen Jump Server oder ein Relay für den Remote-Desktop-Zugriff auf einen bestimmten Host verwendet. Ein Analytiker sollte den Quell-Host, der für diese Aktion autorisiert ist, verfolgen und überwachen.
Gemeinsame Nutzung von Dateien
Online-Dateifreigabedienste wie OneDrive und Dropbox sind in Unternehmen und bei Privatanwendern bereits sehr beliebt. Wir erwarten jedoch, dass die Nutzung und der Einsatz von Dateifreigabediensten als primäres Mittel zur gemeinsamen Nutzung und Bearbeitung von Dokumenten zunehmen werden. Es ist wichtig zu verstehen, wie diese File-Sharing-Dienste innerhalb des Unternehmens genutzt werden. Die Erstellung von Richtlinien für autorisierte Dienste kann Analysten helfen, ihre Untersuchungen zu priorisieren.
Nutzung eines nicht vom Unternehmen verwalteten Systems über VPN-Zugang
Da die Benutzer von zu Hause aus arbeiten, sind die Unternehmen möglicherweise geneigt, persönliche Systeme in der häuslichen Umgebung ihrer Mitarbeiter einzusetzen. Diese neuen Systeme ermöglichen zwar den raschen Übergang zur Fernarbeit, stellen die Sicherheitsteams jedoch vor eigene Probleme. Diese neuen Geräte können zu einer Vielzahl von Privilegienanomalien und anderen Verhaltensabweichungen führen, und es gibt weniger Möglichkeiten, sie zu untersuchen. Es ist von entscheidender Bedeutung, über Details zu verfügen, um die unbekannten Hosts anhand von Namen, Konten und Aktivitätszeiten zu identifizieren und zu korrelieren. Diese Informationen sowie die Identifizierung des organisatorischen VPN-IP-Pools helfen dem Analysten, unbekannte Benutzergeräte effizient zu identifizieren.
VPN aufteilen
Viele Unternehmen verwenden ein Split-Tunnel-VPN. Diese Art von VPN ermöglicht es Unternehmen, den Datenverkehr auf das Unternehmensnetz zu leiten, während anderer Datenverkehr ins Internet geleitet wird, ohne das Unternehmensnetz zu berühren. Dies hat eine Reihe von Sicherheitsauswirkungen, wird aber in der Regel gemacht, um Bandbreite zu sparen. Bei Unternehmen, die ein geteiltes VPN verwenden, können Analysten davon ausgehen, dass sie weniger Einblick in den Internetverkehr eines Benutzers haben, auch nicht in den von Angreifern und Command and Control.
Bandbreitenüberwachung
Wir gehen davon aus, dass die VPN-Nutzung stark zunehmen wird, da der Großteil der Benutzer in den Unternehmen aus der Ferne arbeitet, aber dennoch Zugang zu denselben internen Ressourcen benötigt, die sie auch bei der Arbeit im Büro hatten. Dies bedeutet, dass die VPN-Verfügbarkeit für das Funktionieren der Organisation entscheidend sein wird und ein viel größeres Datenvolumen als gewöhnlich bewältigen muss.
Einige Verhaltensweisen von Benutzern, die normalerweise harmlos und unbedenklich sind, wenn sie innerhalb eines Netzwerks ausgeführt werden, wie z. B. das Anhören von Musikanwendungen auf einem PC während der Arbeit, können in einem Volltunnel-VPN ein Problem darstellen. Ein Volltunnel-VPN sendet den gesamten Internetverkehr durch das interne Netzwerk des Unternehmens und verbraucht somit große Mengen an Netzwerkbandbreite, was zur Erschöpfung der VPN-Ressourcen führt.
Wenn die Benutzerbasis des Unternehmens ein geteiltes VPN verwendet, können Analysten mit einer geringeren Sichtbarkeit des Nord-Süd-Verkehrs rechnen. Bei einem geteilten VPN geht ein Teil des Datenverkehrs der Benutzer direkt ins Internet, ohne zuvor die interne Infrastruktur des Unternehmens zu durchqueren.