Fernarbeit, nicht Fernsteuerung: Anleitung zur Erkennung

Da immer mehr Mitarbeiter aus der Ferne arbeiten müssen, werden Unternehmen, die nicht bereits vollständig aus der Ferne arbeiten, natürlich eine Verlagerung des internen Netzwerkverkehrs erleben, was sich direkt auf die von der Plattform Vectra AI identifizierten Verhaltensweisen auswirkt.

• Sind Ihre RDP/VDI-Dienste unwissentlich gefährdet?
• Werden Ihre VPN-Anmeldedaten missbraucht?
• Können Sie ungeschützte Geräte identifizieren, die aus der Ferne auf Ihre Systeme zugreifen?

Vectra gibt den Nutzern der Plattform Vectra AI die folgenden Empfehlungen, um die erwartete Zunahme von Verhaltensauffälligkeiten im Zusammenhang mit bestimmten Bedingungen für Fernarbeitnehmer zu erkennen und zu bewältigen.

Zusammenfassung

• Identifizieren Sie den VPN-Pool des Unternehmens über die Seite Gruppen, um Remote-Mitarbeiter schneller zu identifizieren.
• Wenn die Erkennungen von Videokonferenzen zu laut werden, erstellen Sie Triage-Filter auf der Grundlage von Vorlagen, die innerhalb der Plattform für die verwendete Software verfügbar sind.
• Nach einigen grundlegenden Untersuchungen zur Bestätigung der Berechtigung sollten Sie Regeln für Fernzugriffstools aufstellen, wenn diese zu laut werden.
• Verwenden Sie benutzerdefinierte Vorlagen als Leitfaden, erstellen Sie jedoch unternehmensspezifische Regeln.
• Bei intensiver VPN-Nutzung kann es zu einem plötzlichen Anstieg der Entdeckungen von Seitwärtsbewegungen im Zusammenhang mit der Verwaltung kommen. Die Erkenntnisse werden schließlich dieses neue Paradigma mit der richtigen Host-Zuordnung aufgreifen.

Bei der Erstellung eines Triage-Filters in der Vectra AI Plattform wird bei der Konfiguration der Quellbedingungsregel vorgeschlagen, den Quell-IP-Raum außerhalb des Rechenzentrums zu verwenden. Wenn der Analyst nicht in der Lage ist, zwischen dem Quell-IP-Raum des Rechenzentrums und dem des Nicht-Rechenzentrums in der Plattform zu unterscheiden, empfiehlt Vectra die Verwendung von "All Hosts".

Webkonferenzen

Da Telearbeiter weiterhin mit ihren Kollegen, Kunden und Partnern in Verbindung bleiben müssen, ohne persönlich mit ihnen zu kommunizieren, wird erwartet, dass die Nutzung von Webkonferenzen und Instant-Messaging-Software zunehmen wird. Diese Nutzung wird nicht nur die Peer-to-Peer-Videokommunikation umfassen, sondern auch für den Austausch von Informationen durch verschiedene Methoden wie Dateifreigabe, Bildschirmfreigabe und andere verwandte Aktivitäten verwendet werden. Dieses Kommunikations- und Dateifreigabeverhalten wird wahrscheinlich die Anzahl der Verhaltenserkennungen in der Vectra AI Plattform erhöhen. Es wird empfohlen, dass Benutzer die erwarteten Kommunikationsdienste innerhalb ihrer Organisation identifizieren und benutzerdefinierte Filter erstellen, um diese als erwartete Verhaltensweisen zu markieren.

So lässt sich Microsoft Teams beispielsweise leicht anhand des verwendeten IP-Bereichs identifizieren: 52.112.0.0/14 oder an den hauptsächlich verwendeten Protokollen und Ports: UDP 3478 bis 3481. Durch die Nutzung dieser Informationen können Triage-Regeln mit minimalen Auswirkungen auf den normalen Betrieb erstellt werden. Standardmäßig sind die IP-Bereiche mehrerer Videokonferenzanbieter bereits Teil der Gruppenseiten der Plattform (siehe Abbildung 1), die dabei helfen, bekanntes legitimes Verhalten zu identifizieren.

Das erwartete Netzwerkverhalten im Zusammenhang mit der Nutzung von Webkonferenzen wäre das folgende:

Command & Control

Webkonferenzsoftware ist in den meisten Unternehmen eine weit verbreitete Remote-Anwendung, die die Möglichkeit bietet, das System eines anderen Benutzers zu kontrollieren. Aus diesem Grund gibt es bekannte Angriffe, die vorhandene Webkonferenzsoftware für böswillige Zwecke ausnutzen. Zu den üblichen Verhaltenserkennungen im Zusammenhang mit der Verwendung von Webkonferenzsoftware gehören die folgenden:

• Versteckter HTTPS-Tunnel - Es wird vorgeschlagen, eine Regel auf der Grundlage der Ziel-IPs zu schreiben.
• Verdächtiges Relais - Es wird vorgeschlagen, eine Regel auf der Grundlage der Ziel-IPs zu schreiben.

Exfiltration

Da Exfiltrationserkennungen auf Verkehrsmustern und der Datenmenge beruhen, die normalerweise an ein bestimmtes Ziel gesendet wird, kann eine Zunahme der entsprechenden Exfiltrationserkennungen beobachtet werden, wenn Benutzer Dateien austauschen oder Videos senden.

• Daten-Schmuggler - Es wird vorgeschlagen, eine Regel auf der Grundlage der Ziel-IPs und -Ports zu schreiben.
• Versteckter HTTPS-Tunnel - Es wird vorgeschlagen, eine Regel auf der Grundlage der Ziel-IPs zu schreiben.
• Zerschlagen und Ergreifen - Es wird vorgeschlagen, eine Regel auf der Grundlage der Ziel-IPs zu schreiben.

Zusätzlich zur Konfiguration benutzerdefinierter Regeln verfügt die Vectra AI Plattform über vordefinierte Triage-Vorlagen für bekannte Webkonferenzsoftware, die dazu dienen, das durch Webkonferenzaktivitäten erzeugte Rauschen zu reduzieren.

Software für Fernzugriff

Ein weiterer zu erwartender Wachstumsbereich ist die Nutzung von Fernzugriffstools wie TeamViewer für den Zugriff auf interne Ressourcen. Dies gilt insbesondere dann, wenn das Unternehmens-VPN nicht in der Lage ist, den Datenverkehr für das gesamte Unternehmen zu bewältigen, so dass alternative Mittel zur Verwaltung interner Ressourcen erforderlich sind.

Genauso wie ein Administrator eine Fernzugriffssoftware zur Verwaltung eines Servers verwenden würde, möchte ein Angreifer regelmäßig auf diese internen Systeme zugreifen und sie als Teil seines Angriffslebenszyklus verwalten. Da es einen plötzlichen und starken Anstieg legitimer Fernzugriffe gibt, kann dieses Erkennungsmodell einen sofortigen Anstieg von zuvor gesehenen Fernzugriffsverhaltensweisen auslösen. Vectra empfiehlt, diese erwarteten Dienste zu identifizieren und benutzerdefinierte Filter zu erstellen, um sie als zulässig zu markieren.

Fernzugriffs-Tools bieten von Haus aus die Möglichkeit, sowohl die Rechner anderer Benutzer als auch die Server zu kontrollieren, was auch das Ziel eines Angreifers ist. Die gängigsten Tools nutzen die externen Server der Anbieter als Relais (z. B. LogMeIn, TeamViewer) zwischen dem Benutzer, der den Zugriff anfordert, und dem zu verwaltenden System. Dies macht diese Tools leichter identifizierbar, da sie von einem bekannten Adressraum aus agieren. So werden beispielsweise TeamViewer-Server im Beschreibungsfeld für die Erkennung von Fernzugriffsverhalten explizit genannt, was dann für einen Triage-Filter genutzt werden kann, nachdem ein Analyst streng überprüft hat, dass es sich um autorisierten Fernnetzwerkverkehr handelt.

Zusätzlich zu den Fernzugriffs-Tools von Drittanbietern bietet Windows von Haus aus Fernzugriffsfunktionen, die es einem Benutzer ermöglichen, direkt auf interne Geräte zuzugreifen, die normalerweise eingeschränkt sind, aber jetzt einen Fernzugriff erfordern, damit ein Administrator aus der Ferne arbeiten kann. So könnte beispielsweise ein Jump-Server einem privilegierten Benutzer den Zugriff auf bestimmte Systeme über das Microsoft Remote Desktop Protocol ermöglichen. Aufgrund der Vielseitigkeit dieser Tools empfehlen wir, die Regeln so eng wie möglich zu fassen.

Im Zusammenhang mit der Nutzung von Fernzugriffswerkzeugen wird folgendes Netzwerkverhalten erwartet:

Command & Control

• Versteckter HTTPS-Tunnel - Abhängig von der Menge des Rauschens, das durch solche Erkennungen erzeugt wird, ist es ratsam, eine möglichst enge Regel zu schreiben, die auf den Ziel-IPs und der/den Quell-IP(s) basiert.
• Externer Fernzugriff - Je nach der Menge des durch solche Erkennungen erzeugten Rauschens wird empfohlen, eine möglichst enge Regel auf der Grundlage der Ziel-IPs und der Quell-IP(s) zu schreiben.
• Verdächtiges Relay - Diese Erkennung kann ausgelöst werden, wenn ein Benutzer einen Jump Server oder ein Relay für den Remote-Desktop-Zugriff auf einen bestimmten Host verwendet. Vectra empfiehlt dem Analysten, den Quellhost als autorisiert für diese Aktion zu kennzeichnen und die einmalige Markierung als benutzerdefiniert zu verwenden, wobei ein geringes Rauschvolumen angenommen wird. Wenn diese Art von Verhalten in einem System häufig vorkommt, sollten Sie einen benutzerdefinierten Filter basierend auf den Ziel-IPs und -Ports erstellen.

Gemeinsame Nutzung von Dateien

Online-Dienste für die gemeinsame Nutzung von Dateien wie OneDrive und Dropbox sind im Unternehmen und bei Privatanwendern bereits sehr beliebt. Wir gehen jedoch davon aus, dass die Nutzung von Diensten für die gemeinsame Nutzung und Bearbeitung von Dokumenten zunehmen wird. Es ist wichtig zu verstehen, wie diese File-Sharing-Dienste innerhalb des Unternehmens genutzt werden. Analysten können untersuchen, ob die derzeit genutzten und in der Vectra AI Plattform angezeigten File-Sharing-Dienste zugelassen sind, indem sie überprüfen, ob der externe Host den Sicherheitsrichtlinien des Unternehmens entspricht.

Exfiltration

Die Erkennung von Exfiltrationsverhalten hängt mit dem Volumen der gesendeten Daten und dem Zielort zusammen. Wir gehen davon aus, dass es bei beiden Attributen zu einer Abweichung kommt, die während der verlängerten Heimarbeitszeit die folgenden Verhaltensweisen auslösen wird:

• Zerschlagen und Ergreifen - Wenn diese Erkennungen zu laut werden und der externe Host als autorisiert identifiziert wird, empfiehlt es sich, einen Filter für das externe Ziel zu erstellen.
• Daten-Schmuggler - Wenn diese Erkennungen zu laut werden und der externe Host als autorisiert identifiziert wird, empfiehlt es sich, einen Filter für das externe Ziel zu erstellen.

Nutzung unternehmensfremder verwalteter Systeme über VPN-Zugang

Da Benutzer von zu Hause aus arbeiten, neigen sie möglicherweise dazu, ein persönliches System in ihrer privaten Umgebung zu nutzen. Sollte dies der Fall sein und ein neues System über VPN-Zugriff auf interne Ressourcen genutzt werden, identifiziert die Vectra AI Plattform diese Geräte als neue Hosts, was zu einer Reihe von Anomalien bei den Berechtigungen und anderen neuen Verhaltensweisen führen kann, die auf noch nie zuvor gesehenen Zugriffsmustern zwischen System, Benutzer und Dienst basieren. Die Host-Detailseite der Plattform bietet Details zur Identifizierung eines unbekannten Hosts anhand von Namen, Konten sowie Datum und Uhrzeit des letzten Zugriffs. Zusammen mit der Identifizierung des organisatorischen VPN-IP-Pools auf der Seite "Gruppen" helfen diese Informationen einem Analysten, unbekannte Benutzergeräte effizient zu identifizieren.

Seitliche Bewegung

• Da der Host als "neu" betrachtet wird, stellt er ein unbekanntes Gerät innerhalb einer Organisation dar, bei dem es sich um den Computer eines Angreifers handeln könnte. Da die Angreifer versuchen, ihren Angriff durch den Zugriff auf verschiedene interne Ressourcen auszuweiten, können einige autorisierte Verhaltensweisen als Versuche von Querbewegungen erkannt werden.
• Anomalie beim Zugriff mit Privilegien: Ungewöhnlicher Host - Nach der Identifizierung des VPN-IP-Raums und der Untersuchung des Ereignisses empfiehlt Vectra die Verwendung der einmaligen Markierung als benutzerdefinierte Triagefilter.
• Verdächtiger Remote Desktop - Nach der Identifizierung des VPN-IP-Raums und der Untersuchung des Ereignisses empfiehlt Vectra, eine Regel auf der Grundlage von Quellhost und Zieldomäne zu erstellen. Wenn der RDP-Verkehr intern nicht verschlüsselt ist, gibt es mehr Optionen für die Filterung, z. B. den Client-Namen.

Hinweis: Vectra rät Analysten dringend davon ab, benutzerdefinierte Filter ohne vorherige Untersuchung zu schreiben, da die in den oben genannten Erkennungsmodellen beschriebenen Verhaltensweisen in der Natur der Sache liegen. Für Hosts, die von einem Analysten identifiziert und autorisiert wurden, sollten Filter nur für diese speziellen Hosts geschrieben werden.

Bandbreiten-Überwachung

Wir gehen davon aus, dass die VPN-Nutzung stark zunehmen wird, da der Großteil der Benutzer in den Unternehmen aus der Ferne arbeitet, aber dennoch Zugang zu denselben internen Ressourcen benötigt, die sie auch bei der Arbeit im Büro hatten. Dies bedeutet, dass die VPN-Verfügbarkeit für das Funktionieren der Organisation entscheidend sein wird und ein viel größeres Datenvolumen als gewöhnlich bewältigen muss.

Einige Verhaltensweisen von Benutzern, die normalerweise harmlos und unbedenklich sind, wenn sie innerhalb eines Netzwerks ausgeführt werden, wie z. B. das Anhören von Musik-Apps auf einem PC während der Arbeit, können in einem Volltunnel-VPN ein Problem darstellen. Ein Volltunnel-VPN sendet den gesamten Internetverkehr durch das interne Netzwerk des Unternehmens und verbraucht somit große Mengen an Netzwerkbandbreite, was zur Erschöpfung der VPN-Ressourcen führt.

Benutzer von Vectra Recall und Stream können diese Art von normalerweise harmlosem Datenverkehr verfolgen, um Benutzer mit hohem Bandbreitenverbrauch zu identifizieren.

Verwendung von VPN

Wenn das Unternehmens-VPN Network Address Translation (NAT) verwendet, um mehreren gleichzeitigen Benutzern die gleiche IP-Adresse zuzuweisen, empfiehlt Vectra die folgenden Verfahren:

• Fügen Sie die VPN-Pool-IPs der Liste der Proxies unter Verwalten -> Proxies hinzu.
• Fügen Sie die IPs zu einer IP-Gruppe namens VPN Pool hinzu.
• Sehen Sie sich eine Erkennungsansicht für die Erkennungen in der VPN-Gruppe an (anstelle einer hostbasierten Ansicht). Eine manuelle Korrelation ist erforderlich, um festzustellen, welcher Benutzer sich zu diesem Zeitpunkt mit dieser IP-Adresse angemeldet hat.

Wenn die NAT-Funktionalität nicht verfügbar ist und nur einem Benutzer eine IP aus dem VPN-Pool zugewiesen werden kann, empfiehlt Vectra die folgenden Verfahren:

• Fügen Sie die IPs zu einer IP-Gruppe namens VPN Pool hinzu.
• Sehen Sie sich eine Erkennungsansicht für die Erkennungen der VPN-Gruppe an. Es muss eine manuelle Korrelation durchgeführt werden, um festzustellen, welcher Benutzer sich zu diesem Zeitpunkt mit dieser IP-Adresse angemeldet hat.

VPN aufteilen

Bitte beachten Sie, dass Analysten mit einer geringeren Anzahl von Verhaltensentdeckungen rechnen können, wenn die Benutzerbasis des Unternehmens ein geteiltes VPN verwendet. Bei einem geteilten VPN geht ein Teil des Datenverkehrs des Benutzers direkt ins Internet, ohne zuvor die interne Infrastruktur des Unternehmens zu durchqueren.