Trabajo a distancia, no control remoto: Guía de detección

Como cada vez se pide a más empleados que trabajen de forma remota, las organizaciones que aún no son totalmente remotas experimentarán naturalmente un cambio en el tráfico de la red interna, lo que afecta directamente a las detecciones de comportamiento identificadas por la plataforma Vectra AI .

• ¿Están sus servicios RDP / VDI expuestos sin saberlo?
• ¿Están abusando de sus credenciales VPN?
• ¿Puede identificar los dispositivos desprotegidos que acceden remotamente a sus sistemas?

Vectra hace las siguientes recomendaciones para que los usuarios de la plataforma Vectra AI identifiquen y gestionen el aumento previsto de las detecciones de comportamientos relacionados con determinadas condiciones de los trabajadores remotos.

Resumen

• Identifique el grupo VPN de la organización utilizando la página Grupos para identificar más rápidamente a los trabajadores remotos.
• Si las detecciones de la videoconferencia se vuelven demasiado ruidosas, cree filtros de triaje basados en las plantillas disponibles en la plataforma para el software en uso.
• Después de una investigación básica para confirmar la autorización, escriba reglas para las herramientas de acceso remoto si se vuelven demasiado ruidosas.
• Utilice las plantillas personalizadas como guía, pero cree reglas específicas para la organización.
• El uso intensivo de VPN puede causar un repunte repentino de las detecciones de movimiento lateral relacionadas con la administración. Los aprendizajes acabarán recogiendo este nuevo paradigma con la atribución adecuada del host.

Al crear un filtro de triaje en la plataforma Vectra AI , la configuración de las sugerencias de reglas de condiciones de origen es utilizar el espacio IP de origen que no sea del centro de datos. Si el analista no puede diferenciar entre el espacio IP de origen del centro de datos y el espacio IP de origen ajeno al centro de datos en la plataforma, Vectra recomienda utilizar Todos los hosts.

Conferencias web

Dado que los trabajadores remotos necesitan seguir conectados con sus compañeros, clientes y socios sin necesidad de comunicarse en persona, se espera que crezca el uso de software de conferencias web y mensajería instantánea. Este uso abarcará no sólo la comunicación por vídeo entre iguales, sino que también se utilizará para compartir información a través de múltiples métodos, como compartir archivos, compartir pantallas y otras actividades relacionadas. Estas conductas de comunicación e intercambio de archivos probablemente aumentarán el número de detecciones de conductas en la Plataforma Vectra AI . Se recomienda que los usuarios identifiquen los servicios de comunicación esperados dentro de su organización y creen filtros personalizados para marcarlos como comportamientos esperados.

Por ejemplo, Microsoft Teams puede identificarse fácilmente por el rango IP en uso: 52.112.0.0/14 o por los protocolos y puertos utilizados principalmente: UDP 3478 a 3481. Aprovechando esta información, se pueden escribir reglas de triaje con un impacto mínimo en las operaciones normales. Por defecto, varios rangos de IP de proveedores de videoconferencia ya forman parte de las páginas de Grupos de la plataforma, como se muestra en la Figura 1, que ayudan a identificar comportamientos legítimos conocidos.

Los comportamientos de red esperados en relación con el uso de herramientas de conferencia web serían los siguientes:

Command & Control

El software de conferencia web es una aplicación remota de uso común en la mayoría de las organizaciones y tiene la capacidad de controlar el sistema de otro usuario. Por esta razón, existen ataques conocidos que aprovechan el software de conferencia web existente con fines maliciosos. Entre las detecciones de comportamiento comunes relacionadas con el uso de software de conferencias web se incluyen las siguientes:

• Túnel HTTPS oculto - Se sugiere escribir una regla basada en las IPs de destino.
• Relé sospechoso - Se sugiere escribir una regla basada en las IP de destino.

Exfiltración

Dado que las detecciones de filtraciones se basan en patrones de tráfico y en la cantidad de datos que suelen enviarse a un destino específico, puede observarse un aumento de las detecciones de filtraciones relacionadas a medida que los usuarios comparten archivos o envían vídeos.

• Contrabandista de datos - Se sugiere escribir una regla basada en las IPs y puertos de destino.
• Túnel HTTPS oculto - Se sugiere escribir una regla basada en las IPs de destino.
• Aplastar - Se sugiere escribir una regla basada en las IP de destino.

Además de configurar reglas personalizadas, la plataforma Vectra AI cuenta con plantillas de triaje predefinidas para software de conferencias web conocido, diseñadas para reducir el ruido generado por las actividades de conferencias web.

Software de acceso remoto

Otra área de crecimiento prevista será el uso de herramientas de acceso remoto como TeamViewer para acceder a recursos internos. Esto será especialmente cierto si la VPN corporativa no es capaz de gestionar el tráfico de toda la empresa, necesitando medios alternativos para gestionar los recursos internos.

Del mismo modo que un administrador utilizaría software de acceso remoto para gestionar un servidor, un atacante desea acceder y gestionar regularmente estos sistemas internos como parte de su ciclo de vida de ataque. Dado que se produce un aumento repentino y brusco del acceso remoto legítimo, este modelo de detección puede desencadenar un aumento inmediato de los comportamientos de acceso remoto vistos anteriormente. Vectra recomienda identificar estos servicios esperados y crear filtros personalizados para marcarlos como aprobados.

Por su diseño, las herramientas de acceso remoto ofrecen la posibilidad de controlar tanto las máquinas de otros usuarios como los servidores, que es también el objetivo de un atacante. Las herramientas más populares aprovechan los servidores externos de los proveedores como repetidores (por ejemplo, LogMeIn, TeamViewer) entre el usuario que solicita el acceso y el sistema que se va a gestionar. Esto hace que estas herramientas sean más fácilmente identificables, ya que se producen desde un espacio de direcciones conocido. Por ejemplo, los servidores de TeamViewer se nombran explícitamente en el campo de descripción de detección de comportamiento de acceso remoto, que luego puede aprovecharse para un filtro de triaje tras la estricta validación por parte de un analista de que se trata de tráfico de red remoto autorizado.

Además de las herramientas de acceso remoto de terceros, Windows proporciona de forma nativa una funcionalidad de acceso remoto que permite a un usuario acceder directamente a dispositivos internos que normalmente estarían restringidos pero que ahora requieren acceso remoto para que un administrador pueda funcionar a distancia. Por ejemplo, un servidor de salto podría permitir el Protocolo de Escritorio Remoto de Microsoft para acceder a sistemas específicos a un usuario con privilegios. Debido a la versatilidad de estas herramientas, recomendamos que la creación de reglas sea lo más limitada posible.

Los comportamientos de red esperados relacionados con el uso de herramientas de acceso remoto serían los siguientes:

Command & Control

• Túnel HTTPS oculto - Dependiendo de la cantidad de ruido generado por tales detecciones, se sugiere escribir una regla lo más estrecha posible, basada en las IPs de destino y la(s) IP(s) de origen.
• Acceso remoto externo - Dependiendo de la cantidad de ruido generado por tales detecciones, se sugiere escribir una regla lo más estrecha posible, basada en las IPs de destino y la(s) IP(s) de origen.
• Relé sospechoso - Esta detección puede activarse cuando un usuario utiliza un servidor de salto o un relé para acceder a un escritorio remoto en un host específico. Vectra recomienda que un analista etiquete el host de origen como autorizado para esta acción y utilice una marca única como personalizada, asumiendo un bajo volumen de ruido. Si este tipo de comportamientos son frecuentes en un sistema, considere la posibilidad de escribir un filtro personalizado basado en las IP y los puertos de destino.

Compartir archivos

Aunque los servicios de compartición de archivos en línea como OneDrive y Dropbox ya son populares en las empresas y entre los consumidores, esperamos que aumente el uso y el aprovechamiento de los servicios de compartición de archivos como medio principal para compartir y editar documentos. Es fundamental comprender cómo se utilizarán estos servicios de intercambio de archivos dentro de la organización. Los analistas pueden investigar si los servicios de compartición de archivos actualmente en uso y vistos en la Plataforma Vectra AI están aprobados validando si el host externo cumple con la política de seguridad de la empresa.

Exfiltración

Las detecciones de comportamientos de exfiltración están relacionadas con el volumen de datos enviados y el destino. Esperamos ver una desviación en ambos atributos, lo que desencadenará los siguientes comportamientos durante el periodo de tiempo prolongado de trabajo en casa:

• Romper y agarrar - Si estas detecciones se vuelven demasiado ruidosas, y el host externo se identifica como autorizado, se sugiere crear un filtro para el destino externo.
• Contrabandista de datos - Si estas detecciones se vuelven demasiado ruidosas, y el host externo se identifica como autorizado, se sugiere crear un filtro para el destino externo.

Uso de sistemas no gestionados por la empresa mediante acceso VPN

Como los usuarios trabajan desde casa, pueden inclinarse por aprovechar un sistema personal en su entorno doméstico. En el caso de que esto ocurra y se utilice un nuevo sistema a través del acceso VPN a los recursos internos, la plataforma Vectra AI identificará estos dispositivos como nuevos hosts, lo que puede dar lugar a una variedad de anomalías de privilegios y otras detecciones de nuevos comportamientos basados en patrones de acceso nunca antes vistos de sistema a usuario a servicio. La página de detalles del host de la plataforma proporciona detalles para identificar un host desconocido por nombre, cuentas y fecha y hora de la última vez que se vio. Esta información, junto con la identificación del grupo de IP VPN de la organización en la página de grupos, ayudará a un analista a identificar dispositivos de usuario desconocidos de forma eficiente.

Movimiento lateral

• Como el host se considerará "nuevo", representa un dispositivo desconocido dentro de una organización, que podría ser el ordenador de un atacante. Como los atacantes pretenden ampliar su ataque accediendo a diversos recursos internos, algunos comportamientos autorizados pueden detectarse como intentos de movimiento lateral.
• Anomalía de Acceso Privilegiado: Host Inusual - Tras la identificación del espacio IP de la VPN y la investigación del evento, Vectra recomienda utilizar los filtros de triaje personalizados Mark as Custom.
• Escritorio remoto sospechoso - Tras la identificación del espacio IP VPN y la investigación del evento, Vectra recomienda escribir una regla basada en el host de origen y el dominio de destino. Si el tráfico RDP no está cifrado internamente, habrá más opciones de filtrado, como el nombre del cliente.

Nota: Vectra recomienda encarecidamente a los analistas que no escriban filtros personalizados sin una investigación inicial debido a la naturaleza de los comportamientos expresados en los modelos de detección anteriores. Para los hosts identificados y autorizados por un analista, los filtros deben escribirse sólo para esos hosts específicos.

Vigilancia del ancho de banda

Esperamos ver un gran aumento en el uso de VPN a medida que la mayoría de los usuarios de la organización trabajen de forma remota pero sigan necesitando acceso a los mismos recursos internos que tenían cuando trabajaban en la oficina. Esto significa que la disponibilidad de la VPN será fundamental para el funcionamiento de la organización y que deberá gestionar un volumen de tráfico mucho mayor que el habitual.

Algunos comportamientos de los usuarios que normalmente serían inocentes y benignos cuando se realizan dentro de una red, como escuchar aplicaciones de música en un PC mientras se trabaja, podrían ser un problema en una VPN de túnel completo. Una VPN de túnel completo envía todo el tráfico de Internet a través de la red interna de la organización, consumiendo así grandes volúmenes de ancho de banda de red, lo que provoca el agotamiento de los recursos de la VPN.

Los usuarios de Vectra Recall y Stream pueden rastrear este tipo de tráfico normalmente benigno para identificar a los usuarios con grandes volúmenes de consumo de ancho de banda.

Uso de VPN

Si la VPN corporativa utiliza la traducción de direcciones de red (NAT) para asignar la misma IP a varios usuarios simultáneos, Vectra recomienda los siguientes procedimientos:

• Añada las IP del grupo VPN a la lista de proxies en Gestionar -> Proxies.
• Añade las IPs a un grupo de IPs llamado VPN Pool.
• Mire una vista de detección para las detecciones en el grupo VPN (en lugar de una vista basada en host). Será necesaria una correlación manual para saber qué usuario inició sesión utilizando esa dirección IP en ese momento.

Si la funcionalidad NAT no está disponible y sólo se puede asignar una IP del grupo VPN a un usuario, Vectra recomienda los siguientes procedimientos:

• Añade las IPs a un grupo de IPs llamado VPN Pool.
• Busque en la vista de detección las detecciones en el grupo VPN. Habrá que realizar una correlación manual para saber qué usuario inició sesión utilizando esa dirección IP en ese momento.

VPN dividida

Tenga en cuenta que si la base de usuarios de la organización utiliza una VPN dividida, los analistas pueden esperar un número reducido de detecciones de comportamiento. Con una VPN dividida, parte del tráfico del usuario saldrá directamente a Internet sin atravesar primero la infraestructura interna de la organización.