Um die Verbreitung von COVID-19 einzudämmen, müssen derzeit viele Arbeitnehmer, wenn möglich, im Home-Office arbeiten. Diese plötzliche Verlagerung von Mitarbeitern vom Büro im Unternehmen an einen entfernten Standort führt zu einer Verlagerung der internen Bewegung des Netzwerkverkehrs.

Das Ergebnis wird eine Veränderung der internen Netzwerkverkehrsmuster sein, in denen Angreifer ihre eigene Kommunikation verstecken könnten. Zum Beispiel verzeichneten die Microsoft-Teams am 11. März insgesamt 32 Millionen täglich aktive Benutzer. Allein bis zum 18. März stieg diese Zahl um 12 Millionen auf 44 Millionen täglich aktive Benutzer an. Worauf müssen Security-Verantwortliche nun achten?

Vectra AI analysiert und schützt seit Jahren mit einer AI-basierten Security-Plattform die Netzwerke von Unternehmen weltweit. Andreas Müller, Director der DACH-Region bei Vectra , erläutert, welche 8 Aspekte gegenwärtig vor allem berücksichtigt werden müssen:

1. Web-Konferenzen

Remote-Mitarbeiter müssen weiterhin mit ihren Kollegen, Kunden und Partnern verbunden sein, aber ohne persönliche Kommunikation. Daher ist zu erwarten, dass der Einsatz von Webkonferenz- und Instant-Messaging-Software zunehmen wird. Diese Nutzung wird nicht nur die Peer-to-Peer-Videokommunikation umfassen, sondern auch für die gemeinsame Nutzung von Informationen durch verschiedene Methoden wie Datei- und Bildschirmfreigabe und andere verwandte Aktivitäten. Eine intensivere Nutzung dieser Funktionen wird die Anzahl der Verbindungen erhöhen, die sicherheitstechnisch überwacht und analysiert werden müssen. Analysten müssen die erwarteten Kommunikationsdienste innerhalb ihres Unternehmens identifizieren und diese als erwartete Verhaltensweisen kennzeichnen.

Beispielsweise können Microsoft-Nutzerteams entweder anhand des verwendeten IP-Bereichs 52.112.0.0.0/14 oder nach dem primär verwendeten Protokoll und den Ports UDP 3478 bis 3481 und TCP 80 und 443 leicht identifiziert werden. Durch die Nutzung dieser Informationen kann die Überwachung mit minimalen Auswirkungen auf den normalen Betrieb angepasst werden.

Webkonferenz-Software ist eine in den meisten Unternehmen häufig genutzte Anwendung, die die Fähigkeit besitzt, das System eines anderen Benutzers zu steuern. Aus diesem Grund gibt es bekannte Angriffe, die vorhandene Webkonferenz-Software für böswillige Zwecke ausnutzen. Der vermehrte Einsatz solcher Anwendungen kann diese Angriffe verschleiern. Was normalerweise nur gelegentlich vorkommt, ist nun häufig der Fall. Es wird eine mühsame Aufgabe sein, alle legitimen Aktivitäten von Angriffen zu unterscheiden. Eine strenge Richtlinie darüber, welche Anwendungen autorisiert sind und welche Funktionen verwendet werden können, wird dem Sicherheitsteam sehr helfen.

2. Exfiltration

Unter Exfiltration von Daten versteht man Daten, die sich von innerhalb eines Unternehmens zu einem externen Ziel bewegen. Das ist jedoch auch das gleiche Verkehrsmuster von Web-Kommunikationssoftware, wenn Benutzer Dateien austauschen und Videos senden. Mehr Daten, die das Netzwerk verlassen, bedeuten, dass herkömmliche schwellenwertbasierte Warnmeldungen weniger nützlich sein werden. Sicherheitsoperationen müssen sich darauf einstellen, die Daten zu finden, die sich durch ihr Netzwerk bewegen und die autorisiert sind, um die Bewegung von nicht autorisierten Daten zu verstehen.

3. Software für Fernzugriff

Ein weiterer erwarteter Wachstumsbereich wird der Einsatz von Fernzugriffstools wie TeamViewer für den Zugriff auf interne Ressourcen sein. Dies wird insbesondere dann der Fall sein, wenn das Firmen-VPN als alternatives Mittel zur Verwaltung interner Ressourcen den Datenverkehr für das gesamte Unternehmen abwickeln soll.

Genauso wie ein Administrator eine Fernzugriffssoftware zur Verwaltung eines Servers verwenden würde, möchte ein Angreifer im Rahmen seines Angriffslebenszyklus regelmäßig auf diese internen Systeme zugreifen und sie verwalten. Von der Konzeption her bieten Fernzugriffstools die Möglichkeit, sowohl die Rechner als auch die Server anderer Benutzer zu kontrollieren, was ebenfalls das Ziel eines Angreifers ist. Die beliebteren Tools nutzen die externen Server des Anbieters als Relais (LogMeIn, TeamViewer) zwischen dem Benutzer, der Zugriff beantragt, und dem zu verwaltenden System. Dadurch werden diese Tools leichter identifizierbar, da sie aus einem bekannten Adressraum heraus auftreten, erschweren aber die Identifizierung der Quelle der Aktivität. Das Verständnis dieser Kompromittierungen und der Aufbau einer starken Richtlinie für autorisierte Fernzugriffssoftware kann Sicherheitsanalysten helfen, indem sie weniger Rauschen durch ihre Überwachungstools erzeugen.

Zusätzlich zu den Fernzugriffstools von Drittanbietern bietet Windows von Haus aus eine Fernzugriffsfunktionalität, die es einem Benutzer ermöglicht, direkt auf interne Geräte zuzugreifen, die normalerweise eingeschränkt wären, jetzt aber einen Fernzugriff erfordern, damit ein Administrator aus der Ferne arbeiten kann. Beispielsweise könnte ein Jump-Server dem Microsoft Remote Desktop Protocol (RDP) den Zugriff auf bestimmte Systeme für einen privilegierten Benutzer ermöglichen. Aufgrund der Vielseitigkeit dieser Tools empfiehlt Vectra, die Überwachung so spezifisch wie möglich zu gestalten.

4. Command & Control

Die zunehmende Verbreitung kommerzieller Fernzugriffssoftware stellt eine Herausforderung für Sicherheitsteams dar. Wie bei Webkonferenzen ist es eine Herausforderung, das übliche Verhalten im Zusammenhang mit Fernzugriffssoftware oder das Senden von Daten über verschlüsselte Kanäle und externen Fernzugriff bei böswilligen Absichten einzuschränken.

Bei Sicherheitsoperationen ist auch mit verdächtigem Relay-Verhalten zu rechnen, das auftritt, wenn ein Benutzer einen Jump-Server oder ein Relay für den Remote-Desktop-Zugriff auf einem bestimmten Host verwendet. Ein Sicherheitsanalyst sollte den Quell-Host als für diese Aktion autorisiert verfolgen und überwachen.

5. Filesharing

Online-Dateitauschdienste wie OneDrive und Dropbox sind in Unternehmen und bei Privatanwendern ohnehin bereits beliebt. Vectra erwartet eine zunehmende Nutzung von Dateitauschdiensten als primäres Mittel zur gemeinsamen Nutzung und Bearbeitung von Dokumenten. Es ist von entscheidender Bedeutung zu verstehen, wie diese File-Sharing-Dienste innerhalb des Unternehmens genutzt werden. Die Erstellung von Richtlinien für autorisierte Dienste kann Analysten bei der Priorisierung ihrer Untersuchungen helfen.

6. Nutzung eines externen Systems durch VPN-Zugriff

Da die Benutzer von zu Hause aus arbeiten, könnten Unternehmen geneigt sein, die vorhandenen Systeme in der Heimumgebung ihrer Mitarbeiter einzusetzen. Diese neuen Systeme ermöglichen zwar den raschen Übergang zur Fernarbeit, stellen die Sicherheitsteams jedoch vor eigene Probleme. Die Geräte können zu einer Vielzahl von Anomalien bei den Privilegien und anderen Verhaltensabweichungen führen und es gibt weniger Möglichkeiten zur Untersuchung. Es wird entscheidend sein, über Details zu verfügen, um die unbekannten Hosts nach Namen, Konten und Aktivitätszeit zu identifizieren und zu korrelieren. Diese Informationen, zusammen mit der Identifizierung des VPN-IP-Pools des Unternehmens, helfen Analysten, unbekannte Benutzergeräte effizient zu identifizieren.

7. VPN aufteilen

Viele Unternehmen verwenden ein VPN mit geteiltem Tunnel. Diese Art von VPN ermöglicht es, den Geschäftsverkehr in das Unternehmensnetzwerk zu leiten, während der übrige Verkehr ins Internet gelangt, ohne das Unternehmensnetzwerk zu berühren. Dies hat eine Reihe von Sicherheitsimplikationen, wird aber in der Regel aus Gründen der Bandbreiteneinsparung durchgeführt. Bei Unternehmen, die ein geteiltes VPN verwenden, ist nur ein reduzierter Einblick in den Internetverkehr eines Benutzers möglich, einschließlich des Datenverkehrs von Angreifern und der Command-and-Control-Strukturen.

8. Bandbreitenüberwachung

Die IT-Sicherheitsanalysten von Vectra gehen davon aus, dass die Nutzung von VPNs stark zunehmen wird, da der Großteil der Benutzer eines Unternehmens zwar aus der Ferne arbeitet, aber immer noch Zugang zu denselben internen Ressourcen benötigt, wie bei der Arbeit im Büro. Das bedeutet, dass die VPN-Verfügbarkeit für das Funktionieren der Unternehmen von entscheidender Bedeutung sein wird und dass sie ein viel größeres Datenvolumen bewältigen muss, als dies normalerweise der Fall ist. Einige Verhaltensweisen wären normalerweise unkritisch und gutartig, wenn sie innerhalb eines Netzwerks ausgeführt würden, wie das Hören von Musikanwendungen auf einem PC während der Arbeit.

Bei einem VPN mit einem nichtgeteilten Tunnel könnte dies jedoch ein Problem darstellen. Ein solches VPN sendet den gesamten Internetverkehr durch das interne Netzwerk des Unternehmens und verbraucht dadurch große Mengen an Netzwerkbandbreite, was zur Erschöpfung der VPN-Ressourcen führt. Wenn die Benutzerbasis ein geteiltes VPN verwendet, können Analysten mit einer geringeren Sichtbarkeit des Nord-/Süd-Verkehrs rechnen. Bei einem geteilten VPN geht ein Teil des Datenverkehrs des Benutzers direkt in das Internet, ohne vorher die interne Infrastruktur der Unternehmen zu durchqueren.

Alle diese genannten Aktivitäten erfordern besondere Aufmerksamkeit und Verständnis seitens der Sicherheitsanalysten, die derzeit mit einer sich schnell verändernden Unternehmensumgebung konfrontiert sind.