De plus en plus d'organisations à travers le monde commencent à faire travailler à distance leurs employés et sous-traitants. Le nombre de personnes travaillant à domicile ne fera qu'augmenter au cours des prochaines semaines, le gouvernement britannique ayant recommandé aux personnes présentant des symptômes «mineurs» de s'auto-isoler.
Alors que de nombreuses entreprises ont un accès à distance pour leur personnel de support informatique, fournir un accès à distance à un grand nombre d'employés et de sous-traitants dans divers départements est susceptible de poser plusieurs nouveaux défis pour les organisations qui n'ont pas l'habitude de s'adapter à ces exigences.
Outre la préparation de votre support informatique pour les attaques de réinitialisation de mot de passe, car les employés travaillant dans de nouvelles conditions inonderont le service d'assistance de demandes de réinitialisation, voici d'autres bonnes pratiques liées à la sécurité qui vous aideront à sécuriser votre entreprise, que vous travailliez à domicile ou au bureau:
1. Enregistrez tous les événements d'accès à distance.
Attribuez les événements à l'utilisateur associé et surveillez les anomalies à l'aide de vos outils de surveillance de la sécurité (SIEM / UEBA).
2. Surveillez vos points d'exfiltration de données.
Les utilisateurs peuvent prétendre avoir besoin de données téléchargées sur leurs machines / lecteurs pour travailler à domicile. Bien que cela puisse être vrai, il est essentiel de surveiller, d'attribuer et d'analyser les journaux à partir des points d'exfiltration clés, y compris VPN, DLP, O365, Box pour détecter toute tentative d'exfiltration malveillante. Cela peut devenir de plus en plus difficile lorsque la main-d'œuvre migre vers le travail à domicile en masse.
3. Enregistrez et surveillez les événements d'accès et les transactions sur les applications critiques.
Comme de plus en plus d'applications commerciales sont accessibles à distance, il est important de surveiller les anomalies sur les applications critiques.
4. Surveillez les droits des utilisateurs (privilèges d'accès des utilisateurs) sur Active Directory et les applications critiques.
Surveillez les anomalies telles que:
– utilisation de comptes d'utilisateurs résiliés encore actifs
– escalades soudaines de privilèges
– utilisation de comptes dormants
5. Surveillez le partage des informations d'identification.
Un scénario de travail soudain à domicile est également susceptible d'encourager les employés à partager leurs informations d'identification pour obtenir un accès rapide, évitant ainsi le long processus de demande d'accès. Surveillez spécifiquement les anomalies de vitesse terrestre telles que:
– un utilisateur se connectant simultanément depuis plusieurs emplacements
– un utilisateur connecté et connecté à distance
6. Surveillez les périphériques d'accès à distance, car les acteurs malveillants menacent davantage les périphériques d'accès à distance.
Il est important de prendre en compte le fait que ces acteurs achètent des informations d'identification d'accès à distance à partir des crédits d'accès à distance / "boutiques RDP" sur le Web sombre qui peuvent être utilisés pour des exploits. Ils chercheront à capitaliser sur la surface d'attaque supplémentaire en raison de l'augmentation du travail à domicile / télétravail.
En plus de surveiller de manière proactive votre infrastructure RDP / VPN accessible sur Internet, nous vous recommandons de tirer parti des instructions du NIST concernant la sécurisation de l'accès aux entreprises et au télétravail pour mettre en œuvre les contrôles supplémentaires requis pour aider à atténuer davantage les risques associés aux acteurs de menaces malveillants obtenant et exploitant RDP en magasin. informations d'identification d'accès.
7. Assurez-vous que vos serveurs VPN / RDP accessibles sur Internet sont à jour et prêts pour les pics d'activité d'accès à distance / WFH à la lumière de la situation actuelle d'épidémie virale.
8. Méfiez-vous des schémas de phishing liés au coronavirus et des fausses alertes / avis de santé.
Nous avons observé certains des implants de phishing malveillants échappant de plus en plus au sandboxing / détonation. La recommandation est de mettre en œuvre une approche plus approfondie de «supposer une violation» dans votre environnement. En anticipant l'échec de vos contrôles IOC et sandbox, vous avez des contrôles et une surveillance liés à la détection de staging / post-exploitation.
9. Appliquez l'authentification multifacteur dans la mesure du possible.
Les attaques par dictionnaire sont les moyens les plus courants de compromettre les informations d'identification sur les appareils connectés à Internet. Avec l'augmentation de l'accès à distance aux employés, sous-traitants et partenaires commerciaux, vous devriez envisager d'appliquer des contrôles d'authentification et d'autorisation forts pour minimiser le risque de compromis.
10. Appliquer les vérifications par les pairs et la séparation des tâches (SOD).
Avec une tonne d'employés demandant un accès à distance, l'entreprise est susceptible de faire pression pour obtenir autant d'accès que possible des employés afin d'éviter toute interruption de l'activité. Cependant, il est important que les équipes de sécurité et informatiques recherchent des vérifications SOD et des vérifications par les pairs pour garantir que l'accès accordé est aligné sur le rôle de l'employé.
Avec un peu de préparation et en mettant les équipes de sécurité en alerte, les organisations pourraient jouer un grand rôle pour contenir à la fois la propagation du coronavirus et les risques de sécurité associés.
Sachin Nayyar est président-directeur général de Securonix