Nästan över en natt har pandemin COVID-19 och de resulterande globala spärrarna har gjort att distansarbetet idag är normen för många företag. För att stödja denna nya generation distansarbetare har befintlig säkerhetsinfrastruktur sträckts ut. Nu är det dags att fokusera på balansen igen.
I början av 2020 behövde IT-chefer och nätverksadministratörer snabbt ställa om då praktiskt taget all personal blev distansarbetare. Nyckeln till omställningen var bättre infrastruktur för kommuniaktion som stöds av tillväxten av molnbaserade lösningar. Förflyttningen för att arbeta på distans och få det gjort så snart som möjligt kunde ha resulterat i genvägar för teknik och säkerhet. Det finns många risker, vilket framhålls av Telework-guiden som publicerats av CISA.
En av de viktigaste frågorna är det faktum att användarens router i hemmet underlättar deras anslutning till internet och företagsnätverk. Denna väsentliga komponent i företagets anslutningsstack ligger dock inte under vår direkta kontroll och måste därför, i bästa fall, betraktas som “otillförlitlig” eller i värsta fall “skadlig”.
Den kritiska frågan är hur säkerställer vi säkerheten för distansarbetaren med en bakgrund av osäkra router-nät för hemnätverk? Och vilken roll spelar säker fjärråtkomst eller VPN-teknik (Virtual Private Network) för att mildra potentiella hot som kan uppstå på grund av att våra användare är anslutna hemifrån?
För att ta itu med dessa frågor har vi skrivit ett omfattande dokument som beskriver en helhetsstrategi kompletterad med en komplett uppsättning tekniska kontroller. Vårt tillvägagångssätt kan användas för att uppnå en lämplig säkerhetsnivå för hemanvändare inför en varierad grupp av gamla och nya hot. I den här bloggen sammanfattar vi de viktigaste resultaten.
Förvänta er att ni kan bli ett offer och var påläst gällande vilka former som en attack kan uppstå för att bedöma din beredskap och förbered er därefter. Nyckeln är att ha ett intelligensstyrt tillvägagångssätt för att förstå angriparens taktik, teknik och procedurlärningar (TTP). Vanligtvis är angripare opportunistiska och snubblar på en sårbar enhet eller en exponerad fjärråtkomsttjänst.
Ni måste också förbereda era medarbetare med utbildning baserat på verkliga och aktuella hot. Detta hjälper dem att identifiera försök till phishing-e-post eller socialtekniska försök. Upprätta en dokumenterad incidentresponsprocess som alla anställda är medvetna om och vet hur de ska inleda. Och slutligen, testa era sanerings- och återhämtningsplaner, med tonvikt på att stödja distansanställda.
Identifiera all hårdvaru- och programvarutillgångar för att förstå er attackyta, inklusive distans- och kontorsanställda. Att kompromissa med en slutanvändare via nätfiske eller socialteknik är den vanligaste metoden för angripare. Säkra fjärråtkomsttjänster nås dock också alltmer eller äventyras genom lösenordssprutning eller brute-forcing-tekniker.
Inrätta ett robust program för sårbarhetshantering för att identifiera och korrigera sårbara system. Detta bör täcka alla internetinriktade system, interna enheter och måste omfatta fjärranställda. Utför regelbundna penetrationstester på hemmarbetaren, internt, internet och molnmiljöer. Detta hjälper till att identifiera andra svagheter förutom sårbarheter, såsom felkonfigurationer.
Det finns flera verktyg och tekniker tillgängliga för att skydda era distans- och kontorsanställda. Till exempel är ett säkerhetssystem för e-post viktigt för att upptäcka och förhindra nätfiske-kampanjer och andra e-postburna hot. Aktivera också multifaktorautentisering (MFA) på alla internetinriktade tjänster, där det är möjligt. Åtminstone bör MFA implementeras på e-post, VPN och exponerade RDP-tjänster.
Använd en automatiserad lagninglösning för att säkerställa att sårbarheter kan hanteras i stor skala. Det är inte praktiskt eller genomförbart att utföra manuell lagning när du har en egendom som består av tusentals maskiner.
Andra användbara säkerhetstekniker inkluderar att genomdriva begreppet “minst privilegium” för att endast ge ett användarkonto eller bearbeta de behörigheter som är nödvändiga för att utföra dess avsedda funktion. Segmentera nätverk så mycket som möjligt för att bromsa sidorörelser efter någon form av kompromiss. Överväg bedrägeriteknik som använder fällor blandade bland befintliga IT-resurser för att locka en angripare att interagera med dem.
Specifikt för distansarbetare, skydda hemroutern med hjälp av RAP-enheter (Remote Access Point) eller distribuera en komplett lösning med fast linjeåtkomst, till exempel fiber till hemmet (FTTH), med en hanterad enhet. Stärka dessutom er VPN:er genom att förbjuda någon tjänst eller applikation på portaldatorn att interagera med någon annan enhet i det lokala nätverket tills VPN-tunneln är korrekt etablerad.
Det mest uppenbara platsen att upptäcka och störa skadlig malware och ransomware är klientsäkerhet. Detta har stärkt rollen som skydd av klientskydd, upptäckt och respons (EDP/R)-verktyg, även känd som ”nästa generations” antivirus. Välj en lösning som använder flera detekteringstekniker, inklusive signaturbaserade, statiska IOC och beteendeanalysfunktioner.
Som komplement till EDR (Endpoint Detection & Response) föreslår vi även att ni använder en nätverkshotdetekteringslösning. Genom att analysera nätverkstrafiken vid vissa choke-points (en enda punkt genom vilken all inkommande och utgående nätverkstrafik kanaliseras) i ert nätverk kan dessa lösningar identifiera hot som annars kan flyga under radarn.
Om det värsta skulle hända och ni missar en attack, är det viktigt att vara lugn, få inte panik eller fatta hastiga beslut. Nu är det dags att starta er “incident response-plan” och få kontroll över situationen. Se till att du och dina CSIRT-partners har en plan för att hantera incidenter på en eller flera avlägsna klinetdatan, där ni kanske inte kan få fysisk eller ens fjärråtkomst till datan.
Tydlig, öppen och ärlig kommunikation är viktig, både internt och externt. Internt måste personalen göras medveten om vad som har hänt, vad som görs åt det och hur de kan hjälpa till. Om personalen förstår vad som händer är de mindre benägna att arbeta runt åtgärder som ni har infört för att återställa och förbättra säkerheten, som annars förekommer att motarbeta deras arbete.
Den här bloggen är bara en kort sammanfattning av vår plan som är inspirerad av CIS Top 20-kontrollerna och NIST-cybersäkerhetsramen. Vi är i ett krig mot hot, inte i en strid, och varje ytterligare kontroll som ni implementerar kommer att höja kostnaden för en angripare och förbättra er motståndskraft.
Läs om fler lösningar för cybersäkerhet