Dlaczego każda sieć VPN potrzebuje silnego SIEM po swojej stronie?

Opublikowany: 2020-08-05

Wirtualne sieci prywatne są używane przez osoby fizyczne i organizacje przez prawie dwie dekady. VPN tworzy bezpieczny tunel, który umożliwia przesyłanie zaszyfrowanych informacji z jednego punktu do drugiego. W świecie biznesu umożliwia pracownikom łączenie się z siecią organizacji oraz bezpieczne wysyłanie i odbieranie informacji. Sieci VPN odgrywają większą rolę, biorąc pod uwagę pracę w środowisku domowym, w którym się znajdujemy.

Nie jest jasne, jak długo ludzie będą pracować w domu. Niektóre organizacje już wykazały, że nawet po przejściu pandemii część pracowników będzie pracować zdalnie. Uwagę cyberprzestępców zwrócił fakt, że coraz więcej osób pracuje w domu. Postrzegają pracę w środowisku domowym jako tworzenie luk, które mogą wykorzystać.

Spis treści pokaż
  • Cyberataki skierowane na VPN
  • Potrzebne są więcej niż tylko podstawowe środki bezpieczeństwa
  • Jak platforma SIEM może przynieść korzyści Twojej organizacji?
  • W jaki sposób SIEM pomaga ograniczać zagrożenia bezpieczeństwa w środowisku pracy z domu?
  • Wykorzystanie SIEM do wykrywania i łagodzenia szkód spowodowanych przez oszustwo CEO
  • Wykorzystanie informacji zebranych z SIEM do poprawy cyberbezpieczeństwa

Cyberataki skierowane na VPN

cyber-bezpieczeństwo-ochrona-prywatności-szyfrowanie-hasło-zabezpieczenia-dostęp do zapory

Cytując ekspertów, Will Ellis z Privacy Australia zauważył, że jednym z głównych sposobów, w jakie cyberprzestępcy przeprowadzają swoje ataki, jest próba penetracji VPN. Jak wspomniał: „Niestety w wielu przypadkach odniosły one sukces w ostatnich miesiącach. To skłoniło firmy i instytucje rządowe do zaostrzenia środków bezpieczeństwa”.

Gdy tylko cyberprzestępcy przebiją się przez VPN i uzyskają dostęp do sieci organizacji, są jak dzieci w sklepie ze słodyczami. Mogą przeszukiwać sieć i usługi. W wolnym czasie mogą szukać luk w zabezpieczeniach, błędnych konfiguracji i słabości. Nie ma ograniczeń co do szkód, jakie mogą wyrządzić przestępcy, gdy mają dostęp do manipulowania danymi, niszczenia systemów lub przerywania przesyłania poufnych danych.

Zalecane dla Ciebie: VPN kontra proxy: jakie są różnice? Który jest lepszy?

Potrzebne są więcej niż tylko podstawowe środki bezpieczeństwa

bezpieczeństwo-ochrona-internetu-blokada-hasła-SIEM

Większość organizacji stosuje już zalecane podstawowe kroki w celu poprawy bezpieczeństwa VPN. Obejmuje to wymaganie silnych haseł, które są złożone, niepowtarzalne i okresowo zmieniane. Udostępnianie lub kontrola dostępu oparta na rolach oznacza ograniczanie zasobów przez grupy. Uwierzytelnianie wieloskładnikowe jest również używane w przypadku uprzywilejowanych użytkowników lub tych, którzy potrzebują dostępu do poufnych danych i oprogramowania.

Nie należy umniejszać znaczenia tych kroków. Organizacja oszukałaby się, gdyby wierzyła, że ​​te podstawowe kroki są wszystkim, co jest wymagane do ochrony przed atakami cyberbezpieczeństwa, które stale stają się coraz bardziej wyrafinowane.

Zaawansowane ataki wymagają zaawansowanego rozwiązania, takiego jak platforma do zarządzania informacjami o zabezpieczeniach i zdarzeniami. SIEM to narzędzia odpowiedzialne za zbieranie i korelowanie danych z narzędzi bezpieczeństwa, z których korzysta organizacja, w tym ich VPN.

SIEM umożliwiają kompilację informacji zebranych za pomocą oddzielnych narzędzi bezpieczeństwa, aby uzyskać wgląd w zagrożenia bezpieczeństwa, które mogą nie być łatwe do zebrania, patrząc na dane oddzielnie. Platformy te mogą pomóc organizacji zidentyfikować zdarzenia naprawdę wysokiego ryzyka i oddzielić je od hałasu.

Na przykład pracownik może połączyć się z VPN z Nowego Jorku. Czterdzieści pięć minut później ten sam pracownik łączy się z siecią VPN organizacji z Minneapolis w stanie Minnesota. Platforma SIEM powinna być w stanie stwierdzić, że jest to fizycznie niemożliwe, a następnie oznaczyć to jako podejrzane zachowanie, które należy zbadać.

Jak platforma SIEM może przynieść korzyści Twojej organizacji?

niebezpieczeństwo-bezpieczeństwo-zagrożenie-cyber-przestępczość-oszustwo-wirus-hack

Rozwiązania SIEM oferują wykrywanie zagrożeń w czasie rzeczywistym. Zwiększają wydajność, redukują koszty, minimalizują potencjalne zagrożenia, poprawiają raportowanie i analizę logów oraz zapewniają zgodność z przepisami IT. Ponieważ rozwiązania SIEM mogą łączyć dzienniki zdarzeń z różnych urządzeń i aplikacji, personel IT może szybko identyfikować, reagować i przeglądać potencjalne naruszenia bezpieczeństwa. Im szybciej zostanie zidentyfikowane zagrożenie cyberbezpieczeństwa, tym mniejszy wpływ może mieć. Czasami uszkodzeniom można całkowicie zapobiec.

Platformy SIEM umożliwiają zespołowi IT uzyskanie pełnego obrazu wszystkich zagrożeń, przed którymi chronią ją narzędzia bezpieczeństwa organizacji. Pojedynczy alert z filtru złośliwego oprogramowania lub antywirusa może nie być wielkim problemem lub może nie wywołać alarmu. Jeśli jednak jednocześnie pojawi się alert z zapory, filtra antywirusowego i VPN, może to oznaczać, że trwa poważne naruszenie. SIEM będzie zbierać alerty z różnych miejsc, a następnie wyświetlać je na scentralizowanej konsoli, maksymalizując czas reakcji.

Może ci się spodobać: VPN vs RDS vs VDI: co wybrać, aby uzyskać bezpieczny dostęp zdalny?

W jaki sposób SIEM pomaga ograniczać zagrożenia bezpieczeństwa w środowisku pracy z domu?

SIEM-Security-Informacje-Event-Management

Pandemia koronawirusa zmusiła organizacje do przejścia z personelu na miejscu do całkowicie zdalnej siły roboczej szybciej niż wiele organizacji zostało naprawionych. Oznaczało to, że musieli znaleźć równowagę i być może kompromis między zapewnieniem spójnej obsługi swoim klientom a utrzymaniem wysokiego poziomu cyberbezpieczeństwa.

Ręczne konfigurowanie reguł i zabezpieczeń, które mogłyby skutecznie obsłużyć tę zmianę, jest czasochłonne. Organizacje, które nie korzystały jeszcze z platform SIEM, rozegrały frustrującą, niebezpieczną i kosztowną grę w nadrabianie zaległości w ciągu pierwszych kilku tygodni zamówień w domu.

Organizacje, które już korzystały z SIEM, mogłyby łatwiej przejść. Ponieważ dysponowali kompleksowym systemem, który wykorzystywał analitykę zachowań i uczenie maszynowe, mogli automatycznie dostosowywać się do zmian w środowisku pracy. To odciąża ich zespoły IT.

Jedną z głównych korzyści płynących z analizy zachowań jest możliwość spojrzenia na podstawową normalną aktywność organizacji i jej użytkowników, a następnie automatyczne wykrywanie i uruchamianie alarmu w przypadku odchyleń od tej normalnej aktywności. W ten sposób mechanizmy zabezpieczeń organizacji są elastyczne i mogą się zmieniać wraz ze zmianą środowiska biznesowego. Automatycznie dostosowują się do nowych rzeczy, na przykład jak pracownicy pracujący w domu stali się nową normą.

Wykorzystanie SIEM do wykrywania i łagodzenia szkód spowodowanych przez oszustwo CEO

klawiatura-laptop-czerwona-copy-hacking-cyber-security-data-SIEM

Środowisko pracy w domu sprawiło, że komunikacja e-mailowa jest ważniejsza niż kiedykolwiek wcześniej. Dzieje się tak, ponieważ zniknęła interakcja twarzą w twarz, która była częścią pracy w biurze. Niestety, ponieważ mnóstwo e-maili jest wysyłanych tam iz powrotem, istnieje możliwość wysłania fałszywych e-maili w imieniu kierownictwa, dyrektorów lub innych odpowiedzialnych osób.

Oszustwa dyrektorów generalnych to stosunkowo nowa forma cyberprzestępczości. Ataki socjotechniczne służą do nakłonienia osoby w organizacji do wysłania pieniędzy lub poufnych informacji do osoby lub osób dopuszczających się oszustwa.

Oszustwo dyrektora generalnego istniało przed COVID-19. Szacuje się, że w ciągu zaledwie trzech lat może spowodować straty na poziomie ponad 2,3 miliarda dolarów. Kiedy ludzie pracowali w środowisku biurowym, w którym mieli bezpośredni kontakt z kierownictwem, wiele organizacji błędnie uważało, że łatwo jest im samodzielnie identyfikować oszustwa e-mailowe.

Jednakże, analizując przypadki oszustwa dyrektora generalnego, widać wyraźnie, że wiele e-maili było przesyłanych tam iz powrotem między oszustami a ofiarą, ale ofiara nie była mądrzejsza. Oszustwa dyrektorów generalnych to wyrafinowany i praktycznie niemożliwy do wykrycia rodzaj oszustwa bez odpowiednich narzędzi. Jeśli trudno było złapać się w stosunkowo bezpiecznym środowisku biurowym, wyobraź sobie, że łapiesz go teraz, gdy pracownicy są rozproszeni, a ilość kontaktów twarzą w twarz zmniejszona.

Oszustwo dyrektora generalnego przedstawia się na dwa sposoby. Jednym z nich jest włamanie na konto e-mail starszego menedżera. Druga to sytuacja, w której wiadomość e-mail jest wysyłana z domeny podobnej do legalnej domeny biznesowej. W pierwszej kolejności oszuści narażają konta e-mail starszych pracowników. W drugim przypadku typosquatting służy do nakłaniania pracowników do przekonania, że ​​otrzymali informacje od osób pełniących funkcje nadzorcze.

Rozwiązanie SIEM może pomóc. Pozwala organizacji wyprzedzić ryzyko związane z naruszeniem poświadczeń. Jeśli konto e-mail dyrektora generalnego, menedżera lub innej osoby zajmującej odpowiedzialne stanowisko zostanie naruszone, rozwiązania SIEM mogą pomóc zidentyfikować i powstrzymać naruszenie, zanim ono nastąpi. Dzieje się tak, ponieważ rozwiązania SIEM monitorują dane w Twojej sieci. Obejmuje to usługi Active Directory, O365, zapory, jednostki pamięci, Salesforce i inne.

Po przesłaniu wszystkich informacji do SIEM dane będą gromadzone, skorelowane i badane za pomocą zaawansowanej analityki. Celem jest znalezienie wskaźników kompromisu lub znalezienie wzorców, które pokazują, czy ma miejsce podejrzane zachowanie. Informacje te mogą być rejestrowane i natychmiast wysyłane do zespołu ds. bezpieczeństwa organizacji.

Ponieważ dzieje się to w czasie rzeczywistym, wielu atakom można zapobiec, zanim będą miały szkodliwy wpływ. Zaawansowane uczenie maszynowe można wytrenować w celu identyfikowania powolnych ataków, które wkradają się do sieci. Można wykryć nietypowe wzorce aktywności, które mogą złagodzić zagrożenia, zanim się pojawią. Mogą stosować te same podejścia do identyfikowania innych rodzajów zagrożeń e-mail, takich jak oszustwa typu spear-phishing. Tutaj ponownie widzimy moc, jaką rozwiązanie SIEM ma do dodania wartości, która nie jest oferowana przez VPN.

Możesz także polubić: NordVPN vs SiteLock VPN — który z nich jest dla Ciebie najlepszy?

Wykorzystanie informacji zebranych z SIEM do poprawy cyberbezpieczeństwa

cyber-zabezpieczenie-blokada-internet-bezpieczeństwo-hack-szyfrowanie

W przypadku wykrycia anomalii organizacje mogą wprowadzić zabezpieczenia, aby zapobiec przyszłym włamaniom. Jednym z kroków może być edukacja pracowników w zakresie zagrożeń cyberbezpieczeństwa, z jakimi się spotykają. Pokazując pracownikom różne próby ataków, zachęca się pracowników do łagodzenia ryzykownych zachowań.

Niektóre wskazówki dotyczące profilaktyki, które mogą wydawać się zdrowemu rozsądkowi zespołowi IT, mogą zostać przeoczone przez pracowników. Na przykład pracownikom należy przypominać, aby ignorowali nieoczekiwane wiadomości e-mail, które wymagają natychmiastowej odpowiedzi. Należy ich zachęcać do częstego sprawdzania adresów e-mail i domen nadawcy oraz porównywania ich z prawdziwymi adresami e-mail i domenami. Należy przypomnieć pracownikom, aby nie otwierali nieoczekiwanych załączników i zachowali dodatkową ostrożność w przypadku odbierania wiadomości e-mail od nierozpoznanych nadawców.

Pewną rzeczą jest to, że cyberprzestępcy nie przestaną szukać luk w zabezpieczeniach. Organizacje muszą chronić siebie, swoje dane i swoich pracowników, korzystając z funkcji bezpieczeństwa, takich jak VPN, narzędzia antywirusowe i ochrona przed złośliwym oprogramowaniem, a następnie tworząc ich kopie zapasowe za pomocą platform SIEM.