より多くの従業員がリモートで働くことを求められるようになり、まだ完全にリモートでない組織では、当然、内部ネットワークトラフィックの変化が発生し、Vectra AIプラットフォームが特定した振る舞い 検出に直接影響する。
Vectra は、Vectra AIプラットフォームのユーザーに対し、特定のリモートワーカーの状態に関連する振る舞い 検出の増加が予想されることを特定し、管理するために、以下の推奨を行っている。
Vectra AI Platformでトリアージフィルタを構築する場合、ソース条件ルールの提案の構成は、非データセンターのソースIPスペースを使用することです。アナリストがプラットフォームでデータセンターと非データセンターのソースIPスペースを区別できない場合は、Vectra 、「すべてのホスト」を使用することを推奨します。
リモートワーカーは、同僚、クライアント、パートナーと直接顔を合わせることなく、コミュニケーションを取り続ける必要があるため、ウェブ会議やインスタントメッセージングソフトウェアの利用が拡大すると予想される。このような利用は、ピアツーピアのビデオコミュニケーションだけでなく、ファイル共有、画面共有、その他の関連アクティビティなど、複数の方法による情報共有にも使われるようになるでしょう。このような通信やファイル共有の行動により、Vectra AI Platformにおける振る舞い の検出数が増加する可能性が高い。ユーザは、組織内で予想されるコミュニケーション・サービスを特定し、それらを予想される行動としてマークするカスタム・フィルタを作成することが推奨される。
例えば、Microsoft Teamsは、使用されているIPレンジによって簡単に識別できる:52.112.0.0/14、または主に使用されているプロトコルとポートによって簡単に識別できます:UDP 3478から3481である。この情報を活用することで、通常業務への影響を最小限に抑えながら、トリアージルールを作成することができます。デフォルトでは、いくつかのビデオ会議プロバイダーのIP範囲は、図1に示すように、すでにプラットフォームのグループページの一部となっており、既知の合法的な動作を識別するのに役立ちます。
ウェブ会議ツールの使用に関連して予想されるネットワーク上の行動は以下の通りである:
ウェブ会議ソフトウェアは、ほとんどの組織で一般的に使用されているリモート・アプリケーションであり、他のユーザーのシステムを制御する機能を持っています。このため、既存の Web 会議ソフトウェアを悪意のある目的に利用する攻撃が知られています。ウェブ会議ソフトウェアの使用に関連する一般的な振る舞い の検出には、以下のようなものがあります:
流出検知は、トラフィックパターンと、通常特定の宛先に送信されるデータ量に基づいて行われるため、ユーザがファイルを共有したりビデオを送信したりすると、関連する流出検知の増加が見られる可能性がある。
カスタムルールの設定に加え、Vectra AI Platformには、Web会議アクティビティによって発生するノイズを低減するために設計された、既知のWeb会議ソフトウェア用の事前定義されたトリアージテンプレートが用意されている。
TeamViewerのようなリモート・アクセス・ツールを使って社内リソースにアクセスすることも、今後成長が見込まれる分野である。これは特に、企業VPNが企業全体のトラフィックを処理できず、内部リソースを管理する代替手段が必要になる場合に当てはまる。
管理者がサーバーを管理するためにリモートアクセスソフトウェアを使用するのと同じように、攻撃者は攻撃のライフサイクルの一部として、定期的にこれらの内部システムにアクセスし、管理したいと考えています。正当なリモート・アクセスが突然急激に増加するため、この検知モデルは、以前に見られたリモート・アクセス動作を直ちに増加させるきっかけとなる可能性がある。Vectra 、これらの予想されるサービスを特定し、承認済みとしてマークするカスタム・フィルタを作成することを推奨する。
設計上、リモート・アクセス・ツールは、他のユーザーのマシンとサーバーの両方をコントロールする能力を提供する。より一般的なツールは、アクセスを要求するユーザーと管理されるシステムの間で、ベンダーの外部サーバーをリレーとして活用する(例えば、LogMeIn、TeamViewer)。これにより、これらのツールは既知のアドレス空間から発生するため、より簡単に識別できる。例えば、TeamViewer サーバーは、リモート・アクセス動作検出の説明フィールドに明示的に指定され、アナリストがこれが許可されたリモート・ネットワーク・トラフィックであることを厳密に検証した後、トリアージ・フィルターに活用することができます。
サードパーティのリモートアクセスツールに加えて、Windowsは、通常制限されている内部デバイスにユーザーが直接アクセスすることを可能にするリモートアクセス機能をネイティブに提供しているが、現在、管理者がリモートで機能するためにはリモートアクセスが必要である。例えば、ジャンプ・サーバーは、Microsoft・リモート・デスクトップ・プロトコルで、特権ユーザーに特定のシステムへのアクセスを許可することができる。これらのツールは多用途であるため、ルールの作成はできるだけ狭い範囲で行うことを推奨する。
リモートアクセスツールの使用に関連する、予想されるネットワーク動作は以下の通りである:
OneDriveやDropboxのようなオンライン・ファイル共有サービスは、すでに企業や消費者に普及しているが、今後は、文書共有や編集の主要な手段として、ファイル共有サービスの利用や活用が増えることが予想される。これらのファイル共有サービスが組織内でどのように利用されるかを理解することは非常に重要である。アナリストは、外部ホストが企業のセキュリティポリシーに準拠しているかどうかを検証することで、現在使用されており、Vectra AI Platformで見られるファイル共有サービスが承認されているかどうかを調査することができます。
流出行動の検知は、送信データ量と送信先に関連している。両属性の乖離により、在宅勤務の延長期間中に以下のような行動が誘発されることが予想される:
ユーザーが自宅で仕事をするようになると、自宅環境で個人のシステムを活用する傾向があるかもしれません。このような場合、新しいシステムが内部リソースへのVPNアクセスで活用されると、Vectra AIプラットフォームはこれらのデバイスを新しいホストとして識別し、これまでに見たことのないシステムからユーザー、サービスへのアクセスパターンに基づいて、さまざまな特権異常やその他の新しい動作を検出する可能性があります。プラットフォームの「ホストの詳細」ページでは、名前、アカウント、最後に確認された日時によって未知のホストを特定するための詳細情報が提供されます。この情報は、[Groups] ページの組織 VPN IP プールの識別とともに、アナリストが未知のユーザー・デバイスを効率的に識別するのに役立ちます。
注:Vectra 、上記の検知モデルで表現されている動作の性質上、最初の調査なしにカスタム・フィ ルタを作成しないことをアナリストに強く推奨する。解析者が特定し、許可したホストについては、その特定のホストに対してのみフィルタを書くべきである。
多くの組織ユーザーがリモートで仕事をしながらも、オフィスで働いていたときと同じ社内リソースにアクセスする必要があるため、VPNの利用が大幅に増加すると予想されます。つまり、VPNの可用性は、組織が機能するために不可欠であり、通常よりもはるかに大量のトラフィックを処理する必要があるということです。
例えば、仕事中にPCで音楽アプリを聴くような、ネットワーク内部では通常何の問題もないユーザー行動も、フルトンネルVPNでは問題になる可能性がある。フルトンネルVPNは、すべてのインターネット・トラフィックを組織の内部ネットワーク経由で送信するため、大量のネットワーク帯域幅を消費し、VPNリソースの枯渇を引き起こす。
Vectra Recall およびStream のユーザーは、大量の帯域幅を消費しているユーザーを特定するため に、この種の通常は無害なトラフィックを追跡することができる。
企業VPNがネットワークアドレス変換(NAT)を使用して、複数の同時接続ユーザーに同じIPを割り当てる場合、Vectra 、以下の手順を推奨します:
NAT機能が利用できず、VPNプールからIPを割り当てられるユーザーが1人しかいない場合、Vectra 、以下の手順を推奨します:
組織のユーザ・ベースがスプリット VPN を使用している場合、アナリストは振る舞いの検出数の減少が期待できることに注意してください。スプリット VPN の場合、ユーザのトラフィックの一部は、組織の内部インフラを経由せずにインターネットに直接送信されます。