Remote Work, Not Remote Control: Detection Guidance

より多くの従業員がリモートで働くことを求められるようになり、まだ完全にリモートでない組織では、当然、内部ネットワークトラフィックの変化が発生し、Vectra AIプラットフォームが特定した振る舞い 検出に直接影響する。

• RDP/VDIサービスが知らず知らずのうちに公開されていませんか？
• VPNの認証情報が悪用されていませんか？
• システムにリモートアクセスする保護されていないデバイスを特定できるか？

Vectra は、Vectra AIプラットフォームのユーザーに対し、特定のリモートワーカーの状態に関連する振る舞い 検出の増加が予想されることを特定し、管理するために、以下の推奨を行っている。

概要

• グループ]ページで組織のVPNプールを特定し、リモートワーカーを迅速に特定する。
• ビデオ会議の検出にノイズが多すぎる場合は、使用中のソフトウェアのプラットフォーム内で利用可能なテンプレートに基づいてトリアージフィルタを作成します。
• 権限を確認するための基本的な調査を行った後、リモートアクセスツールがうるさくなってきたら、ルールを作成する。
• カスタム・テンプレートをガイドとして使用するが、組織固有のルールを作成する。
• VPNを大量に使用すると、管理に関する横移動の検知が突然増えることがある。学習は、適切なホストのアトリビューションによって、最終的にこの新しいパラダイムをピックアップします。

Vectra AI Platformでトリアージフィルタを構築する場合、ソース条件ルールの提案の構成は、非データセンターのソースIPスペースを使用することです。アナリストがプラットフォームでデータセンターと非データセンターのソースIPスペースを区別できない場合は、Vectra 、「すべてのホスト」を使用することを推奨します。

ウェブ会議

リモートワーカーは、同僚、クライアント、パートナーと直接顔を合わせることなく、コミュニケーションを取り続ける必要があるため、ウェブ会議やインスタントメッセージングソフトウェアの利用が拡大すると予想される。このような利用は、ピアツーピアのビデオコミュニケーションだけでなく、ファイル共有、画面共有、その他の関連アクティビティなど、複数の方法による情報共有にも使われるようになるでしょう。このような通信やファイル共有の行動により、Vectra AI Platformにおける振る舞い の検出数が増加する可能性が高い。ユーザは、組織内で予想されるコミュニケーション・サービスを特定し、それらを予想される行動としてマークするカスタム・フィルタを作成することが推奨される。

例えば、Microsoft Teamsは、使用されているIPレンジによって簡単に識別できる：52.112.0.0/14、または主に使用されているプロトコルとポートによって簡単に識別できます：UDP 3478から3481である。この情報を活用することで、通常業務への影響を最小限に抑えながら、トリアージルールを作成することができます。デフォルトでは、いくつかのビデオ会議プロバイダーのIP範囲は、図1に示すように、すでにプラットフォームのグループページの一部となっており、既知の合法的な動作を識別するのに役立ちます。

ウェブ会議ツールの使用に関連して予想されるネットワーク上の行動は以下の通りである：

Command & Control

ウェブ会議ソフトウェアは、ほとんどの組織で一般的に使用されているリモート・アプリケーションであり、他のユーザーのシステムを制御する機能を持っています。このため、既存の Web 会議ソフトウェアを悪意のある目的に利用する攻撃が知られています。ウェブ会議ソフトウェアの使用に関連する一般的な振る舞い の検出には、以下のようなものがあります：

• 隠しHTTPSトンネル - 宛先IPに基づいてルールを書くことを推奨する。
• 疑わしいリレー- 宛先IPに基づくルールの作成が推奨される。

データ流出

流出検知は、トラフィックパターンと、通常特定の宛先に送信されるデータ量に基づいて行われるため、ユーザがファイルを共有したりビデオを送信したりすると、関連する流出検知の増加が見られる可能性がある。

• データ・スマグラー- 宛先IPとポートに基づいたルールを書くことが推奨される。
• 隠しHTTPSトンネル- 宛先IPに基づいてルールを書くことを推奨する。
• スマッシュ＆グラブ- デスティネーションIPに基づいたルールを書くことが推奨される。

カスタムルールの設定に加え、Vectra AI Platformには、Web会議アクティビティによって発生するノイズを低減するために設計された、既知のWeb会議ソフトウェア用の事前定義されたトリアージテンプレートが用意されている。

リモート・アクセス・ソフトウェア

TeamViewerのようなリモート・アクセス・ツールを使って社内リソースにアクセスすることも、今後成長が見込まれる分野である。これは特に、企業VPNが企業全体のトラフィックを処理できず、内部リソースを管理する代替手段が必要になる場合に当てはまる。

管理者がサーバーを管理するためにリモートアクセスソフトウェアを使用するのと同じように、攻撃者は攻撃のライフサイクルの一部として、定期的にこれらの内部システムにアクセスし、管理したいと考えています。正当なリモート・アクセスが突然急激に増加するため、この検知モデルは、以前に見られたリモート・アクセス動作を直ちに増加させるきっかけとなる可能性がある。Vectra 、これらの予想されるサービスを特定し、承認済みとしてマークするカスタム・フィルタを作成することを推奨する。

設計上、リモート・アクセス・ツールは、他のユーザーのマシンとサーバーの両方をコントロールする能力を提供する。より一般的なツールは、アクセスを要求するユーザーと管理されるシステムの間で、ベンダーの外部サーバーをリレーとして活用する（例えば、LogMeIn、TeamViewer）。これにより、これらのツールは既知のアドレス空間から発生するため、より簡単に識別できる。例えば、TeamViewer サーバーは、リモート・アクセス動作検出の説明フィールドに明示的に指定され、アナリストがこれが許可されたリモート・ネットワーク・トラフィックであることを厳密に検証した後、トリアージ・フィルターに活用することができます。

サードパーティのリモートアクセスツールに加えて、Windowsは、通常制限されている内部デバイスにユーザーが直接アクセスすることを可能にするリモートアクセス機能をネイティブに提供しているが、現在、管理者がリモートで機能するためにはリモートアクセスが必要である。例えば、ジャンプ・サーバーは、マイクロソフト・リモート・デスクトップ・プロトコルで、特権ユーザーに特定のシステムへのアクセスを許可することができる。これらのツールは多用途であるため、ルールの作成はできるだけ狭い範囲で行うことを推奨する。

リモートアクセスツールの使用に関連する、予想されるネットワーク動作は以下の通りである：

Command & Control

• 隠しHTTPSトンネル - このような検出によって発生するノイズの量によっては、宛先IPとソースIPに基づいて、できるだけ狭い範囲でルールを記述することを推奨する。
• 外部からのリモートアクセス- このような検出によって発生するノイズの量にもよるが、宛先IPと送信元IPに基づいて、できるだけ狭い範囲でルールを記述することが推奨される。
• 疑わしいリレー- この検知は、ユーザが特定のホストでリモート・デスクトップ・アクセスにジャンプ・サーバまたはリレ イを使用した場合にトリガされる。Vectra 、アナリストは、ノイズの量が少ないと想定して、このアクションに対 してソース・ホストを許可済みとしてタグ付けし、カスタムとしてワンタイムマークを使用することを推奨する。このような動作がシステムで多発している場合は、宛先IPとポートに基づくカスタム・フィルタを作成することを検討する。

ファイル共有

OneDriveやDropboxのようなオンライン・ファイル共有サービスは、すでに企業や消費者に普及しているが、今後は、文書共有や編集の主要な手段として、ファイル共有サービスの利用や活用が増えることが予想される。これらのファイル共有サービスが組織内でどのように利用されるかを理解することは非常に重要である。アナリストは、外部ホストが企業のセキュリティポリシーに準拠しているかどうかを検証することで、現在使用されており、Vectra AI Platformで見られるファイル共有サービスが承認されているかどうかを調査することができます。

データ流出

流出行動の検知は、送信データ量と送信先に関連している。両属性の乖離により、在宅勤務の延長期間中に以下のような行動が誘発されることが予想される：

• スマッシュ・アンド・グラブ- これらの検出がノイズが多くなり、外部ホストが認可されたものとして識別される場合、外部宛先のフィルタを作成することを推奨する。
• データ・スマグラー- これらの検出があまりにもノイズが多くなり、外部ホストが認可されたものとして識別された場合、外部宛先のフィルタを作成することを推奨する。

VPNアクセスによる非企業管理システムの利用

ユーザーが自宅で仕事をするようになると、自宅環境で個人のシステムを活用する傾向があるかもしれません。このような場合、新しいシステムが内部リソースへのVPNアクセスで活用されると、Vectra AIプラットフォームはこれらのデバイスを新しいホストとして識別し、これまでに見たことのないシステムからユーザー、サービスへのアクセスパターンに基づいて、さまざまな特権異常やその他の新しい動作を検出する可能性があります。プラットフォームの「ホストの詳細」ページでは、名前、アカウント、最後に確認された日時によって未知のホストを特定するための詳細情報が提供されます。この情報は、[Groups] ページの組織 VPN IP プールの識別とともに、アナリストが未知のユーザー・デバイスを効率的に識別するのに役立ちます。

横の動き

• ホストは「新しい」とみなされるため、組織内の未知のデバイスを表し、攻撃者のコンピュータである可能性がある。攻撃者は様々な内部リソースにアクセスすることで攻撃を拡大することを目的としているため、いくつかの許可された行動は横移動の試みとして検出される可能性がある。
• 特権アクセス異常: 異常なホスト - VPN IPスペースの特定とイベントの調査の後、Vectra 、ワンタイムマークをカスタム・トリアージ・フィルタとして使用することを推奨します。
• 疑わしいリモートデスクトップ- VPN IPスペースの特定とイベントの調査の後、Vectra 、ソースホストとターゲットドメインに基づいてルールを作成することを推奨します。RDP トラフィックが内部的に暗号化されていない場合は、クライアント名など、フィルタリングのオプションが増えます。

注：Vectra 、上記の検知モデルで表現されている動作の性質上、最初の調査なしにカスタム・フィ ルタを作成しないことをアナリストに強く推奨する。解析者が特定し、許可したホストについては、その特定のホストに対してのみフィルタを書くべきである。

帯域監視

多くの組織ユーザーがリモートで仕事をしながらも、オフィスで働いていたときと同じ社内リソースにアクセスする必要があるため、VPNの利用が大幅に増加すると予想されます。つまり、VPNの可用性は、組織が機能するために不可欠であり、通常よりもはるかに大量のトラフィックを処理する必要があるということです。

例えば、仕事中にPCで音楽アプリを聴くような、ネットワーク内部では通常何の問題もないユーザー行動も、フルトンネルVPNでは問題になる可能性がある。フルトンネルVPNは、すべてのインターネット・トラフィックを組織の内部ネットワーク経由で送信するため、大量のネットワーク帯域幅を消費し、VPNリソースの枯渇を引き起こす。

Vectra Recall およびStream のユーザーは、大量の帯域幅を消費しているユーザーを特定するため に、この種の通常は無害なトラフィックを追跡することができる。

VPNの利用

企業VPNがネットワークアドレス変換（NAT）を使用して、複数の同時接続ユーザーに同じIPを割り当てる場合、Vectra 、以下の手順を推奨します：

• 管理]->[プロキシ]で、VPNプールのIPをプロキシのリストに追加します。
• IPをVPNプールというIPグループに追加する。
• ホストベースのビューではなく）VPNグループの検出ビューを見てください。どのユーザーがその時間にそのIPアドレスを使用してログインしたかを知るには、手動による相関が必要です。

NAT機能が利用できず、VPNプールからIPを割り当てられるユーザーが1人しかいない場合、Vectra 、以下の手順を推奨します：

• IPをVPNプールというIPグループに追加する。
• VPNグループの検出ビューを見てください。どのユーザーがその時間にそのIPアドレスを使用してログインしたかを知るには、手動で相関関係を実行する必要があります。

スプリットVPN

組織のユーザ・ベースがスプリット VPN を使用している場合、アナリストは振る舞いの検出数の減少が期待できることに注意してください。スプリット VPN の場合、ユーザのトラフィックの一部は、組織の内部インフラを経由せずにインターネットに直接送信されます。