5. Filesharing
Online-Dateitauschdienste wie OneDrive und Dropbox sind in Unternehmen und bei Privatanwendern ohnehin bereits beliebt. Vectra erwartet eine zunehmende Nutzung von Dateitauschdiensten als primäres Mittel zur gemeinsamen Nutzung und Bearbeitung von Dokumenten. Es ist von entscheidender Bedeutung zu verstehen, wie diese File-Sharing-Dienste innerhalb des Unternehmens genutzt werden. Die Erstellung von Richtlinien für autorisierte Dienste kann Analysten bei der Priorisierung ihrer Untersuchungen helfen.
6. Nutzung eines externen Systems durch VPN-Zugriff
Da die Benutzer von zu Hause aus arbeiten, könnten Unternehmen geneigt sein, die vorhandenen Systeme in der Heimumgebung ihrer Mitarbeiter einzusetzen. Diese neuen Systeme ermöglichen zwar den raschen Übergang zur Fernarbeit, stellen die Sicherheitsteams jedoch vor eigene Probleme. Die Geräte können zu einer Vielzahl von Anomalien bei den Privilegien und anderen Verhaltensabweichungen führen und es gibt weniger Möglichkeiten zur Untersuchung. Es wird entscheidend sein, über Details zu verfügen, um die unbekannten Hosts nach Namen, Konten und Aktivitätszeit zu identifizieren und zu korrelieren. Diese Informationen, zusammen mit der Identifizierung des VPN-IP-Pools des Unternehmens, helfen Analysten, unbekannte Benutzergeräte effizient zu identifizieren.
7. VPN aufteilen
Viele Unternehmen verwenden ein VPN mit geteiltem Tunnel. Diese Art von VPN ermöglicht es, den Geschäftsverkehr in das Unternehmensnetzwerk zu leiten, während der übrige Verkehr ins Internet gelangt, ohne das Unternehmensnetzwerk zu berühren. Dies hat eine Reihe von Sicherheitsimplikationen, wird aber in der Regel aus Gründen der Bandbreiteneinsparung durchgeführt. Bei Unternehmen, die ein geteiltes VPN verwenden, ist nur ein reduzierter Einblick in den Internetverkehr eines Benutzers möglich, einschließlich des Datenverkehrs von Angreifern und der Command-and-Control-
8. Bandbreitenüberwachung
Die IT-Sicherheitsanalysten von Vectra gehen davon aus, dass die Nutzung von VPNs stark zunehmen wird, da der Großteil der Benutzer eines Unternehmens zwar aus der Ferne arbeitet, aber immer noch Zugang zu denselben internen Ressourcen benötigt, wie bei der Arbeit im Büro. Das bedeutet, dass die VPN-Verfügbarkeit für das Funktionieren der Unternehmen von entscheidender Bedeutung sein wird und dass sie ein viel größeres Datenvolumen bewältigen muss, als dies normalerweise der Fall ist. Einige Verhaltensweisen wären normalerweise unkritisch und gutartig, wenn sie innerhalb eines Netzwerks ausgeführt würden, wie das Hören von Musikanwendungen auf einem PC während der Arbeit.
Bei einem VPN mit einem nichtgeteilten Tunnel könnte dies jedoch ein Problem darstellen. Ein solches VPN sendet den gesamten Internetverkehr durch das interne Netzwerk des Unternehmens und verbraucht dadurch große Mengen an Netzwerkbandbreite, was zur Erschöpfung der VPN-Ressourcen führt. Wenn die Benutzerbasis ein geteiltes VPN verwendet, können Analysten mit einer geringeren Sichtbarkeit des Nord-/Süd-Verkehrs rechnen. Bei einem geteilten VPN geht ein Teil des Datenverkehrs des Benutzers direkt in das Internet, ohne vorher die interne Infrastruktur der Unternehmen zu durchqueren.
Alle diese genannten Aktivitäten erfordern besondere Aufmerksamkeit und Verständnis seitens der Sicherheitsanalysten, die derzeit mit einer sich schnell verändernden Unternehmensumgebung konfrontiert sind.