Utilizatorii unei retele sunt o componenta importanta in strategia de securitate a oricarei organizatii si, in acelasi timp, componenta cea mai vulnerabila si dificil de protejat. Factorul uman este adesea usor de compromis de catre atacatori, iar acest fapt poate avea consecinte dezastruoase asupra companiei.
Este absolut necesar ca administratorii retelelor sa aiba vizibilitate asupra modului in care reteaua este folosita de catre utilizatori, mai ales ca unele activitati ca transferul de date in afara organizatiei folosind un hotspot sau conexiunea mobila sau rularea unor aplicatii instalate din surse neautorizate pica in zona numita shadow IT, ocolind astfel masurile de securitate implementate si expunand organizatia la atacuri cibernetice.
In plus, din ce in ce mai multi utilizatori isi desfasoara activitatea de pe dispozitive care nu sunt sub controlul organizatiei sau nu pornesc intotdeauna conexiunea VPN atunci cand muncesc remote, doua aspect majore care cresc lipsa vizibilitatii si riscurile la care este supusa organizatia.
Ca raspuns la aceste probleme, Cisco ofera o componenta software numita AnyConnect Network Visibility Module (NVM) care “face lumina” asupra comportamentului utilizatorului si a endpoint-ului acestuia. NVM colecteaza flow-uri de trafic de pe endpoint-uri, care pot fi on sau off-premises si informatii contextuale despre dispozitiv si despre utilizator, formand o amprenta digitala care poate ajuta departamentul IT sa inteleaga ce se intampla in retea.
Exodul abrupt de anul trecut din birou catre acasa reprezinta o schimbare de paradigma asupra modului in care se lucreaza, a lasat departamenele IT in intuneric total si a oferit un nou sens zicalei “singura constanta este schimbarea”.
NVM ajuta organizatiile sa raspuna la intrebari precum:
- ce tipuri de dispozitive si de sisteme de operare sunt folosite?
- sistemele de operare sunt cu patch-urile de securitate la zi sau sunt outdated?
- este cineva care exfiltreaza informatii confidentiale?
- exista procese neobisnuite care ruleaza?
- care sunt procesele care folosesc placa de retea?
- de ce sunt atat de multe conexiuni catre o destinatie?
- ce aplicatii functioneaza la pornirea sistemului cu privilegii de root/administrator si nu ar trebui?
- ce user este logat pe sistem?
- au fost escaladate privilegiile pe dispozitiv?
- cine incearca sa se conecteze la Active Directory?
- au fost vizitate domenii malitoase sau s-a instalat malware pe sistem?
Lista activitatilor suspecte poate continua, indiferent daca aceastea sunt neintentionate, executate fara stiinta utilizatorului sau de un atacator care a compromis dispozitivul sau cineva “suparat” din interiorul organizatiei.
Cisco AnyConnect NVM
Cisco AnyConnect NVM se integreaza cu Cisco Secure Network Analytics (fostul Stealthwatch) ca principala sursa de telemetrie pentru a oferi organizatiilor vizibilitate si continuitate in monitorizarea activitatilor remote fara a fi necesare datele traditionale de tip NetFlow. Indiferent daca utilizatorul lucreaza on-premises sau remote, fie acasa sau din oricare alta locatie, fara sa aiba neaparat conexiunea VPN pornita, activitatea sa si a dispozitivului sau este pastrata local. Atunci cand utilizatorul se conecteaza la reteaua VPN a companiei, modulul NVM “telefoneaza” acasa si trimite logurile despre activitatile inregistrate catre Secure Network Analytics.
Mai mult, informatiile colectate de NVM sunt trimise in format IPFIX. Acest aspect inseamna ca NVM este compatibil atat cu colectori de flow-uri Cisco, cat si cu platforme terte cum ar fi Splunk, IBM Qradar sau LiveAction.
Solutia oferita de NVM nu este despre analizarea fisierelor download-ate de utilizator, asa cum face o solutie de endpoint protection (un software antimalware ca Cisco Secure Endpoint, fostul AMP for Endpoints), ci este despre analizarea traficului de retea. Cele doua solutii sunt de fapt complementare, si aduc maxim de beneficii securitatii companiei atunci cand sunt folosite concurent.
In ciuda eforturilor de tranzitie inapoi la munca din birou si avand in vedere ca multe organizatii au adoptat deja modelul de munca hybrid, schimbarea de paradigma deja a avut loc – telemunca este aici sa ramana. Vizibilitatea asupra activitatii utilizatorului remote nu mai poate fi considerat un risc neglijabil care poate fi trecut cu vederea. La fel, nici solutiile de Network Detection and Response (NDR) nu mai pot fi privite ca “nice to have”, ci drept “need to have”. Acum, in contextual “noului normal”, cu utilizatori capabili sa munceasca de oriunde si de pe orice dispozitiv, nevoia de vizibitate nu a fost nicicand mai pregnanta.
Modulul AnyConnect NVM ofera solutia cea mai cuprinzatoare si granulara pentru monitorizarea continua a activitatii utilizatorului cu capabilitati excelente de a raporta asupra comportamentelor suspicioase sau anormale manifestate in retea.
Mihai Dumitrascu, Sr Systems Engineer