Si un atacante puede establecer una conexión VPN a la red de la empresa
Lo que significa que su VPN es insegura por diseño, que las credenciales necesarias fueron robadas porque un usuario remoto o similar fue hackeado o que el atacante ha secuestrado el punto final de la VPN y se conecta directamente desde allí.
¿Cómo podemos detectar y monitorear tales eventos correctamente?
En este caso, el sistema de atacantes generalmente no es diferente de un sistema remoto legal, ya sea porque usa las credenciales de un sistema existente o es el sistema (secuestrado) en sí mismo. Podría descubrir que la conexión es de una dirección IP de origen inusual o en un horario habitual o que hay conexiones paralelas con las mismas credenciales, pero no hay mucho más que pueda hacer.
Al final, tienes que lidiar con este problema como con cualquier otro tipo de compromiso del sistema. No importa mucho si el atacante ingresó a través de la VPN, a través de malware transportado con correo electrónico de phishing o por medio de otras formas. Lo que importa es que el atacante está dentro de la red y causa daño. Si sabe cuál es el comportamiento normal en su red, puede monitorear la red para detectar actividades inusuales utilizando IDS (Sistemas de detección de intrusos) o BDS (Sistemas de detección de fallas), etc. Pero si no entiende lo que es normal en su red, entonces todo Lo que podría hacer es monitorear las vulnerabilidades comunes. Esto ofrece protección contra los atacantes que utilizan herramientas comunes pero no más.
No hay un sistema que pueda poner simplemente en la red y que lo haga completamente seguro. IDS y BDS o sistemas similares lo ayudarán, pero funcionarán mejor si realmente conoce su red.