Någon annan som stött på detta problem? Några idéer?
Vi har ett par slutanvändare som använder privata VPN-tjänster (ProtonVPN, ExpressVPN, Nord), vilket utlöser SOC-varningar för ovanligt resande eller inloggningar utanför USA, etc.
Jag är medveten om oro kring att låta en klient installera appar, BYOD-enheter, etc, men undrar om ni har hanterat detta.
Vi stödjer helt enkelt inte detta, och är tydliga med att användning av dessa kan riskera avstängning av kontot som kräver support för att låsa upp och lösenordsåterställning.
Det händer vanligtvis bara en gång och medan support hjälper dem, erbjuder de också att avinstallera VPN-mjukvaran. Det besvär det orsakar är oftast tillräckligt.
Nä, vår SOC har inga problem med detta. Om det inte är ett godkänt land är de inte tillåtna. Sedan använder de historik för att avgöra om en användare är känd för att använda specifika VPN-tjänster och från specifika regioner oftast.
Vi blockerar autentiseringar med denna metod. MS håller en databas över VPN-tjänsters IP-adresser. - Blokering av inloggningar från Tor & andra anonyma proxyer i Microsoft 365 (linkedin.com)
Kolla något som Timus. Om de behöver SASE-säkerhet, varför inte tillhandahålla det? De får en fast IP för SMB och du kontrollerar regler och var/gatewayen finns. Det verkar vara en affärsmöjlighet, och när den väl är såld, försvinner andra utmaningar!
Jag skulle svartlista dem. Det finns ingen anledning att använda något som NordVPN på en företagsdator.
Annars är detta självförvållat av användaren. Ta ut klienten tid och utgifter för dessa händelser.
Varje ett av dessa produkter är en betydande risk. Jag förstår att kunder är svåra med dessa saker, då är svaret “tack för att du valde att avstå säkerhet, vi noterar det”.
Vi tillåter inte slutanvändare att installera programvara på sina maskiner.
Ja. Vi avinstallerar dem och slår användaren i huvudet.
Jag har sett detta med anställda som loggar in på M365 från sina personliga enheter. På grund av verksamhetens natur måste vi tillåta detta, men det är ganska begränsat. Jag hade en person som misslyckades några gånger via ett “onormalt IP”, och lyckades till slut logga in från samma IP. En timme senare kom han in från ett helt annat geo. Senare upprepades det. De flesta IP-erna var flaggade som dåliga IP från vårt hotintelligens-tillägg. När jag kollade var alla registrerade till tunnlebear VPN. Detta hände sent på natten tidigt på morgonen, så det var definitivt misstänksamt. Vi kontaktade honom utanför bandet och bekräftade att han inte hade VPN på sin dator eller telefon. Sedan återställde vi hans lösenord, stängde alla sessioner, satte upp MFA. (Detta var innan MFA infördes för frontlinjearbetare). Sedan, den natten… Samma skit igen, även med MFA. Grävde lite mer kring vad Tunnelbear är och det visade sig att McAffe köpte dem för några år sedan och har integrerat dem i vissa av sina konsumentinternet-säkerhetspaket. Så SIEM-larmen var på VPN-aktivitet för ovanligt källa IP och hotintelligens. Jag ser ibland en varning för ovanlig dataexfiltrering till en ovanlig IP eller geo.
Trevligt. Det är troligtvis den väg vi tar. 
Hej, jag utreder några av samma incidenter som inträffar. Jag kan inte verifiera med dussintals användare om de faktiskt använder VPN eller McAfee, men jag utforskar möjliga orsaker till att flera användare orsakar anomalösa tokenincidenter. Finns det några länkar du kan skicka mig om McAfee som integrerar TunnelBear i sina internetsäkerhetspaket? Jag kan bara hitta artiklar om hur de köpte TunnelBear. TIA
Det jag hittade är att de köpte dem. Sedan identifierade spur.us att tjänsten hette tunnlebear. Slutanvändaren fick reda på att han hade en McAfee-svit som hade en VPN, och när han stängde av den slutade trafiken komma från tunnlebear-tjänster.