síťová infrastruktura je jádrem obchodních operací ve většině průmyslových odvětví. Lze jej považovat za nervové centrum celé IT organizace, protože centralizuje data, zjednodušuje výměnu dat a usnadňuje komunikaci mezi zaměstnanci.
je proto nezbytným nástrojem pro hladký chod organizací, který vyžaduje neustálou pozornost z hlediska bezpečnosti, aby se chránil před stále početnějšími a sofistikovanějšími vnějšími a vnitřními útoky.
síťová infrastruktura: konečným cílem kybernetických útoků
jediným problémem je, že kybernetické útoky na síťovou infrastrukturu stále rostou ve frekvenci, rozsahu a dopadu. Externí a interní servery, síťová zařízení a zařízení, pracovní stanice jsou zaměřeny na začínající a zkušené útočníky, protože všechny tyto subjekty mají stále příliš mnoho zranitelností: velký povrch útoku, nedostatek povědomí zaměstnanců, bezpečnostní nedostatky, špatný design, konfigurace a implementace, slabá bezpečnostní opatření atd.
žádný průmysl není ušetřen bezpečnostních incidentů, i když útočníci mají své vlastní preferované cíle. To platí zejména ve zdravotnictví, finanční a maloobchodní odvětví, bez ohledu na velikost organizací působících v těchto oblastech.
k zajištění bezpečnosti síťové infrastruktury proti těmto útokům jsou nezbytná specifická bezpečnostní opatření: snížení povrchu útoku, segmentace sítě, šifrování komunikace, povědomí uživatelů o útocích sociálního inženýrství, princip nejmenšího privilegia (PoLP), monitorování protokolu atd. Bezpečnostní audity nebo penetrační testy jsou také dobrým způsobem, jak odhalit existující nedostatky ve vaší počítačové síti, abyste je mohli opravit.
v tomto článku se zaměříme na běžné zranitelnosti (technické a organizační) nejčastěji využívané při Interních a externích útocích na síťovou infrastrukturu tím, že je ilustrujeme konkrétními případy, se kterými se setkáváme během našich penetračních testů. Budeme také podrobně popisovat osvědčené postupy a opatření, která mají být provedena, abychom snížili riziko nebo čelili těmto útokům.
jaké jsou běžné chyby zabezpečení v síťové infrastruktuře a jak se chránit?
Správa povrchu útoku a expozice rizik
všechny počítačové útoky obvykle začínají průzkumnou fází k identifikaci povrchu útoku cílové společnosti. Jinými slovy, útočníci shromažďují co nejvíce informací o Informačním systému, než zahájí útoky na potenciálně zranitelné subjekty. Povrch útoku je tedy součtem prvků vystavených uvnitř nebo vně vaší sítě, které mohou být napadeny a způsobit bezpečnostní incident: servery (interní i externí), aplikace, API, technologie, verze, komponenty, technické nebo osobní údaje atd.
všechny z nich mají potenciální zranitelnosti, které by neoprávněná osoba mohla po skenování portů nebo pečlivém vyhledávání na Googlu nebo na temném webu zneužít k proniknutí do vašeho informačního systému.
snížení povrchu útoku je klíčovým principem v kybernetické bezpečnosti, abyste se chránili před vnitřními a vnějšími útoky. K tomu jsou zapotřebí dvě akce: na jedné straně je nezbytné znát váš útočný povrch, a proto sestavit jeho kompletní mapu, která musí být také neustále aktualizována, protože se neustále vyvíjí systémová Architektura. Na druhou stranu je nutné zavést opatření k vytvrzení vašich systémů a sítí, aby se zmenšila vaše útočná Plocha.
mapování povrchu útoku znamená udržovat aktuální seznam všech vašich aktiv, jejich verzí, implementací a blokování v celém vašem informačním systému. Tato akce není příliš složitá. Nástroje jako shodan nebo censys usnadňují tento proces. Pouze u prvků, které nejsou uvedeny nebo neznámé, jako jsou nástroje používané vašimi zaměstnanci, možné úniky citlivých dokumentů nebo hesel, může být vhodné vyzvat specializovanou třetí stranu, aby provedla průzkumný audit a vypracovala vyčerpávající mapu vašeho útočného povrchu s cílem jeho zmenšení.
Chcete-li zmenšit plochu útoku po jeho identifikaci, mohou být akce pro zpevnění vašich systémů a sítí následující (neúplný seznam):
- Změna výchozích hesel všech vašich služeb a zařízení připojených k síti
- odinstalování nebo odebrání nepoužívaných aplikací, služeb a prostředí
- technické a technologické sledování nových verzí a zranitelností objevených v použitých součástech nebo službách třetích stran
- implementace zásady nejmenšího oprávnění při správě přístupových práv k serverům, aplikacím,databázím atd.
- segmentace sítě rozdělením kritických systémů a aplikací
- implementace vícefaktorového autentizačního systému ve vašich kritických aplikacích a systémech
nedostatek Interních segmentačních a otočných útoků
Většina sítí je nastavena jako ploché sítě, přičemž každý server a pracovní stanice běží na stejné místní síti (LAN), takže každá aplikace a systém v síti je schopen komunikovat a připojit se ke všemu jinému.
z bezpečnostního hlediska je třeba se tomuto typu praxe vyhnout, protože většina těchto systémů nemusí vzájemně komunikovat. Kromě toho, pokud je napadena plochá síť (útočníkem nebo malwarem) a jeden počítač je ohrožen, je ohrožen i celý informační systém. Tyto útoky skutečně používají metodu nazvanou „pivoting“, která spočívá v použití ohrožené entity pro přístup k dalším prvkům a volný pohyb v síti.
segmentace sítě je tedy nezbytným bezpečnostním opatřením, protože i když neumožňuje zabránit útokům, zůstává jedním z hlavních způsobů, jak snížit dopad úspěšného útoku. Princip je jednoduchý. Jak název napovídá, zahrnuje rozdělení počítačové sítě na menší síťové segmenty, které jsou od sebe izolovány ve virtuálních lokálních sítích (VLAN). To umožňuje seskupit aplikace, servery, pracovní stanice do síťových dílčích oddílů podle vašich bezpečnostních otázek a priorit, a zejména podle kritičnosti těchto systémů. Filtrování IP a brány firewall usnadňují rozdělení oblastí.
použití Wi-Fi může také poskytnout vstupní bod pro útok IT. V první řadě je nezbytné odlišit Wi-Fi připojení osobních nebo návštěvnických terminálů od připojení terminálů organizace (obvykle s hostujícím Wi-Fi) a poté filtrovat a omezit toky stanic připojujících se k síti Wi-Fi. Za tímto účelem lze ve vaší organizaci nastavit několik sítí Wi-Fi (každá z nich je samozřejmě rozdělena), aby se omezil přístup k určitým kritickým zdrojům a zároveň se zajistilo, že různé skupiny uživatelů ve vaší společnosti mají přístup pouze k nezbytným prvkům.
konkrétní příklad segmentačních testů provedených během penetračního testu šedé krabice na vnitřní síti. Jak byly testy prováděny v šedé krabici, pentester odpovědný za audit dostal přístup k hostujícímu Wi-Fi, aby otestoval segmentaci sítě:
- během testů, síť byla dobře rozdělena s výjimkou tiskárny dostupné uvnitř sítě: pentester, stejně jako všichni návštěvníci prostor klientské společnosti, tak mohl tisknout dokumenty
- administrační rozhraní tiskárny však bylo přístupné také prostřednictvím výchozích pověření
- pokud byla tato chyba zabezpečení zneužita škodlivým útočníkem, mohl tiskárnu použít jako vektor útoku ke kompromitaci vnitřní sítě.
- doporučením společnosti pentester proto bylo omezit přístup k tiskárně pouze na zaměstnance společnosti a změnit přihlašovací údaje pro administrační rozhraní
segmentace síťové architektury tak omezuje důsledky vniknutí do vymezeného obvodu informačního systému. V případě kybernetického útoku by nebyl možný boční pohyb útočníka nebo malwaru,čímž by se zabránilo šíření. Kromě toho, s více dílčími sítěmi, které samy o sobě fungují jako malé sítě, umožňuje správcům lépe řídit tok provozu mezi každou z nich, a proto snadněji pozorovat neobvyklé události.
přesto je důležité provést testy, aby se ověřilo, že segmentace nastavená tak, aby izolovala vaše kritické systémy a aplikace od sebe, je robustní. Interní síť pentest je nejúčinnějším způsobem, jak toho dosáhnout. Během penetračních testů se pentesters zaměřují na kontroly segmentace, a to jak zvenčí sítě, tak zevnitř sítě, aby identifikovali potenciální zranitelnosti (technické nedostatky, konfigurační nebo implementační nedostatky), které by mohly umožnit přístup ke kritickým systémům, aplikacím a datům.
interní penetrační test zajišťuje, že kritické systémy a aplikace nekomunikují s méně bezpečnými sítěmi. Cílem těchto testů je potvrdit, že segmentace funguje tak, jak bylo zamýšleno, a že neexistují žádné mezery, které by mohl útočník nebo malware zneužít.
nedostatek šifrování komunikace, čichání a útoky Man In the Middle
Některé interní sítě jsou nakonfigurovány tak, aby informace byly přenášeny v čistém textu, tj. Tyto informace mohou být ID účtu a přidružená hesla, citlivá data (osobní, bankovní atd.), architektonické dokumenty a další důležité informace atd. Taková praxe výrazně zvyšuje riziko ohrožení vašeho informačního systému externími útočníky (získáním přístupu do vaší sítě) a škodlivými zaměstnanci. Riziko je ještě větší pro sítě Wi-Fi, protože komunikace může být zachycena po celém obvodu pokrytém přístupovým bodem.
pokud je počítač v síti ohrožen, útočník může načíst všechny informace o vysílání pomocí softwaru, který odposlouchává síťový provoz, jako je wireshark. Tento proces je znám jako „čichání“.
aby se zvýšil dopad čichání, útočník se umístí do „muže uprostřed“ (MitM). Man in the Middle útoky, také známý jako špionážní útoky, sestávají z útočníka vloupání do informační transakce mezi dvěma počítači nebo servery, pomocí nástrojů, jako je Ettercap. Jakmile je útočník ve střední pozici, spustí Wireshark, aby poslouchal provoz, aby exfiltroval citlivé informace a data.
konkrétní případ, ke kterému došlo při penetračním testu šedé skříňky v interní síti:
- mapování sítě pomocí Nmap
- objev souborového serveru komunikujícího se smbv2
- muž uprostřed mezi tímto serverem a všemi stroji v síti pak pomocí wireshark zachycuje a analyzuje příchozí SMB komunikaci
- nešifrovaný přístup k souborům vyměňovaným mezi uživatelskými počítači a serverem (faktury, smlouvy, výplatní pásky, Strategické dokumenty atd.).)
vzhledem k rozsahu rizik čichání a útoků člověka ve středu je nezbytné šifrování informací cirkulujících v síti. Šifrování dat znamená, že je nesrozumitelné bez dešifrovacího klíče. Nejběžnějším bezpečnostním opatřením je přidání šifrovací vrstvy k existujícím protokolům (http, rtp, ftp atd.)pomocí protokolu SSL (https, sftp, srtp atd.). Ve výše popsaném konkrétním případě bylo doporučením pro opravu provedené po testech použití smbv3, tj. smbv2 ve spojení s protokolem SSL, který umožňuje šifrování, a proto zaručuje důvěrnost komunikace.
Správa přístupu a Identity
pokud jde o útoky na autentizační funkci, včetně útoků hrubou silou nebo postřiku heslem a eskalace oprávnění, mechanismy jsme již podrobně popsali v našem předchozím článku o zranitelnostech běžných webových aplikací. Můžete na něj tedy odkazovat, protože se vztahuje na všechny entity ve vaší síťové infrastruktuře, které jsou přístupné prostřednictvím ověřovacího systému. Kromě toho se vrátíme k útokům služby Active Directory ve vyhrazeném článku.
nedostatek protokolování a monitorování
nedostatek protokolování a monitorování je technická i organizační chyba, která umožňuje útočníkům udržet si svou pozici v síti co nejdéle.
stejně jako u segmentace sítě je důležité specifikovat, že správné postupy protokolování a monitorování nezajišťují maximální ochranu před útoky, ale zůstávají dobrým způsobem detekce neobvyklých událostí a vniknutí, a proto snižují jejich dopad. Jaké jsou hlavní principy a mechanismy?
většina prvků zapojených do komunikace v síti (výměna informací, výměna dat atd.) uchovávejte informace o tom. Ve skutečnosti všechny systémy a aplikace se systémem “ log “ všechny události, které se vyskytují. Podobně směrovače, proxy a brány firewall, jakož i přístupové body sledují každý paket. Tyto informace jsou pak spravovány systémem strojů, ke kterým každá z těchto entit patří. Je uložen po určitou dobu ve vyhrazených souborech, běžně nazývaných „protokoly“.
efektivní útočník vždy vymaže své stopy po ohrožení jednoho nebo více strojů v síti. To má skrýt jeho přítomnost před očima Správce ohrožené sítě a udržet jeho pozici co nejdéle na ohrožených strojích. Dobrá správa protokolů je proto velmi užitečná pro rychlou detekci narušení a efektivní reakci.
aby se usnadnila správa a využívání protokolů, měly by být centralizovány ve vnitřní oblasti serveru, aby se usnadnila správa. Poté je nutné implementovat programy (agenty) pro sledování a synchronizaci všech událostí uvedených v souborech protokolu na jiných počítačích.
to je důležité, protože v případě ohrožení stroje je pravděpodobné, že protokoly budou útočníkem zničeny. Centralizace, synchronizace a duplikování protokolů zajistí, že budete mít vždy kopii.
lidské nedostatky a útoky sociálního inženýrství
kromě technických nedostatků, problémů s konfigurací nebo implementací zůstává zranitelnost, kterou útočníci nejčastěji zneužívají k ohrožení informačního systému, lidská. Zaměstnanci vaší společnosti jsou stále nejslabším článkem vaší kybernetické bezpečnosti, útočníci to vědí a zprávy o úspěšných kybernetických útocích to dokazují!
zpráva IBM o statistice phishingových útoků ukazuje, že průměrné náklady na narušení dat v roce 2018 činily 3,9 milionu USD. A ve své zprávě o internetové kriminalitě v roce 2019 FBI odhadla, že útoky BEC (kompromis obchodních e – mailů-útoky, při nichž podvodníci vystupují jako vedoucí pracovníci společnosti nebo prodejci, aby přiměli zaměstnance k převodu plateb na bankovní účty ovládané útočníky) by stálo společnosti po celém světě asi 1, 6 miliardy eur.
princip útoků sociálního inženýrství je jednoduchý a jejich implementace nevyžaduje ve většině případů mnoho technických znalostí. Skládá se z útočníka, který se spoléhá na lidské psychologické zdroje a poté využívá sociální dovednosti k získání nebo kompromisu informací o společnosti nebo jejích IT systémech (aplikace, externí infrastruktura, interní síť, celý nebo část informačního systému k obnovení).
e-mail zůstává hlavním vektorem útoku. Pomocí phishingu, spear phishingu (phishing na omezené skupině lidí), spolu s vishingem (telefonní útoky), útočníci vědí, jak využít naši přirozenou zvědavost ,náš smysl pro povinnost,naše profesionální svědomí, naši náklonnost k výhodným smlouvám, přesvědčit nás, abychom klikli na odkaz nebo si stáhli přílohu. S klony rozhraní nebo malwarem se jim stále daří:
- zpronevěřit obrovské množství peněz
- získat ID uživatelů a hesla
- ukrást, zničit nebo změnit kritická data
- paralyzovat celý váš informační systém
v posledních letech došlo k mnoha příkladům úspěšných útoků sociálního inženýrství na malé, střední a velké společnosti. A důsledky jsou často zničující a nezvratné. Existují však jednoduché způsoby, jak omezit dopad útoků sociálního inženýrství.
- nejprve přemýšlejte a implementujte bezpečnostní strategii přizpůsobenou vašim výzvám a hrozbám. Šifrování všech vašich systémů, segmentace vaší sítě, důsledná správa přístupu a identit, redukce povrchu útoku, to vše jsou způsoby, jak čelit útokům nebo snížit jejich dopad.
- a především Otestujte robustnost svých systémů penetračními testy na vaší externí infrastruktuře nebo interní síti. Penetrační testy zůstávají nejlepším způsobem, jak otestovat bezpečnost vašich systémů proti externím a interním útočníkům. Princip je jednoduchý: identifikujte potenciální zranitelnosti a rychle je opravte, než je útočníci zneužijí. Testy penetrace externí infrastruktury umožňují vyhledávat zranitelnosti v komponentách IS otevřených zvenčí. Interní testování sítě spočívá v mapování sítě před provedením bezpečnostních testů na identifikovaných prvcích: servery, Wi-Fi, síťová zařízení, pracovní stanice atd. Zpráva vydaná po testech umožňuje pochopit mechanismy zjištěných zranitelností za účelem jejich reprodukce a opravy.
- poté proveďte testy sociálního inženýrství, a to buď interně, nebo prostřednictvím specializované třetí strany. To vám umožní vyhodnotit chování vašich zaměstnanců, když čelíte zdánlivě neškodným e-mailům, hovorům nebo fyzickým vniknutím do vašich prostor (např. pro uložení zachycených USB klíčů), ale s dramatickým dopadem, pokud jsou výsledkem zlých hackerů, na rozdíl od dobrých hackerů, kterými jsme. Výsledky těchto testů lze využít k optimalizaci informovanosti vašich týmů.
- nakonec musíte neustále zvyšovat povědomí a školit všechny své zaměstnance, protože kybernetická bezpečnost musí být záležitostí každého. Můžete organizovat setkání týmů pro zvyšování povědomí nebo provádět školení, které vám poskytnou specializované týmy na téma kybernetické bezpečnosti. Existují také školení třetích stran ke zvýšení povědomí o útocích sociálního inženýrství. Tyto netechnické vzdělávací kurzy usnadňují pochopení mechanismů kybernetických útoků prostřednictvím phishingu, vishingu, klonů rozhraní, ransomwaru a osvědčených postupů a postojů, které je třeba přijmout, aby se zabránilo užívání návnady.
kontaktujte nás pro jakékoli dotazy týkající se vzdělávacího projektu nebo penetračních testů na vaší externí infrastruktuře, interní síti nebo testech sociálního inženýrství. Probereme vaše potřeby a poskytneme vám zásah přizpůsobený vašim bezpečnostním výzvám a vašim omezením, ať už rozpočtovým nebo organizačním.