netværksinfrastrukturen er kernen i forretningsdrift i de fleste brancher. Det kan betragtes som nervecentret for hele IT-organisationen, fordi det centraliserer data, forenkler dataudveksling og letter kommunikationen mellem medarbejderne.
det er derfor et vigtigt redskab til en smidig drift af organisationer, som kræver konstant opmærksomhed med hensyn til sikkerhed for at beskytte dig mod stadig flere og sofistikerede eksterne og interne angreb.
netværksinfrastruktur: det ultimative mål for cyberangreb
det eneste problem er, at cyberangreb på netværksinfrastrukturen fortsætter med at stige i frekvens, skala og effekt. Eksterne og interne servere, netværksenheder og udstyr, arbejdsstationer er målrettet af begyndere og erfarne angribere, fordi alle disse enheder stadig har for mange sårbarheder: stor angrebsflade, manglende medarbejderbevidsthed, sikkerhedsfejl, dårligt design, konfiguration og implementering, svage sikkerhedsforanstaltninger osv.
ingen industri er skånet for sikkerhedshændelser, selvom angribere har deres egne foretrukne mål. Dette er især tilfældet inden for sundheds -, Finans-og detailbranchen, uanset størrelsen af de organisationer, der opererer inden for disse områder.
for at sikre netværksinfrastrukturens sikkerhed mod disse angreb er specifikke sikkerhedsforanstaltninger nødvendige: reduktion af angrebsfladen, netværkssegmentering, kryptering af kommunikation, brugerbevidsthed om social engineering-angreb, princippet om mindst privilegium (PoLP), logovervågning osv. Sikkerhedsrevisioner eller penetrationstest er også en god måde at opdage eksisterende fejl i dit computernetværk for at rette dem.
i denne artikel vil vi fokusere på de fælles sårbarheder (tekniske og organisatoriske), der oftest udnyttes under interne og eksterne angreb på netværksinfrastrukturen ved at illustrere dem med konkrete tilfælde, der opstår under vores penetrationstest. Vi vil også specificere de bedste fremgangsmåder og foranstaltninger, der skal implementeres for at reducere risikoen eller imødegå disse angreb.
Hvad er de fælles sårbarheder i netværksinfrastrukturen og hvordan man beskytter dig selv?
angreb Overfladestyring og risikoeksponering
alle computerangreb starter normalt med en rekognosceringsfase for at identificere angrebsfladen for et målfirma. Med andre ord samler angribere så meget information om informationssystemet som muligt, inden de starter angreb på potentielt sårbare enheder. Angrebsfladen er derfor summen af de elementer, der er udsat i eller uden for dit netværk, der kan angribes for at forårsage en sikkerhedshændelse: servere (interne og eksterne), applikationer, API ‘ er, teknologier, versioner, komponenter, tekniske eller personlige data osv.
alle disse har potentielle sårbarheder, som en uautoriseret person kan udnytte efter en portscanning eller en omhyggelig søgning på Google eller det mørke internet for at bryde ind i dit informationssystem.
at reducere din angrebsoverflade er et nøgleprincip i cybersikkerhed for at beskytte dig mod interne og eksterne angreb. For at gøre dette kræves to handlinger: på den ene side er det vigtigt at kende din angrebsoverflade og derfor udarbejde et komplet kort over den, som også løbende skal opdateres, fordi en systemarkitektur konstant udvikler sig. På den anden side er det nødvendigt at gennemføre foranstaltninger til at hærde dine systemer og netværk for at reducere din angrebsoverflade.
kortlægning af din angrebsoverflade betyder at opretholde en opdateret liste over alle dine aktiver, deres versioner, implementeringer og sammenkobling i hele dit informationssystem. Denne handling er ikke særlig kompleks at udføre. Værktøjer som shodan eller censys letter denne proces. Kun for elementer, der ikke er angivet eller ukendt, såsom værktøjer, der bruges af dine medarbejdere , mulige lækager af følsomme dokumenter eller adgangskoder,, kan det være værd at opfordre en specialiseret tredjepart til at udføre en rekognosceringsrevision for at udarbejde et udtømmende kort over din angrebsoverflade med det formål at reducere det.
for at reducere din angrebsoverflade efter dens identifikation kan handlinger til hærdning af dine systemer og netværk være følgende (ikke-udtømmende liste):
- ændring af standardadgangskoder for alle dine tjenester og enheder, der er tilsluttet netværket
- afinstallation eller fjernelse af ubrugte applikationer, tjenester og miljøer
- teknisk og teknologisk overvågning af nye versioner og sårbarheder opdaget i anvendte tredjepartskomponenter eller-tjenester
- implementering af princippet om mindst privilegium til styring af adgangsrettigheder til servere, applikationer, databaser osv.
- segmentering af netværket ved partitionering af kritiske systemer og applikationer
- implementering af et multifaktorautentificeringssystem på dine kritiske applikationer og systemer
mangel på intern netværkssegmentering og drejelige angreb
de fleste netværk er konfigureret som flade netværk, hvor hver server og arbejdsstation kører på det samme lokale netværk (LAN), så hver applikation og system på netværket er i stand til at kommunikere og oprette forbindelse til alt andet.
fra et sikkerhedsmæssigt synspunkt bør denne type praksis undgås, da de fleste af disse systemer ikke behøver at interagere med hinanden. Desuden, hvis et fladt netværk angribes (af en angriber eller ondsindet program), og en maskine kompromitteres, er hele informationssystemet også i fare. Faktisk bruger disse angreb en metode kaldet “pivotering”, som består i at bruge en kompromitteret enhed til at få adgang til andre elementer og bevæge sig frit i netværket.
netværkssegmentering er således en vigtig sikkerhedsforanstaltning, for selvom det ikke gør det muligt at undgå angreb, forbliver det en af de vigtigste måder at reducere virkningen af et vellykket angreb på. Princippet er simpelt. Som navnet antyder, indebærer det at opdele et computernetværk i mindre netværkssegmenter, der er isoleret fra hinanden inden for virtuelle lokalnetværk (VLAN ‘ er). Dette gør det muligt at gruppere applikationer, servere, arbejdsstationer i netværksunderpartitioner i henhold til dine sikkerhedsproblemer og prioriteter, og især i henhold til kritikken af disse systemer. IP-filtrering og brandvægge gør det lettere at opdele områder.
brug af trådløst internet kan også give et indgangspunkt for et IT-angreb. Først og fremmest er det vigtigt at skelne de trådløse forbindelser mellem personlige terminaler eller besøgende terminaler fra organisationens terminaler (generelt med et trådløst internet) og derefter filtrere og begrænse strømmen af stationer, der forbinder til det trådløse netværk. For at gøre dette kan flere trådløse netværk konfigureres (hver enkelt åbenlyst partitioneret) i din organisation for at begrænse adgangen til visse kritiske ressourcer, samtidig med at det sikres, at kun de nødvendige elementer er tilgængelige for de forskellige brugergrupper i din virksomhed.
et konkret eksempel på segmenteringstest udført under en grå boks penetrationstest på et internt netværk. Da testene blev udført i grå boks, pentesteren, der var ansvarlig for revisionen, fik adgang til gæstens trådløse internetadgang for at teste segmenteringen af netværket:
- under testene var netværket godt opdelt bortset fra en printer, der var tilgængelig inde i netværket: pentesteren var ligesom alle besøgende på klientfirmaets lokaler således i stand til at udskrive dokumenter
- printerens administrationsgrænseflade var imidlertid også tilgængelig via standardoplysningerne
- hvis denne sårbarhed var blevet udnyttet af en ondsindet angriber, kunne han have brugt printeren som en angrebsvektor til at kompromittere det interne netværk.
- pentesterens anbefaling var derfor kun at begrænse adgangen til printeren til virksomhedens personale og ændre loginoplysningerne for administrationsgrænsefladen
således begrænser segmenteringen af netværksarkitekturen konsekvenserne af en indtrængen i en afgrænset omkreds af informationssystemet. I tilfælde af et cyberangreb ville sidebevægelse af angriberen eller ondsindet program være umulig og dermed forhindre udbredelse. Derudover giver flere undernetværk, der fungerer som små netværk i sig selv, administratorer mulighed for bedre at kontrollere trafikstrømmen mellem hver af dem og derfor lettere få øje på usædvanlige begivenheder.
ikke desto mindre er det vigtigt at udføre tests for at kontrollere, at segmenteringen, der er konfigureret til at isolere dine kritiske systemer og applikationer fra hinanden, er robust. Et internt netværk pentest er den mest effektive måde at gøre dette på. Under penetrationstestene fokuserer pentesterne på segmenteringskontrollerne, både uden for netværket og inde i netværket, for at identificere potentielle sårbarheder (tekniske fejl, konfigurations-eller implementeringsfejl), der kan give adgang til kritiske systemer, applikationer og data.
en intern penetrationstest sikrer, at kritiske systemer og applikationer ikke kommunikerer med mindre sikre netværk. Formålet med disse tests er at bekræfte, at segmenteringen fungerer efter hensigten, og at der ikke er nogen smuthuller, der kan udnyttes af en angriber eller ondsindet program.
manglende Kommunikationskryptering, Sniffing og man in the Middle-angreb
nogle interne netværk er konfigureret, så information transmitteres i klar tekst, dvs.ukrypteret. Disse oplysninger kan være konto-id ‘ er og tilknyttede adgangskoder, følsomme data (personlige, bankmæssige osv.), arkitektoniske dokumenter og anden kritisk information mv. En sådan praksis øger risikoen for, at dit informationssystem bliver kompromitteret af eksterne angribere (efter at have fået adgang til dit netværk) og ondsindede medarbejdere. Risikoen er endnu større for trådløse netværk, da kommunikation kan opfanges i hele omkredsen, der er dækket af adgangspunktet.
hvis en maskine på netværket er kompromitteret, kan en hacker hente alle udsendelsesoplysningerne ved hjælp af programmer, der aflytter netværkstrafik, f.eks. Denne proces er kendt som ‘sniffing’.
for at øge virkningen af sniffingen placerer angriberen sig i en “mand i midten” (MitM). Man in the Middle-angreb, også kendt som spionageangreb, består af en angriber, der bryder ind i en informationstransaktion mellem to maskiner eller servere ved hjælp af værktøjer som Ettercap. En gang i manden i mellempositionen lancerer angriberen Ledningerhark for at lytte til trafikken for at filtrere følsomme oplysninger og data.
en konkret sag, der opstod under en grå boks penetrationstest på et internt netværk:
- kortlægning af netværket med Nmap
- opdagelse af en filserver, der kommunikerer med smbv2
- mand i midten mellem denne server og alle maskinerne på netværket brug derefter trådark til at opfange og analysere indgående smb-kommunikation
- ukrypteret adgang til filer, der udveksles mellem brugermaskiner og serveren (fakturaer, kontrakter, lønsedler, strategiske dokumenter osv.)
i betragtning af omfanget af risikoen for sniffing og Man in the Middle-angreb er kryptering af information, der cirkulerer på netværket, nødvendig. Kryptering af data betyder at gøre det uforståeligt uden en dekrypteringsnøgle. Den mest almindelige sikkerhedsforanstaltning er at tilføje et krypteringslag til eksisterende protokoller (http, rtp, ftp osv.) ved hjælp af SSL-protokollen (https, sftp, srtp osv.). I det specifikke tilfælde, der er beskrevet ovenfor, var anbefalingen om korrektion efter testene brugen af smbv3, dvs.smbv2 kombineret med SSL-protokollen, som muliggør kryptering og derfor garanterer kommunikationshemmeligheden.
adgang og identitetsstyring
med hensyn til angreb på godkendelsesfunktionen, herunder brute force-angreb eller adgangskodesprøjtning og rettighedsforøgelse, har vi allerede detaljeret mekanismerne i vores tidligere artikel om almindelige sårbarheder i internetapplikationer. Du kan derfor henvise til det, da det gælder for alle enheder i din netværksinfrastruktur, der er tilgængelige via et godkendelsessystem. Derudover vil vi vende tilbage til Active Directory-angreb i en dedikeret artikel.
manglende logning og overvågning
manglen på logning og overvågning er både en teknisk og organisatorisk fejl, der gør det muligt for angribere at bevare deres position i et netværk så længe som muligt.
som med netværkssegmentering er det vigtigt at specificere, at god logning og overvågningspraksis ikke sikrer maksimal beskyttelse mod angreb, men de forbliver en god måde at opdage usædvanlige begivenheder og indtrængen på og derfor reducere deres indvirkning. Hvad er de vigtigste principper og mekanismer?
de fleste af de elementer, der er involveret i kommunikation inden for et netværk (informationsudveksling, dataudveksling osv.) hold oplysninger om det. Faktisk kører alle systemer og applikationer “log” alle hændelser, der opstår. Tilsvarende holder routere, fuldmagter og brandvægge samt adgangspunkter styr på hver pakke. Disse oplysninger styres derefter af systemet med de maskiner, som hver af disse enheder tilhører. Det gemmes i en bestemt periode i dedikerede filer, der ofte kaldes “logfiler”.
en effektiv angriber sletter altid sine spor efter at have kompromitteret en eller flere maskiner i et netværk. Dette er for at skjule hans tilstedeværelse fra administratoren af det kompromitterede netværk og for at bevare sin position så længe som muligt på de kompromitterede maskiner. God logstyring er derfor meget nyttig til hurtigt at opdage indtrængen og reagere effektivt.
for at lette forvaltningen og udnyttelsen af logfiler bør de centraliseres i det interne serverområde for at muliggøre lettere administration. Derefter er det nødvendigt at implementere programmer (agenter) til at overvåge og synkronisere alle de begivenheder, der er anført i dine logfiler på andre maskiner.
dette er vigtigt, fordi i tilfælde af en maskine bliver kompromitteret, er det sandsynligt, at logfilerne vil blive ødelagt af angriberen. Centralisering, synkronisering og duplikering af logfiler sikrer, at du altid har en kopi.
menneskelige mangler og socialtekniske angreb
ud over tekniske mangler, konfigurations-eller implementeringsproblemer forbliver sårbarheden, der oftest udnyttes af angribere til at kompromittere et informationssystem, menneskelig. Din virksomheds medarbejdere er stadig det svageste led i din cybersikkerhed, angribere ved dette, og nyheden om vellykkede cyberangreb beviser det!
en IBM-rapport om phishing-angrebsstatistikker viser, at de gennemsnitlige omkostninger ved et databrud i 2018 var $3,9 millioner. Og i deres Internetkriminalitetsrapport fra 2019 anslog FBI, at BEC – angreb (Business Email Compromise-angreb, hvor svindlere udgør som virksomhedsledere eller leverandører for at narre medarbejdere til at overføre betalinger til bankkonti kontrolleret af angriberne) ville have kostet virksomheder over hele verden omkring 1.6 milliarder.
princippet om social engineering angreb er simpelt, og deres gennemførelse kræver ikke meget teknisk viden i de fleste tilfælde. Den består af en angriber, der er afhængig af menneskelige psykologiske ressourcer og derefter bruger sociale færdigheder til at indhente eller kompromittere information om en virksomhed eller dens IT-systemer (applikationer, ekstern infrastruktur, internt netværk, hele eller en del af informationssystemet, der skal genoptages).
e-mail forbliver den vigtigste angrebsvektor. Ved hjælp af phishing, spear phishing (phishing på en begrænset gruppe af mennesker), kombineret med vishing (telefonangreb), angribere ved, hvordan man udnytter vores naturlige nysgerrighed, vores pligtfølelse, vores professionelle samvittighed, vores kærlighed til gode tilbud, at overtale os til at klikke på et link eller hente en vedhæftet fil. Med interface kloner eller ondsindet program, de stadig formår at:
- underslæb enorme mængder penge
- Hent bruger-id ‘ er og adgangskoder
- Stjæl, ødelæg eller ændre kritiske data
- lamme hele dit informationssystem
i de senere år har der været mange eksempler på vellykkede social engineering-angreb på små, mellemstore og store virksomheder. Og konsekvenserne er ofte ødelæggende og uoprettelige. Der er dog enkle måder at begrænse virkningen af social engineering angreb.
- tænk først og implementer en sikkerhedsstrategi tilpasset dine udfordringer og trusler. Kryptering af alle dine systemer, segmentering af dit netværk, streng styring af adgang og identiteter, reduktion af angrebsfladen er alle måder at modvirke angreb eller reducere deres indvirkning på.
- og frem for alt skal du teste robustheden i dine systemer med penetrationstest på din eksterne infrastruktur eller dit interne netværk. Penetrationstest er fortsat den bedste måde at teste sikkerheden i dine systemer mod eksterne og interne angribere. Princippet er enkelt: Identificer potentielle sårbarheder og korriger dem hurtigt, før de udnyttes af angribere. Eksterne infrastrukturpenetrationstest gør det muligt at søge efter sårbarheder i is-komponenter, der er åbne udefra. Intern netværkspentesting består i at kortlægge netværket, inden der udføres sikkerhedstest på de identificerede elementer: servere, trådløs internetadgang, netværksudstyr, arbejdsstationer osv. Rapporten udstedt efter testene gør det muligt at forstå mekanismerne for de opdagede sårbarheder for at reproducere og rette dem.
- derefter udføre social engineering tests, enten internt eller gennem en specialiseret tredjepart. Dette giver dig mulighed for at evaluere dine medarbejderes adfærd, når de står over for tilsyneladende harmløse e-mails, opkald eller fysiske indtrængen i dine lokaler (f.eks. til deponering af fangede USB-nøgler), men med en dramatisk indvirkning, hvis de er resultatet af onde hackere, i modsætning til de gode hackere, som vi er. Resultaterne af disse tests kan bruges til at optimere dine teams bevidsthed.
- endelig skal du løbende øge bevidstheden og træne alle dine medarbejdere, fordi cybersikkerhed skal være alles forretning. Du kan arrangere oplysningsholdsmøder eller gennemføre kurser, der tilbydes af dine specialiserede teams om cybersikkerhed. Der er også tredjeparts træningskurser for at øge bevidstheden om social engineering angreb. Disse ikke-tekniske kurser gør det lettere at forstå mekanismerne for cyberangreb gennem phishing, vishing, interface kloner, løsepenge, og de bedste fremgangsmåder og holdninger, der skal vedtages for at undgå at tage agnet.
Kontakt os for spørgsmål vedrørende et uddannelsesprojekt eller penetrationstest på din eksterne infrastruktur, dit interne netværk eller social engineering tests. Vi vil diskutere dine behov og give dig en intervention tilpasset dine sikkerhedsudfordringer og dine begrænsninger, hvad enten det er budgetmæssigt eller organisatorisk.