Die Netzwerkinfrastruktur ist in den meisten Branchen das Herzstück des Geschäftsbetriebs. Sie kann als Nervenzentrum der gesamten IT-Organisation betrachtet werden, da sie Daten zentralisiert, den Datenaustausch vereinfacht und die Kommunikation zwischen den Mitarbeitern erleichtert.
Es ist daher ein wesentliches Instrument für den reibungslosen Ablauf von Organisationen, das ständige Aufmerksamkeit in Bezug auf die Sicherheit erfordert, um sich vor immer zahlreicheren und raffinierteren externen und internen Angriffen zu schützen.
Netzwerkinfrastruktur: Das ultimative Ziel von Cyberangriffen
Das einzige Problem ist, dass Cyberangriffe auf die Netzwerkinfrastruktur in Häufigkeit, Umfang und Auswirkungen weiter zunehmen. Externe und interne Server, Netzwerkgeräte und -geräte sowie Workstations werden von unerfahrenen und erfahrenen Angreifern angegriffen, da alle diese Entitäten immer noch zu viele Schwachstellen aufweisen: große Angriffsfläche, mangelndes Bewusstsein der Mitarbeiter, Sicherheitslücken, schlechtes Design, Konfiguration und Implementierung, schwache Sicherheitsmaßnahmen usw.
Keine Branche bleibt von Sicherheitsvorfällen verschont, auch wenn Angreifer ihre eigenen bevorzugten Ziele haben. Dies gilt insbesondere für die Branchen Gesundheitswesen, Finanzen und Einzelhandel, unabhängig von der Größe der in diesen Bereichen tätigen Organisationen.
Um die Sicherheit der Netzwerkinfrastruktur gegen diese Angriffe zu gewährleisten, sind spezifische Sicherheitsmaßnahmen erforderlich: Reduzierung der Angriffsfläche, Netzwerksegmentierung, Verschlüsselung der Kommunikation, Sensibilisierung der Benutzer für Social-Engineering-Angriffe, Prinzip der geringsten Berechtigung (PoLP), Protokollüberwachung usw. Sicherheitsaudits oder Penetrationstests sind auch eine gute Möglichkeit, vorhandene Fehler in Ihrem Computernetzwerk zu erkennen, um sie zu beheben.
In diesem Artikel werden wir uns auf die häufigsten Schwachstellen (technisch und organisatorisch) konzentrieren, die bei internen und externen Angriffen auf die Netzwerkinfrastruktur am häufigsten ausgenutzt werden, indem wir sie anhand konkreter Fälle veranschaulichen, die bei unseren Penetrationstests aufgetreten sind. Wir werden auch die Best Practices und Maßnahmen beschreiben, die implementiert werden müssen, um das Risiko zu verringern oder diesen Angriffen entgegenzuwirken.
Was sind die häufigsten Schwachstellen in der Netzwerkinfrastruktur und wie können Sie sich schützen?
Management der Angriffsfläche und Risikoexposition
Alle Computerangriffe beginnen in der Regel mit einer Aufklärungsphase, um die Angriffsfläche eines Zielunternehmens zu identifizieren. Mit anderen Worten, Angreifer sammeln so viele Informationen wie möglich über das Informationssystem, bevor sie Angriffe auf potenziell gefährdete Entitäten starten. Die Angriffsfläche ist daher die Summe der Elemente innerhalb oder außerhalb Ihres Netzwerks, die angegriffen werden können, um einen Sicherheitsvorfall zu verursachen: server (intern und extern), Anwendungen, APIs, Technologien, Versionen, Komponenten, technische oder personenbezogene Daten usw.
Alle diese haben potenzielle Schwachstellen, die eine unbefugte Person nach einem Port-Scan oder einer sorgfältigen Suche bei Google oder im Dark Web ausnutzen könnte, um in Ihr Informationssystem einzudringen.
Die Reduzierung Ihrer Angriffsfläche ist ein Schlüsselprinzip in der Cybersicherheit, um sich vor internen und externen Angriffen zu schützen. Dazu sind zwei Aktionen erforderlich: zum einen ist es essentiell, seine Angriffsfläche zu kennen und damit eine vollständige Landkarte davon zu erstellen, die auch ständig aktualisiert werden muss, weil sich eine Systemarchitektur ständig weiterentwickelt. Auf der anderen Seite ist es notwendig, Maßnahmen zu ergreifen, um Ihre Systeme und Netzwerke zu härten, um Ihre Angriffsfläche zu reduzieren.
Die Abbildung Ihrer Angriffsfläche bedeutet, eine aktuelle Liste aller Ihrer Assets, ihrer Versionen, Implementierungen und Verzahnungen in Ihrem gesamten Informationssystem zu führen. Diese Aktion ist nicht sehr komplex durchzuführen. Tools wie shodan oder censys erleichtern diesen Prozess. Nur für Elemente, die nicht aufgeführt oder unbekannt sind, wie z. B. von Ihren Mitarbeitern verwendete Tools, mögliche Lecks sensibler Dokumente oder Passwörter, kann es sich lohnen, einen spezialisierten Dritten mit einem Aufklärungsaudit zu beauftragen, um eine umfassende Karte Ihrer Angriffsfläche zu erstellen, um sie zu reduzieren.
Um Ihre Angriffsfläche nach ihrer Identifizierung zu reduzieren, können die folgenden Aktionen zum Härten Ihrer Systeme und Netzwerke ausgeführt werden (nicht erschöpfende Liste):
- Ändern der Standardkennwörter aller mit dem Netzwerk verbundenen Dienste und Geräte
- Deinstallieren oder Entfernen nicht verwendeter Anwendungen, Dienste und Umgebungen
- Technische und technologische Überwachung neuer Versionen und Schwachstellen, die in verwendeten Komponenten oder Diensten von Drittanbietern entdeckt wurden
- Implementierung des Prinzips der geringsten Berechtigung bei der Verwaltung von Zugriffsrechten auf Server, Anwendungen, Datenbanken usw.
- Segmentierung des Netzwerks durch Partitionierung kritischer Systeme und Anwendungen
- Implementierung eines Multi-Faktor-Authentifizierungssystems für Ihre kritischen Anwendungen und Systeme
Fehlende interne Netzwerksegmentierung und Pivoting-Angriffe
Die meisten Netzwerke sind als flache Netzwerke eingerichtet, wobei jeder Server und jede Workstation im selben lokalen Netzwerk (LAN) ausgeführt wird, sodass jede Anwendung und jedes System im Netzwerk kommunizieren und eine Verbindung herstellen kann alles andere.
Aus Sicherheitsgründen sollte diese Art von Praxis vermieden werden, da die meisten dieser Systeme nicht miteinander interagieren müssen. Wenn ein flaches Netzwerk angegriffen wird (durch einen Angreifer oder Malware) und eine Maschine kompromittiert wird, ist auch das gesamte Informationssystem gefährdet. Tatsächlich verwenden diese Angriffe eine Methode namens „Pivoting“, bei der eine kompromittierte Entität verwendet wird, um auf andere Elemente zuzugreifen und sich frei im Netzwerk zu bewegen.
Daher ist die Netzwerksegmentierung eine wesentliche Sicherheitsmaßnahme, denn auch wenn Angriffe nicht vermieden werden können, bleibt sie eine der wichtigsten Möglichkeiten, die Auswirkungen eines erfolgreichen Angriffs zu verringern. Das Prinzip ist einfach. Wie der Name schon sagt, wird ein Computernetzwerk in kleinere Netzwerksegmente unterteilt, die innerhalb virtueller lokaler Netzwerke (VLANs) voneinander isoliert sind. Auf diese Weise können Anwendungen, Server und Workstations entsprechend Ihren Sicherheitsproblemen und -prioritäten und insbesondere entsprechend der Kritikalität dieser Systeme in Netzwerkunterpartitionen gruppiert werden. IP-Filterung und Firewalls erleichtern die Partitionierung von Bereichen.
Die Verwendung von WLAN kann auch einen Einstiegspunkt für einen IT-Angriff bieten. Zunächst ist es wichtig, die Wi-Fi-Verbindungen von persönlichen oder Besucherterminals von denen der Terminals der Organisation (in der Regel mit einem Gast-Wi-Fi) zu unterscheiden und dann die Ströme von Stationen, die sich mit dem Wi-Fi-Netzwerk verbinden, zu filtern und einzuschränken. Zu diesem Zweck können in Ihrem Unternehmen mehrere Wi-Fi-Netzwerke eingerichtet werden (jedes offensichtlich partitioniert), um den Zugriff auf bestimmte kritische Ressourcen einzuschränken und gleichzeitig sicherzustellen, dass nur auf die erforderlichen Elemente von den verschiedenen Benutzergruppen in Ihrem Unternehmen zugegriffen wird.
Ein konkretes Beispiel für Segmentierungstests, die während eines Grey-Box-Penetrationstests in einem internen Netzwerk durchgeführt wurden. Da die Tests in Grey Box durchgeführt wurden, erhielt der für das Audit zuständige Pentester Zugriff auf das Gast-WLAN, um die Segmentierung des Netzwerks zu testen:
- Während der Tests war das Netzwerk bis auf einen im Netzwerk verfügbaren Drucker gut partitioniert: der Pentester konnte somit, wie alle Besucher des Kundenunternehmens, Dokumente drucken
- Die Administrationsoberfläche des Druckers war jedoch auch über die Standardanmeldeinformationen zugänglich
- Wenn diese Sicherheitsanfälligkeit von einem böswilligen Angreifer ausgenutzt worden wäre, hätte er den Drucker als Angriffsvektor verwenden können, um das interne Netzwerk zu kompromittieren.
- Die Empfehlung des Pentesters lautete daher, den Zugriff auf den Drucker nur auf Firmenpersonal zu beschränken und die Anmeldeinformationen für die Administrationsoberfläche zu ändern
Die Segmentierung der Netzwerkarchitektur begrenzt somit die Folgen eines Eindringens auf einen begrenzten Umfang des Informationssystems. Im Falle eines Cyberangriffs wäre eine seitliche Bewegung des Angreifers oder der Malware unmöglich und somit eine Ausbreitung verhindert. Darüber hinaus können Administratoren mit mehreren Subnetzwerken, die selbst als kleine Netzwerke fungieren, den Verkehrsfluss zwischen den einzelnen Netzwerken besser steuern und somit ungewöhnliche Ereignisse leichter erkennen.
Dennoch ist es wichtig, Tests durchzuführen, um sicherzustellen, dass die Segmentierung, die eingerichtet wurde, um Ihre kritischen Systeme und Anwendungen voneinander zu isolieren, robust ist. Ein interner Netzwerk-Pentest ist der effektivste Weg, dies zu tun. Während der Penetrationstests konzentrieren sich die Pentester auf die Segmentierungskontrollen, sowohl von außerhalb des Netzwerks als auch von innerhalb des Netzwerks, um potenzielle Schwachstellen (technische Fehler, Konfigurations- oder Implementierungsfehler) zu identifizieren, die den Zugriff auf kritische Systeme, Anwendungen und Daten ermöglichen könnten.
Ein interner Penetrationstest stellt sicher, dass kritische Systeme und Anwendungen nicht mit weniger sicheren Netzwerken kommunizieren. Ziel dieser Tests ist es, zu bestätigen, dass die Segmentierung wie beabsichtigt funktioniert und dass es keine Lücken gibt, die von einem Angreifer oder Malware ausgenutzt werden könnten.
Fehlende Kommunikationsverschlüsselung, Sniffing und Man-In-The-Middle-Angriffe
Einige interne Netzwerke sind so konfiguriert, dass Informationen im Klartext, d. H. unverschlüsselt, übertragen werden. Diese Informationen können Konto-IDs und zugehörige Passwörter, sensible Daten (persönliche Daten, Bankdaten usw.) sein.), Architekturdokumente und andere kritische Informationen, etc. Eine solche Vorgehensweise erhöht das Risiko, dass Ihr Informationssystem von externen Angreifern (die Zugriff auf Ihr Netzwerk erhalten haben) und böswilligen Mitarbeitern kompromittiert wird, erheblich. Für Wi-Fi-Netzwerke ist das Risiko noch größer, da die Kommunikation über den gesamten vom Zugangspunkt abgedeckten Umfang abgefangen werden kann.
Wenn ein Computer im Netzwerk kompromittiert ist, kann ein Angreifer alle Broadcast-Informationen abrufen, indem er Software verwendet, die den Netzwerkverkehr abhört, z. B. Wireshark. Dieser Vorgang wird als ‚Sniffing‘ bezeichnet.
Um die Wirkung des Schnüffelns zu verstärken, stellt sich der Angreifer in einen „Mann in der Mitte“ (MitM). Man-in-the-Middle-Angriffe, auch Spionageangriffe genannt, bestehen darin, dass ein Angreifer mit Tools wie Ettercap in eine Informationstransaktion zwischen zwei Computern oder Servern einbricht. Sobald sich der Angreifer in der mittleren Position befindet, startet er Wireshark, um den Datenverkehr abzuhören und vertrauliche Informationen und Daten zu exfiltrieren.
Ein konkreter Fall während eines Grey Box Penetrationstests in einem internen Netzwerk:
- Mapping des Netzwerks mit Nmap
- Entdeckung eines Dateiservers, der mit smbv2 kommuniziert
- Mann In der Mitte zwischen diesem Server und allen Maschinen im Netzwerk Verwenden Sie dann wireshark, um eingehende SMB-Kommunikation abzufangen und zu analysieren
- Unverschlüsselter Zugriff auf Dateien, die zwischen Benutzercomputern und dem Server ausgetauscht werden (Rechnungen, Verträge, Gehaltsabrechnungen, strategische Dokumente usw.)
Angesichts des Ausmaßes der Risiken von Sniffing- und Man-In-the-Middle-Angriffen ist die Verschlüsselung der im Netzwerk zirkulierenden Informationen erforderlich. Daten verschlüsseln bedeutet, sie ohne Entschlüsselungsschlüssel unverständlich zu machen. Die häufigste Sicherheitsmaßnahme besteht darin, vorhandenen Protokollen (http, rtp, ftp usw.) eine Verschlüsselungsschicht hinzuzufügen.) unter Verwendung des SSL-Protokolls (https, sftp, srtp usw.). In dem oben beschriebenen speziellen Fall wurde nach den Tests die Verwendung von smbv3 empfohlen, d. H. smbv2 in Verbindung mit dem SSL-Protokoll, das die Verschlüsselung ermöglicht und somit die Vertraulichkeit der Kommunikation garantiert.
Zugriffs- und Identitätsmanagement
In Bezug auf Angriffe auf die Authentifizierungsfunktion, einschließlich Brute-Force-Angriffen oder Passwort-Spraying, und die Eskalation von Berechtigungen haben wir die Mechanismen bereits in unserem vorherigen Artikel über häufige Schwachstellen in Webanwendungen beschrieben. Sie können daher darauf verweisen, da es für alle Entitäten in Ihrer Netzwerkinfrastruktur gilt, auf die über ein Authentifizierungssystem zugegriffen werden kann. Darüber hinaus werden wir in einem speziellen Artikel auf Active Directory-Angriffe zurückkommen.
Fehlende Protokollierung und Überwachung
Die fehlende Protokollierung und Überwachung ist sowohl ein technischer als auch ein organisatorischer Fehler, der es Angreifern ermöglicht, ihre Position in einem Netzwerk so lange wie möglich zu halten.
Wie bei der Netzwerksegmentierung ist es wichtig zu spezifizieren, dass gute Protokollierungs- und Überwachungspraktiken keinen maximalen Schutz vor Angriffen gewährleisten, aber sie bleiben eine gute Möglichkeit, ungewöhnliche Ereignisse und Eingriffe zu erkennen und daher deren Auswirkungen zu verringern. Was sind die wichtigsten Prinzipien und Mechanismen?
Die meisten Elemente, die an der Kommunikation innerhalb eines Netzwerks beteiligt sind (Informationsaustausch, Datenaustausch usw.) halten Sie Informationen darüber. In der Tat „protokollieren“ alle ausgeführten Systeme und Anwendungen alle auftretenden Ereignisse. Ebenso verfolgen Router, Proxys und Firewalls sowie Access Points jedes Paket. Diese Informationen werden dann vom System der Maschinen verwaltet, zu denen jede dieser Entitäten gehört. Es wird für einen bestimmten Zeitraum in dedizierten Dateien gespeichert, die allgemein als „Protokolle“ bezeichnet werden.
Ein effizienter Angreifer löscht immer seine Spuren, nachdem er eine oder mehrere Maschinen in einem Netzwerk kompromittiert hat. Dies dient dazu, seine Anwesenheit vor den Augen des Administrators des kompromittierten Netzwerks zu verbergen und seine Position so lange wie möglich auf den kompromittierten Computern aufrechtzuerhalten. Eine gute Protokollverwaltung ist daher sehr nützlich, um Eindringlinge schnell zu erkennen und effektiv zu reagieren.
Um die Verwaltung und Nutzung von Protokollen zu erleichtern, sollten sie im internen Serverbereich zentralisiert werden, um die Verwaltung zu erleichtern. Dann ist es notwendig, Programme (Agenten) zu implementieren, um alle in Ihren Protokolldateien aufgeführten Ereignisse auf anderen Computern zu überwachen und zu synchronisieren.
Dies ist wichtig, da im Falle einer Kompromittierung eines Computers die Protokolle wahrscheinlich vom Angreifer zerstört werden. Durch das Zentralisieren, Synchronisieren und Duplizieren von Protokollen haben Sie immer eine Kopie.
Menschliche Fehler und Social-Engineering-Angriffe
Abgesehen von technischen Fehlern, Konfigurations- oder Implementierungsproblemen bleibt die Sicherheitsanfälligkeit, die Angreifer am häufigsten ausnutzen, um ein Informationssystem zu kompromittieren, menschlich. Die Mitarbeiter Ihres Unternehmens sind immer noch das schwächste Glied in Ihrer Cybersicherheit, Angreifer wissen das und die Nachricht von erfolgreichen Cyberangriffen beweist es!
Ein IBM-Bericht über Phishing-Angriffsstatistiken zeigt, dass die durchschnittlichen Kosten einer Datenverletzung im Jahr 2018 3,9 Millionen US-Dollar betrugen. Und in ihrem Internet Crime Report 2019 schätzte das FBI, dass BEC-Angriffe (Business Email Compromise – Angriffe, bei denen sich Betrüger als Führungskräfte oder Verkäufer von Unternehmen ausgeben, um Mitarbeiter dazu zu bringen, Zahlungen auf von den Angreifern kontrollierte Bankkonten zu überweisen) Unternehmen auf der ganzen Welt etwa 1,6 Milliarden € gekostet hätten.
Das Prinzip von Social-Engineering-Angriffen ist einfach, und ihre Implementierung erfordert in den meisten Fällen nicht viel technisches Wissen. Es besteht aus einem Angreifer, der sich auf menschliche psychologische Ressourcen verlässt und dann soziale Fähigkeiten einsetzt, um Informationen über ein Unternehmen oder seine IT-Systeme (Anwendungen, externe Infrastruktur, internes Netzwerk, das gesamte oder einen Teil des Informationssystems) zu erhalten oder zu kompromittieren Fortsetzen).
E-Mail bleibt der Hauptangriffsvektor. Mit Phishing, Spear-Phishing (Phishing auf eine eingeschränkte Gruppe von Personen) und Vishing (Telefonangriffe) wissen Angreifer, wie sie unsere natürliche Neugier, unser Pflichtgefühl, unser berufliches Gewissen und unsere Zuneigung zu Schnäppchen ausnutzen können Überreden Sie uns, auf einen Link zu klicken oder einen Anhang herunterzuladen. Mit Interface-Klonen oder Malware schaffen sie es immer noch:
- Riesige Geldbeträge veruntreuen
- Benutzer-IDs und Passwörter erhalten
- Kritische Daten stehlen, zerstören oder verändern
- Lähmen Sie Ihr gesamtes Informationssystem
In den letzten Jahren gab es viele Beispiele für erfolgreiche Social-Engineering-Angriffe auf kleine, mittlere und große Unternehmen. Und die Folgen sind oft verheerend und irreversibel. Es gibt jedoch einfache Möglichkeiten, die Auswirkungen von Social-Engineering-Angriffen zu begrenzen.
- Denken und implementieren Sie zunächst eine Sicherheitsstrategie, die an Ihre Herausforderungen und Bedrohungen angepasst ist. Verschlüsselung aller Ihrer Systeme, Segmentierung Ihres Netzwerks, rigoroses Management von Zugriffen und Identitäten, Reduzierung der Angriffsfläche sind alles Möglichkeiten, Angriffen entgegenzuwirken oder ihre Auswirkungen zu verringern.
- Und testen Sie vor allem die Robustheit Ihrer Systeme mit Penetrationstests auf Ihrer externen Infrastruktur oder Ihrem internen Netzwerk. Penetrationstests bleiben der beste Weg, um die Sicherheit Ihrer Systeme gegen externe und interne Angreifer zu testen. Das Prinzip ist einfach: Identifizieren Sie potenzielle Schwachstellen und beheben Sie diese schnell, bevor sie von Angreifern ausgenutzt werden. Externe Infrastruktur-Penetrationstests ermöglichen die Suche nach Schwachstellen in nach außen offenen IS-Komponenten. Das interne Netzwerk-Pentesting besteht darin, das Netzwerk abzubilden, bevor Sicherheitstests an den identifizierten Elementen durchgeführt werden: Server, WLAN, Netzwerkgeräte, Workstations usw. Der nach den Tests veröffentlichte Bericht ermöglicht es, die Mechanismen der entdeckten Schwachstellen zu verstehen, um sie zu reproduzieren und zu beheben.
- Führen Sie dann Social-Engineering-Tests durch, entweder intern oder über einen spezialisierten Dritten. Auf diese Weise können Sie das Verhalten Ihrer Mitarbeiter bewerten, wenn Sie mit scheinbar harmlosen E-Mails, Anrufen oder physischen Eingriffen in Ihre Räumlichkeiten konfrontiert werden (z. B. für die Hinterlegung von eingeschlossenen USB-Sticks), aber mit dramatischen Auswirkungen, wenn sie das Ergebnis böser Hacker sind, im Gegensatz zu den guten Hackern, die wir sind. Die Ergebnisse dieser Tests können verwendet werden, um das Bewusstsein Ihrer Teams zu optimieren.
- Schließlich müssen Sie alle Ihre Mitarbeiter kontinuierlich sensibilisieren und schulen, denn Cybersicherheit muss jedermanns Sache sein. Sie können Teambesprechungen zur Sensibilisierung organisieren oder Schulungen durchführen, die von Ihren spezialisierten Teams zum Thema Cybersicherheit angeboten werden. Es gibt auch Schulungen von Drittanbietern, um das Bewusstsein für Social-Engineering-Angriffe zu schärfen. Diese nicht-technischen Schulungen erleichtern das Verständnis der Mechanismen von Cyberangriffen durch Phishing, Vishing, Schnittstellenklone, Ransomware sowie der Best Practices und Haltungen, um den Köder nicht zu ergreifen.
Kontaktieren Sie uns bei Fragen zu einem Schulungsprojekt oder Penetrationstests auf Ihrer externen Infrastruktur, Ihrem internen Netzwerk oder Social Engineering Tests. Wir werden Ihre Bedürfnisse besprechen und Ihnen eine Intervention anbieten, die an Ihre Sicherheitsherausforderungen und Ihre budgetären oder organisatorischen Einschränkungen angepasst ist.