verkkoinfrastruktuuri on liiketoiminnan ydin useimmilla toimialoilla. Sitä voidaan pitää koko IT-organisaation hermokeskuksena, koska se keskittää dataa, yksinkertaistaa tiedonvaihtoa ja helpottaa työntekijöiden välistä viestintää.
se on näin ollen olennainen väline organisaatioiden moitteettoman toiminnan kannalta, mikä edellyttää jatkuvaa huomiota turvallisuuden kannalta, jotta voidaan suojautua yhä lukuisammilta ja kehittyneemmiltä ulkoisilta ja sisäisiltä hyökkäyksiltä.
verkkoinfrastruktuuri: kyberhyökkäysten lopullinen tavoite
ainoa ongelma on, että verkkoinfrastruktuuriin kohdistuvat kyberhyökkäykset lisääntyvät edelleen tiheydeltään, laajuudeltaan ja vaikutuksiltaan. Ulkoiset ja sisäiset palvelimet, verkkolaitteet ja-laitteet, työasemat, ovat noviisien ja kokeneiden hyökkääjien kohteena, koska kaikilla näillä yksiköillä on edelleen liikaa haavoittuvuuksia: suuri hyökkäyspinta, työntekijöiden tietoisuuden puute, tietoturvavirheet, huono suunnittelu, kokoonpano ja toteutus, heikot turvatoimet jne.
mikään toimiala ei säästy turvallisuushäiriöiltä, vaikka hyökkääjillä olisi omat suosikkikohteensa. Tämä koskee erityisesti terveydenhuolto -, rahoitus-ja vähittäiskauppaa riippumatta näiden alojen organisaatioiden koosta.
verkkoinfrastruktuurin turvallisuuden varmistamiseksi näitä hyökkäyksiä vastaan tarvitaan erityisiä turvatoimia: hyökkäyspinnan vähentäminen, verkon segmentointi, viestinnän salaus, käyttäjien tietoisuus sosiaalisen suunnittelun hyökkäyksistä, vähimmän etuoikeuden periaate (PoLP), lokin valvonta jne. Tietoturva-auditoinnit tai tunkeutumistestit ovat myös hyvä tapa havaita tietokoneverkkosi nykyiset puutteet niiden korjaamiseksi.
tässä artikkelissa keskitymme yleisiin haavoittuvuuksiin (teknisiin ja organisatorisiin), joita useimmiten käytetään verkkoinfrastruktuuriin kohdistuvissa sisäisissä ja ulkoisissa hyökkäyksissä, havainnollistamalla niitä tunkeutumistesteissämme havaituilla konkreettisilla tapauksilla. Kerromme myös yksityiskohtaisesti parhaista käytännöistä ja toimenpiteistä, joita on toteutettava näiden hyökkäysten riskin vähentämiseksi tai torjumiseksi.
mitkä ovat yleiset haavoittuvuudet Verkkoinfrastruktuurissa ja miten suojautua?
hyökkäyspinnan hallinta ja riskialttius
kaikki tietokonehyökkäykset alkavat yleensä tiedusteluvaiheella kohdeyrityksen hyökkäyspinnan tunnistamiseksi. Toisin sanoen hyökkääjät keräävät tietojärjestelmästä mahdollisimman paljon tietoa ennen hyökkäysten aloittamista mahdollisesti haavoittuviin tahoihin. Hyökkäyspinta on siis verkon sisä-tai ulkopuolella paljastuvien elementtien summa, johon voidaan hyökätä tietoturvaongelman aiheuttamiseksi: palvelimet (sisäiset ja ulkoiset), sovellukset, API: t, teknologiat, versiot, komponentit, TEKNISET tai henkilötiedot jne.
kaikissa näissä on mahdollisia haavoittuvuuksia, joita valtuuttamaton henkilö voisi hyödyntää porttiskannauksen tai huolellisen haun jälkeen Googlessa tai pimeässä verkossa murtautuakseen tietojärjestelmääsi.
hyökkäyspinnan pienentäminen on kyberturvallisuuden keskeinen periaate, jolla suojaudutaan sisäisiltä ja ulkoisilta hyökkäyksiltä. Tätä varten tarvitaan kaksi toimenpidettä: toisaalta on oleellista tuntea hyökkäyspinta ja siksi laatia siitä täydellinen kartta, jota on myös päivitettävä jatkuvasti, koska järjestelmäarkkitehtuuri kehittyy jatkuvasti. Toisaalta on tarpeen toteuttaa toimenpiteitä järjestelmien ja verkkojen koventamiseksi hyökkäyspinnan vähentämiseksi.
Hyökkäyspintasi kartoittaminen tarkoittaa sitä, että koko tietojärjestelmässäsi ylläpidetään ajantasaista luetteloa kaikista resursseistasi, niiden versioista, toteutuksista ja lomittamisesta. Tämä toiminta ei ole kovin monimutkainen suorittaa. Työkalut, kuten shodan tai censys helpottavat tätä prosessia. Vain sellaisten elementtien osalta, joita ei ole lueteltu tai joita ei tunneta, kuten työntekijöiden käyttämät työkalut, mahdolliset arkaluonteisten asiakirjojen tai salasanojen vuodot , voi olla syytä pyytää erikoistunutta kolmatta osapuolta tekemään tiedustelutarkastus, jotta voidaan laatia kattava kartta hyökkäyspinnastasi sen vähentämiseksi.
hyökkäyspinnan pienentämiseksi sen tunnistamisen jälkeen järjestelmien ja verkkojen koventamistoimenpiteet voivat olla seuraavat (ei-tyhjentävä luettelo):
- kaikkien verkkoon liitettyjen palveluiden ja laitteiden oletussalasanojen muuttaminen
- käyttämättömien sovellusten, palvelujen ja ympäristöjen poistaminen tai poistaminen
- uusien versioiden ja haavoittuvuuksien tekninen ja tekninen seuranta, joka on havaittu kolmannen osapuolen komponenteissa tai palveluissa
- pienimmän etuoikeuden periaatteen toteuttaminen palvelimien, sovellusten, tietokantojen jne.käyttöoikeuksien hallinnassa.
- verkon segmentointi jakamalla kriittiset järjestelmät ja sovellukset
- monivaiheisen todennusjärjestelmän toteuttaminen kriittisissä sovelluksissa ja järjestelmissä
sisäisen verkon segmentoinnin ja kääntyvien hyökkäysten puuttuminen
useimmat verkot on perustettu tasaverkoiksi, joissa jokainen palvelin ja työasema toimii samassa lähiverkossa (LAN) siten, että verkon jokainen sovellus ja järjestelmä pystyy kommunikoimaan ja muodostamaan yhteyden kaikelle muulle.
turvallisuuden kannalta tällaista käytäntöä tulisi välttää, koska useimpien järjestelmien ei tarvitse olla vuorovaikutuksessa keskenään. Lisäksi, jos tasaiseen verkkoon hyökätään (hyökkääjä tai haittaohjelma) ja yksi kone vaarantuu, koko tietojärjestelmä on myös vaarassa. Näissä hyökkäyksissä käytetäänkin menetelmää nimeltä ”pivoting”, joka koostuu vaarantuneen olion käyttämisestä muiden elementtien käyttämiseen ja vapaaseen liikkumiseen verkossa.
verkon segmentointi on siis olennainen turvatoimi, sillä vaikka se ei mahdollistakaan hyökkäysten välttämistä, se on edelleen yksi tärkeimmistä tavoista vähentää onnistuneen hyökkäyksen vaikutusta. Periaate on yksinkertainen. Kuten nimestä voi päätellä, siinä jaetaan tietokoneverkko pienempiin verkon osiin, jotka on eristetty toisistaan virtuaalisissa lähiverkoissa (VLAN). Näin Sovellukset, palvelimet, työasemat voidaan ryhmitellä verkon alioosioihin tietoturvaongelmien ja prioriteettien mukaan ja erityisesti näiden järjestelmien kriittisyyden mukaan. IP-suodatus ja palomuurit helpottavat alueiden jakamista.
Wi-Fi: n käyttö voi tarjota myös sisääntulopisteen IT-hyökkäykselle. Ensinnäkin on olennaisen tärkeää erottaa henkilökohtaisten tai vierailevien päätelaitteiden Wi-Fi-yhteydet organisaation päätelaitteiden (yleensä vieraiden Wi-Fi-yhteyden) Wi-Fi-yhteyksistä ja sitten suodattaa ja rajoittaa Wi-Fi-verkkoon yhdistävien asemien virtoja. Tätä varten organisaatiossasi voidaan perustaa useita Wi-Fi-verkkoja (joista jokainen on selvästi jaettu osiin), jotta voidaan rajoittaa pääsyä tiettyihin kriittisiin resursseihin varmistaen samalla, että yrityksesi eri käyttäjäryhmät pääsevät käsiksi vain tarvittaviin elementteihin.
konkreettinen esimerkki segmentointitesteistä, jotka tehtiin harmaan laatikon tunkeutumistestin aikana sisäverkossa. Koska testit suoritettiin grey Boxissa, auditoinnista vastaavalle pentesterille annettiin pääsy vieraiden Wi-Fi: hen verkon segmentoinnin testaamiseksi:
- testien aikana verkko oli hyvin jakautunut lukuun ottamatta verkon sisällä olevaa tulostinta: pentester, kuten kaikki asiakasyrityksen tiloissa vierailleet, pystyi näin tulostamaan asiakirjoja
- , mutta tulostimen hallintaliittymään pääsi myös oletustunnuksilla
- Jos tätä haavoittuvuutta olisi käyttänyt hyväksi haitallinen hyökkääjä, hän olisi voinut käyttää tulostinta hyökkäysvektorina vaarantaakseen sisäisen verkon.
- pentesterin suositus oli näin ollen rajoittaa tulostimen käyttö vain yrityksen henkilöstöön ja muuttaa hallintarajapinnan kirjautumistunnuksia
siten verkkoarkkitehtuurin segmentointi rajoittaa tietojärjestelmän rajatulle alueelle tunkeutumisen seurauksia. Kyberhyökkäyksen sattuessa hyökkääjän tai haittaohjelman sivuttaisliike olisi mahdotonta, mikä estäisi leviämisen. Lisäksi, koska useat aliverkot toimivat pieninä verkkoina itsessään, se antaa ylläpitäjille mahdollisuuden hallita paremmin kunkin verkon välistä liikennettä ja siten helpommin havaita epätavallisia tapahtumia.
on kuitenkin tärkeää tehdä testejä sen varmistamiseksi, että kriittisten järjestelmien ja sovellusten eristämiseksi toisistaan luotu segmentointi on kestävä. Sisäinen verkko pentest on tehokkain tapa tehdä tämä. Penetraatiotestien aikana pentesterit keskittyvät sekä verkon ulkopuolelta että verkon sisältä tuleviin segmentoinnin kontrolleihin tunnistaakseen mahdolliset haavoittuvuudet (tekniset viat, konfigurointi-tai toteutusvirheet), jotka voisivat mahdollistaa pääsyn kriittisiin järjestelmiin, sovelluksiin ja tietoihin.
sisäinen tunkeutumistesti varmistaa, että kriittiset järjestelmät ja sovellukset eivät kommunikoi vähemmän turvallisten verkkojen kanssa. Testien tavoitteena on vahvistaa, että segmentointi toimii tarkoitetulla tavalla ja ettei ole porsaanreikiä, joita hyökkääjä tai haittaohjelma voisi hyödyntää.
viestinnän salauksen puute, nuuskiminen ja ihminen keskellä hyökkäyksiä
Jotkut sisäiset verkot on konfiguroitu niin, että tieto välittyy selkeänä tekstinä eli salaamattomana. Nämä tiedot voivat olla tilitunnuksia ja niihin liittyviä salasanoja, arkaluonteisia tietoja (henkilökohtaiset, pankkitiedot jne.), arkkitehtoniset asiakirjat ja muut kriittiset tiedot jne. Tällainen käytäntö lisää huomattavasti riskiä siitä, että ulkoiset hyökkääjät (jotka ovat saaneet pääsyn verkkoosi) ja haitalliset työntekijät vaarantavat tietojärjestelmäsi. Wi-Fi-verkoissa riski on vielä suurempi, sillä tietoliikenne voidaan siepata koko tukiaseman kattamalla alueella.
jos jokin verkossa oleva kone vaarantuu, hyökkääjä voi hakea kaikki lähetyksen tiedot verkkoliikennettä salakuuntelevien ohjelmistojen, kuten Wiresharkin avulla. Tämä procesś tunnetaan nimellä ”nuuhkiminen”.
nuuskaamisen tehostamiseksi hyökkääjä sijoittaa itsensä ”mieheen keskellä” (MitM). Man in the Middle-hyökkäykset, joita kutsutaan myös vakoiluhyökkäyksiksi, koostuvat hyökkääjästä, joka murtautuu kahden koneen tai palvelimen väliseen tietotapahtumaan Ettercapin kaltaisten työkalujen avulla. Kun mies on keskiasennossa, hyökkääjä käynnistää Wiresharkin kuunnellakseen liikennettä poistaakseen arkaluontoisia tietoja ja tietoja.
betonitapaus, joka havaittiin harmaan laatikon tunkeutumistestissä sisäverkossa:
- verkon kartoittaminen Nmap: lla
- SMBv2: n kanssa kommunikoivan tiedostopalvelimen löytäminen
- Mies tämän palvelimen ja verkon kaikkien koneiden välissä käyttää wiresharkia pysäyttämään ja analysoimaan saapuvaa smb-viestintää
- salaamaton pääsy käyttäjän koneiden ja palvelimen välillä vaihdettuihin tiedostoihin (laskut, sopimukset, palkkakuittaukset, strategiset asiakirjat jne.)
kun otetaan huomioon haistelun ja mies keskellä-iskujen riskien laajuus, verkossa liikkuvan tiedon salaaminen on välttämätöntä. Tietojen salaaminen tarkoittaa sitä, että niistä tehdään käsittämättömiä ilman salauksen purkuavainta. Yleisin tietoturvatoimenpide on lisätä salauskerros olemassa oleviin protokolliin (http, rtp, ftp jne.) SSL-protokollan (https, SFTP, srtp jne.). Edellä kuvatussa erityistapauksessa testien jälkeen annettu korjaussuositus oli SMBv3: n eli smbv2: n käyttö yhdistettynä SSL-protokollaan, joka mahdollistaa salauksen ja takaa siten viestinnän luottamuksellisuuden.
Access and Identity Management
todennusominaisuuteen kohdistuvien hyökkäysten osalta, mukaan lukien brute force-hyökkäykset tai salasanasuihkutus, ja etuoikeuksien lisääminen, olemme jo kertoneet mekanismit aiemmassa artikkelissamme yhteisistä verkkosovellusten haavoittuvuuksista. Voit siis viitata siihen, koska se koskee kaikkia verkkoinfrastruktuurisi yksiköitä, jotka ovat käytettävissä todentamisjärjestelmän kautta. Lisäksi palaamme Active Directory-hyökkäyksiin omistetussa artikkelissa.
Hakkuiden ja seurannan puute
hakkuiden ja seurannan puute on sekä tekninen että organisatorinen virhe, jonka ansiosta hyökkääjät voivat säilyttää asemansa verkossa mahdollisimman pitkään.
kuten verkon segmentoinnissa, on tärkeää täsmentää, että hyvät kirjaamis-ja valvontakäytännöt eivät takaa maksimaalista suojaa hyökkäyksiä vastaan, mutta ne ovat edelleen hyvä tapa havaita epätavallisia tapahtumia ja tunkeutumisia ja siten vähentää niiden vaikutusta. Mitkä ovat tärkeimmät periaatteet ja mekanismit?
useimmat verkon sisällä tapahtuvaan viestintään (tietojenvaihto, tietojenvaihto jne.) pitää tietoa siitä. Todellakin, kaikki järjestelmät ja sovellukset käynnissä ”log” kaikki tapahtumat, jotka tapahtuvat. Samoin reitittimet, valtakirjat ja palomuurit sekä Tukiasemat pitävät kirjaa jokaisesta paketista. Näitä tietoja hallinnoi sitten niiden koneiden järjestelmä, joihin kukin näistä yksiköistä kuuluu. Sitä säilytetään tietyn ajan erillisissä tiedostoissa, joita kutsutaan yleisesti ”lokeiksi”.
tehokas hyökkääjä pyyhkii aina jälkensä vaarannettuaan yhden tai useamman verkon koneen. Tällä pyritään peittämään hänen läsnäolonsa vaarantuneen verkon ylläpitäjän silmiltä ja säilyttämään hänen asemansa mahdollisimman pitkään vaarantuneilla koneilla. Hyvä Lokinhallinta on siksi erittäin hyödyllistä havaita tunkeutumiset nopeasti ja reagoida tehokkaasti.
lokien hallinnan ja hyödyntämisen helpottamiseksi ne tulisi keskittää sisäiselle palvelinalueelle hallinnon helpottamiseksi. Sitten, on tarpeen toteuttaa ohjelmia (agents) seurata ja synkronoida kaikki tapahtumat lueteltu lokitiedostot muilla koneilla.
tämä on tärkeää, koska koneen vaarantuessa on todennäköistä, että hyökkääjä tuhoaa tukit. Lokien keskittäminen, synkronointi ja monistaminen varmistavat, että sinulla on aina kopio.
inhimilliset puutteet ja sosiaaliset Suunnitteluhyökkäykset
teknisten vikojen, konfigurointi-tai toteutusongelmien lisäksi haavoittuvuus, jota hyökkääjät useimmiten käyttävät tietojärjestelmän vaarantamiseen, on edelleen inhimillistä. Yrityksesi työntekijät ovat edelleen heikoin lenkki kyberturvallisuudessasi, hyökkääjät tietävät tämän ja uutiset onnistuneista kyberhyökkäyksistä todistavat sen!
IBM: n raportti tietojenkalasteluhyökkäystilastoista osoittaa, että tietomurron keskihinta vuonna 2018 oli 3,9 miljoonaa dollaria. FBI arvioi vuoden 2019 Internet – Rikosilmoituksessaan, että BEC-hyökkäykset (Business Email Compromise-hyökkäykset, joissa huijarit esiintyvät yritysjohtajina tai myyjinä huijatakseen työntekijöitä siirtämään maksuja hyökkääjien hallitsemille pankkitileille) olisivat maksaneet yrityksille ympäri maailmaa noin 1,6 miljardia euroa.
social engineering-hyökkäysten periaate on yksinkertainen, eikä niiden toteuttaminen vaadi useimmissa tapauksissa paljon teknistä osaamista. Se koostuu hyökkääjästä, joka luottaa inhimillisiin psykologisiin resursseihin ja käyttää sitten sosiaalisia taitoja saadakseen tai vaarantaakseen tietoa yrityksestä tai sen IT-järjestelmistä (Sovellukset, ulkoinen infrastruktuuri, sisäinen verkko, koko tai osa tietojärjestelmästä jatkaa).
sähköposti on edelleen päähyökkäyksen vektori. Käyttämällä phishing, keihäs phishing (phishing on rajoitettu ryhmä ihmisiä), yhdistettynä visishing (puhelin hyökkäykset), hyökkääjät osaavat hyödyntää luonnollista uteliaisuuttamme, velvollisuudentuntoamme, ammatillista omatuntoamme, kiintymystämme löytöjä, suostutella meidät napsauttamalla linkkiä tai ladata liitetiedoston. Käyttöliittymä klooneja tai haittaohjelmia, ne silti hallita:
- kasta valtavia rahasummia
- Hanki käyttäjätunnuksia ja salasanoja
- varasta, tuhoa tai muuta kriittistä tietoa
- Halvaannuta koko tietojärjestelmäsi
viime vuosina on ollut monia esimerkkejä onnistuneista sosiaalisen suunnittelun hyökkäyksistä pieniä, keskisuuria ja suuria yrityksiä vastaan. Seuraukset ovat usein tuhoisia ja peruuttamattomia. On kuitenkin olemassa yksinkertaisia tapoja rajoittaa social engineering-iskujen vaikutusta.
- mieti ja toteuta ensin turvallisuusstrategia, joka on mukautettu haasteisiisi ja uhkiisi. Kaikkien järjestelmiesi salaus, verkon segmentointi, pääsyn ja identiteettien tiukka hallinta, hyökkäyspinnan vähentäminen ovat kaikki tapoja torjua hyökkäyksiä tai vähentää niiden vaikutusta.
- ja ennen kaikkea, testata luotettavuutta järjestelmien tunkeutuminen testit ulkoisen infrastruktuurin tai sisäisen verkon. Tunkeutumistestit ovat edelleen paras tapa testata järjestelmiesi turvallisuutta ulkoisia ja sisäisiä hyökkääjiä vastaan. Periaate on yksinkertainen: tunnista mahdolliset haavoittuvuudet ja korjaa ne nopeasti ennen kuin hyökkääjät käyttävät niitä hyväkseen. Ulkoisten infrastruktuurien tunkeutumistestien avulla voidaan etsiä haavoittuvuuksia ulkopuolisille avoimista IS-komponenteista. Sisäisen verkon pentesting koostuu verkon kartoittamisesta ennen turvallisuustestien tekemistä tunnistetuille elementeille: palvelimille, Wi-Fi: lle, verkkolaitteille, työasemille jne. Testien jälkeen annettu raportti mahdollistaa löydettyjen haavoittuvuuksien mekanismien ymmärtämisen niiden toistamiseksi ja korjaamiseksi.
- sen jälkeen tehdään sosiaalisen suunnittelun testejä joko sisäisesti tai erikoistuneen kolmannen osapuolen kautta. Näin voit arvioida käyttäytymistä työntekijöiden kohdatessa näennäisesti vaaraton sähköpostit, puhelut tai fyysinen tunkeutuminen tiloihin (esim tallettaa loukkuun USB-avaimet), mutta dramaattinen vaikutus, jos ne ovat seurausta pahan hakkerit, toisin kuin hyvä hakkerit, että olemme. Näiden testien tuloksia voidaan käyttää tiimisi tietoisuuden optimointiin.
- lopuksi, sinun täytyy jatkuvasti lisätä tietoisuutta ja kouluttaa kaikki työntekijät, koska kyberturvallisuuden on oltava kaikkien asia. Voit järjestää valistustiimien kokouksia tai järjestää koulutuksia, joita erikoistuneet tiimisi tarjoavat kyberturvallisuudesta. On myös kolmannen osapuolen koulutuskursseja lisätä tietoisuutta social engineering hyökkäyksiä. Näiden ei-teknisten kurssien avulla on helpompi ymmärtää verkkohyökkäysten mekanismeja tietojenkalastelun, kalastelun, käyttöliittymäkloonien, kiristysohjelmien avulla sekä parhaita käytäntöjä ja asentoja, jotka on otettava käyttöön, jotta vältetään syöttiin tarttuminen.
ota yhteyttä kaikkiin kysymyksiin, jotka liittyvät koulutushankkeeseen tai ulkoisen infrastruktuurin, sisäisen verkon tai sosiaalisen suunnittelun testeihin. Keskustelemme tarpeistasi ja tarjoamme sinulle intervention, joka on mukautettu turvallisuushaasteisiisi ja rajoitteisiisi, olipa kyse sitten talousarviosta tai organisaatiosta.