a hálózati infrastruktúra a legtöbb iparágban az üzleti tevékenység középpontjában áll. A teljes informatikai szervezet idegközpontjának tekinthető, mivel központosítja az adatokat, egyszerűsíti az adatcserét és megkönnyíti a munkavállalók közötti kommunikációt.
ezért elengedhetetlen eszköze a szervezetek zökkenőmentes működésének, amely folyamatos figyelmet igényel a biztonság szempontjából, hogy megvédje magát az egyre nagyobb számú és kifinomultabb külső és belső támadásokkal szemben.
hálózati infrastruktúra: a kibertámadások végső célja
az egyetlen probléma az, hogy a hálózati infrastruktúrát érintő kibertámadások gyakorisága, mértéke és hatása továbbra is növekszik. A külső és belső szervereket, hálózati eszközöket és berendezéseket, munkaállomásokat a kezdő és tapasztalt támadók célozzák meg, mivel ezeknek az entitásoknak még mindig túl sok sebezhetősége van: nagy támadási felület, az alkalmazottak tudatosságának hiánya, biztonsági hibák, rossz tervezés, konfiguráció és megvalósítás, gyenge biztonsági intézkedések stb.
egyetlen iparág sem kíméli a biztonsági incidenseket, még akkor sem, ha a támadóknak saját preferált célpontjaik vannak. Ez különösen igaz az egészségügyi, pénzügyi és kiskereskedelmi ágazatokra, függetlenül az ezeken a területeken működő szervezetek méretétől.
a hálózati infrastruktúra ezen támadásokkal szembeni biztonságának biztosítása érdekében speciális biztonsági intézkedésekre van szükség: a támadási felület csökkentése, a hálózat szegmentálása, a kommunikáció titkosítása, a felhasználók tudatossága a social engineering támadásokról, a legkevesebb privilégium elve (PoLP), naplófigyelés stb. A biztonsági ellenőrzések vagy a behatolási tesztek szintén jó módszer a számítógépes hálózat meglévő hibáinak felderítésére azok kijavítása érdekében.
ebben a cikkben a hálózati infrastruktúra elleni belső és külső támadások során leggyakrabban kihasznált (technikai és szervezeti) sebezhetőségekre összpontosítunk, bemutatva azokat a behatolási tesztjeink során tapasztalt konkrét esetekkel. Részletezzük továbbá a legjobb gyakorlatokat és intézkedéseket, amelyeket a kockázatok csökkentése vagy az ilyen támadások elleni küzdelem érdekében végre kell hajtani.
melyek a hálózati infrastruktúra gyakori sérülékenységei és hogyan védheti meg magát?
támadási felület kezelése és kockázati kitettség
minden számítógépes támadás általában egy felderítési fázissal kezdődik, hogy azonosítsa a megcélzott vállalat támadási felületét. Más szavakkal, a támadók a lehető legtöbb információt gyűjtik az információs rendszerről, mielőtt támadásokat indítanak a potenciálisan sérülékeny entitások ellen. A támadási felület tehát a hálózaton belül vagy azon kívül kitett elemek összege, amelyek megtámadhatók biztonsági esemény előidézése érdekében: szerverek (belső és külső), alkalmazások, API-k, technológiák, verziók, összetevők, MŰSZAKI vagy személyes adatok stb.
ezek mindegyike olyan potenciális biztonsági réseket tartalmaz, amelyeket illetéktelen személyek kihasználhatnak egy port-átvizsgálást vagy a Google-on vagy a sötét weben végzett gondos keresést követően, hogy betörjenek az Ön információs rendszerébe.
a támadási felület csökkentése kulcsfontosságú alapelv a kiberbiztonságban, hogy megvédje magát a belső és külső támadásoktól. Ehhez két műveletre van szükség: egyrészt elengedhetetlen a támadási felület ismerete, ezért annak teljes térképének elkészítése, amelyet szintén folyamatosan frissíteni kell, mivel a rendszer architektúrája folyamatosan fejlődik. Másrészt olyan intézkedéseket kell végrehajtani, amelyek megkeményítik rendszereit és hálózatait a támadási felület csökkentése érdekében.
a támadási felület feltérképezése azt jelenti, hogy naprakész listát vezet az összes eszközéről, azok verzióiról, implementációiról és összekapcsolásáról a teljes információs rendszerben. Ez a művelet nem túl bonyolult. Az olyan eszközök, mint a shodan vagy a censys, megkönnyítik ezt a folyamatot. Csak olyan elemek esetében, amelyek nem szerepelnek vagy ismeretlenek, mint például az alkalmazottak által használt eszközök, érzékeny dokumentumok vagy jelszavak lehetséges kiszivárogtatása , érdemes lehet egy szakosodott harmadik felet felkérni, hogy végezzen felderítő auditot, hogy kimerítő térképet készítsen a támadási felületéről annak csökkentése érdekében.
a támadási felület azonosítását követő csökkentése érdekében a rendszerek és hálózatok megkeményítésére irányuló műveletek a következők lehetnek (nem teljes lista):
- a hálózathoz csatlakoztatott összes szolgáltatás és eszköz alapértelmezett jelszavának megváltoztatása
- a nem használt alkalmazások, szolgáltatások és környezetek eltávolítása vagy eltávolítása
- a harmadik féltől származó összetevőkben vagy szolgáltatásokban felfedezett új verziók és biztonsági rések technikai és technológiai megfigyelése
- a legkevesebb jogosultság elvének végrehajtása a kiszolgálókhoz, alkalmazásokhoz, adatbázisokhoz stb.
- a hálózat szegmentálása a kritikus rendszerek és alkalmazások particionálásával
- többtényezős hitelesítési rendszer megvalósítása a kritikus alkalmazásokon és rendszereken
a belső hálózati szegmentáció és elforduló támadások hiánya
a legtöbb hálózat lapos hálózatként van beállítva, minden szerver és munkaállomás ugyanazon a helyi hálózaton (LAN) fut, így a hálózaton lévő minden alkalmazás és rendszer képes kommunikálni és csatlakozni a minden mást.
biztonsági szempontból kerülni kell ezt a fajta gyakorlatot, mivel ezeknek a rendszereknek a többségének nem kell kölcsönhatásba lépnie egymással. Továbbá, ha egy lapos hálózatot támad meg (támadó vagy rosszindulatú program), és egy gép veszélybe kerül, akkor az egész információs rendszer is veszélyben van. Valójában ezek a támadások egy “pivoting” nevű módszert használnak, amely egy veszélyeztetett entitás használatát jelenti más elemek eléréséhez és a hálózatban való szabad mozgáshoz.
így a hálózati szegmentálás alapvető biztonsági intézkedés, mert még ha nem is teszi lehetővé a támadások elkerülését, továbbra is a sikeres támadás hatásának csökkentésének egyik fő módja. Az elv egyszerű. Ahogy a neve is sugallja, ez magában foglalja a számítógépes hálózat felosztását kisebb hálózati szegmensekre, amelyek egymástól el vannak szigetelve virtuális helyi hálózatok (VLAN-ok). Ez lehetővé teszi, hogy az alkalmazásokat, szervereket, munkaállomásokat hálózati alpartíciókba csoportosítsák az Ön biztonsági kérdései és prioritásai szerint, és különösen ezen rendszerek kritikussága szerint. Az IP-szűrés és a tűzfalak megkönnyítik a területek particionálását.
a Wi-Fi használata belépési pontot is jelenthet egy informatikai támadáshoz. Mindenekelőtt meg kell különböztetni a személyes vagy látogatói terminálok Wi-Fi kapcsolatait a szervezet termináljaitól (általában vendég Wi-Fi-vel), majd szűrni és korlátozni kell a Wi-Fi hálózathoz csatlakozó állomások áramlását. Ehhez több Wi-Fi hálózatot lehet létrehozni (mindegyik nyilvánvalóan particionálva) a szervezeten belül annak érdekében, hogy korlátozza a hozzáférést bizonyos kritikus erőforrásokhoz, miközben biztosítja, hogy a vállalaton belüli különböző felhasználói csoportok csak a szükséges elemekhez férjenek hozzá.
konkrét példa a belső hálózaton végzett szürke doboz behatolási teszt során végzett szegmentációs tesztekre. Mivel a teszteket szürke dobozban végezték, az ellenőrzésért felelős pentester hozzáférést kapott a vendég Wi-Fi-hez a hálózat szegmentálásának tesztelése érdekében:
- a tesztek során a hálózatot jól particionálták, kivéve a hálózaton belül elérhető nyomtatót: a pentester, mint az ügyfélvállalat helyiségeinek minden látogatója, így képes volt dokumentumokat nyomtatni
- a nyomtató adminisztrációs felülete azonban az alapértelmezett hitelesítő adatokkal is elérhető volt
- ha ezt a biztonsági rést egy rosszindulatú támadó kihasználta volna, akkor a nyomtatót támadási vektorként használhatta volna a belső hálózat veszélyeztetésére.
- a pentester ajánlása ezért az volt, hogy a nyomtatóhoz való hozzáférést csak a vállalati személyzetre korlátozza, és módosítsa az adminisztrációs felület bejelentkezési adatait
így a hálózati architektúra szegmentálása korlátozza a behatolás következményeit az információs rendszer körülhatárolt kerületére. Kibertámadás esetén a támadó vagy a rosszindulatú programok oldalirányú mozgása lehetetlen lenne, megakadályozva ezzel a terjedést. Ezenkívül, mivel több alhálózat önmagában kis hálózatként működik, lehetővé teszi az adminisztrátorok számára, hogy jobban ellenőrizzék az egyes hálózatok közötti forgalom áramlását, és ezáltal könnyebben észrevegyék a szokatlan eseményeket.
mindazonáltal fontos teszteket végezni annak ellenőrzésére, hogy a kritikus rendszerek és alkalmazások egymástól való elkülönítésére létrehozott szegmentálás robusztus-e. A pentest belső hálózat a leghatékonyabb módja ennek. A penetrációs tesztek során a pentesterek a szegmentációs vezérlőkre összpontosítanak, mind a hálózaton kívülről, mind a hálózaton belülről, hogy azonosítsák a lehetséges sebezhetőségeket (technikai hibák, konfigurációs vagy végrehajtási hibák), amelyek lehetővé teszik a hozzáférést a kritikus rendszerekhez, alkalmazásokhoz és adatokhoz.
belső behatolási teszt biztosítja, hogy a kritikus rendszerek és alkalmazások ne kommunikáljanak kevésbé biztonságos hálózatokkal. Ezeknek a teszteknek az a célja, hogy megerősítsék, hogy a szegmentálás rendeltetésszerűen működik, és hogy nincsenek olyan kiskapuk, amelyeket egy támadó vagy rosszindulatú program kihasználhat.
kommunikáció hiánya titkosítás, szippantás és ember a közepén támadások
egyes belső hálózatok úgy vannak konfigurálva, hogy az információkat tiszta szövegben, azaz titkosítatlanul továbbítsák. Ezek az információk lehetnek fiókazonosítók és kapcsolódó jelszavak, érzékeny adatok (személyes, banki stb.), építészeti dokumentumok és egyéb kritikus információk stb. Ez a gyakorlat nagymértékben növeli annak kockázatát, hogy az információs rendszert külső támadók (a hálózathoz való hozzáférés megszerzése) és rosszindulatú alkalmazottak veszélyeztetik. A Wi-Fi hálózatok esetében még nagyobb a kockázat, mivel a kommunikáció a hozzáférési pont által lefedett kerületen keresztül lehallgatható.
ha a hálózaton lévő gép veszélybe kerül, a támadó a hálózati forgalmat lehallgató szoftver, például a wireshark segítségével lekérheti az összes sugárzott információt. Ezt a proces-t ‘szippantásnak’nevezik.
a szippantás hatásának növelése érdekében a támadó egy “középső emberbe” (MitM) helyezi magát. Az ember a középső támadásokban, más néven Kémkedési támadásokban, egy támadóból áll, aki két gép vagy szerver közötti információs tranzakcióba tör be, olyan eszközökkel, mint az Ettercap. Miután a középső pozícióban lévő emberbe került, a támadó elindítja a Wireshark-ot, hogy meghallgassa a forgalmat, hogy kiszűrje az érzékeny információkat és adatokat.
egy belső hálózaton végzett szürke doboz behatolási teszt során tapasztalt konkrét eset:
- a hálózat feltérképezése az Nmap segítségével
- az smbv2-vel kommunikáló fájlszerver felfedezése
- a szerver és a hálózat összes gépe között középen álló ember, majd a Wireshark segítségével elfogja és elemzi a bejövő smb kommunikációt
- titkosítatlan hozzáférés a felhasználói gépek és a szerver között kicserélt fájlokhoz (számlák, szerződések, fizetési bizonylatok, stratégiai dokumentumok stb.)
tekintettel a szimatolás és a középső támadások kockázatának mértékére, szükség van a hálózaton keringő információk titkosítására. Az adatok titkosítása azt jelenti, hogy dekódoló kulcs nélkül érthetetlenné teszik őket. A leggyakoribb biztonsági intézkedés egy titkosítási réteg hozzáadása a meglévő protokollokhoz (http, rtp, ftp stb.) SSL protokoll használatával (https, SFTP, srtp stb.). A fent leírt konkrét esetben a teszteket követő korrekcióra vonatkozó ajánlás az smbv3, azaz az SMBv2 SSL protokollal párosított használata volt, amely lehetővé teszi a titkosítást, és ezáltal garantálja a kommunikáció titkosságát.
hozzáférés és Identitáskezelés
A hitelesítési funkció elleni támadások, beleértve a brute force támadásokat vagy a jelszópermetezést és a privilégiumok eszkalációját, már részletesen ismertetjük a mechanizmusokat a webes alkalmazások gyakori sebezhetőségeiről szóló korábbi cikkünkben. Ezért hivatkozhat rá, mivel a hálózati infrastruktúra minden olyan entitására vonatkozik, amely hitelesítési rendszeren keresztül érhető el. Ezenkívül visszatérünk az Active Directory támadásaihoz egy dedikált cikkben.
naplózás és megfigyelés hiánya
a naplózás és megfigyelés hiánya technikai és szervezeti hiba, amely lehetővé teszi a támadók számára, hogy a lehető leghosszabb ideig fenntartsák pozíciójukat a hálózatban.
a hálózati szegmentáláshoz hasonlóan fontos pontosítani, hogy a helyes naplózási és megfigyelési gyakorlat nem biztosít maximális védelmet a támadásokkal szemben, de továbbra is jó módszer a szokatlan események és behatolások észlelésére, és ezáltal hatásuk csökkentésére. Melyek a főbb alapelvek és mechanizmusok?
a hálózaton belüli kommunikáció legtöbb eleme (információcsere, adatcsere stb.) tartson információt róla. Valójában minden rendszer és alkalmazás “naplózza” az összes előforduló eseményt. Hasonlóképpen, a routerek, proxyk és tűzfalak, valamint a hozzáférési pontok nyomon követik az egyes csomagokat. Ezt az információt azután azoknak a gépeknek a rendszere kezeli, amelyekhez ezek az entitások tartoznak. Egy bizonyos ideig dedikált fájlokban tárolják, amelyeket általában “naplóknak”neveznek.
a hatékony támadó mindig törli a nyomait, miután kompromittált egy vagy több gépet a hálózatban. Ennek célja, hogy elrejtse jelenlétét a veszélyeztetett hálózat adminisztrátorának szeme elől, és a lehető leghosszabb ideig megőrizze pozícióját a veszélyeztetett gépeken. A jó naplómenedzsment ezért nagyon hasznos a behatolások gyors észleléséhez és a hatékony reagáláshoz.
a naplófájlok kezelésének és hasznosításának megkönnyítése érdekében a naplófájlokat a belső szerverterületen kell központosítani a könnyebb adminisztráció érdekében. Ezután programokat (ügynököket) kell végrehajtani a naplófájlokban felsorolt összes esemény figyelésére és szinkronizálására más gépeken.
ez azért fontos, mert egy gép veszélyeztetése esetén valószínű, hogy a naplókat a támadó megsemmisíti. A naplók központosítása, szinkronizálása és sokszorosítása biztosítja, hogy mindig legyen másolata.
emberi hibák és Social Engineering támadások
a technikai hibákon, konfigurációs vagy implementációs problémákon túl a támadók által az információs rendszerek veszélyeztetésére leggyakrabban kihasznált sebezhetőség emberi marad. A vállalat alkalmazottai továbbra is a leggyengébb láncszem a kiberbiztonságban, a támadók ezt tudják, és a sikeres kibertámadások híre is ezt bizonyítja!
az adathalász támadások statisztikáiról szóló IBM-jelentés azt mutatja, hogy az adatok megsértésének átlagos költsége 2018-ban 3,9 millió dollár volt. Az FBI 2019-es internetes bűnözésről szóló jelentésében pedig úgy becsülte, hogy a BEC támadások (üzleti e – mail kompromisszum-támadások, amelyekben a csalók vállalati vezetőként vagy eladóként jelentkeznek, hogy becsapják az alkalmazottakat, hogy a támadók által ellenőrzött bankszámlákra utalják át a kifizetéseket) világszerte körülbelül 1,6 milliárd dollárba kerültek volna a vállalatoknak.
a social engineering támadások elve egyszerű, végrehajtásuk a legtöbb esetben nem igényel sok technikai tudást. Ez egy támadóból áll, amely az emberi pszichológiai erőforrásokra támaszkodik, majd a szociális készségek felhasználásával információkat szerez vagy kompromittál egy vállalatról vagy annak informatikai rendszereiről (alkalmazások, külső infrastruktúra, belső hálózat, az információs rendszer egésze vagy egy része a folytatáshoz).
az e-mail továbbra is a fő támadási vektor. Az adathalászat, a lándzsás adathalászat (adathalászat korlátozott embercsoporton), a vishing (telefonos támadások) segítségével a támadók tudják, hogyan lehet kihasználni természetes kíváncsiságunkat, kötelességtudatunkat, szakmai lelkiismeretünket, az alku iránti szeretetünket, hogy rábeszéljenek minket, hogy kattintsunk egy linkre vagy töltsünk le egy mellékletet. Az interfész klónokkal vagy rosszindulatú programokkal továbbra is sikerül:
- hatalmas pénzösszegek sikkasztása
- felhasználói azonosítók és jelszavak beszerzése
- ellopni, megsemmisíteni vagy megváltoztatni a kritikus adatokat
- megbénítani a teljes információs rendszert
az elmúlt években számos példa volt a kis -, közepes és nagyvállalatok elleni sikeres társadalmi mérnöki támadásokra. A következmények pedig gyakran pusztítóak és visszafordíthatatlanok. Vannak azonban egyszerű módszerek a social engineering támadások hatásának korlátozására.
- először is gondoljon és hajtson végre egy, a kihívásokhoz és fenyegetésekhez igazított biztonsági stratégiát. Az összes rendszer titkosítása, a hálózat szegmentálása, a hozzáférés és az identitások szigorú kezelése, a támadási felület csökkentése mind a támadások elleni küzdelem vagy hatásuk csökkentése.
- mindenekelőtt tesztelje rendszerei robusztusságát a külső infrastruktúrán vagy a belső hálózaton végzett penetrációs tesztekkel. A penetrációs tesztek továbbra is a legjobb módja annak, hogy tesztelje rendszerei biztonságát külső és belső támadókkal szemben. Az elv egyszerű: azonosítsa a potenciális sebezhetőségeket, és gyorsan javítsa ki őket, mielőtt a támadók kihasználnák őket. A külső infrastruktúra behatolási tesztjei lehetővé teszik a külső IS-összetevők biztonsági réseinek keresését. A belső hálózati pentesting a hálózat feltérképezéséből áll, mielőtt biztonsági teszteket végezne az azonosított elemeken: szerverek, Wi-Fi, hálózati berendezések, munkaállomások stb. A teszteket követően kiadott jelentés lehetővé teszi a feltárt sebezhetőségek mechanizmusainak megértését, azok reprodukálását és kijavítását.
- ezután végezzen szociális mérnöki teszteket, akár belsőleg, akár egy speciális harmadik félen keresztül. Ez lehetővé teszi, hogy értékelje az alkalmazottak viselkedését, amikor látszólag ártalmatlan e-mailekkel, hívásokkal vagy fizikai behatolásokkal szembesülnek a helyiségeiben (pl. csapdába esett USB kulcsok letétbe helyezése), de drámai hatással van, ha gonosz hackerek eredménye, szemben a jó hackerekkel, akik vagyunk. Ezeknek a teszteknek az eredményei felhasználhatók a csapatok tudatosságának optimalizálására.
- végül folyamatosan növelnie kell a tudatosságot és képeznie kell az összes alkalmazottat, mert a kiberbiztonságnak mindenki üzleti tevékenységének kell lennie. Ön tudatosságnövelő csoporttalálkozókat szervezhet, vagy képzéseket tarthat, amelyeket a kiberbiztonsággal foglalkozó speciális csapatai biztosítanak. Vannak harmadik féltől származó képzések is, amelyek felhívják a figyelmet a szociális mérnöki támadásokra. Ezek a nem technikai jellegű tanfolyamok megkönnyítik az adathalászat, a vishing, az interfészklónok, a ransomware révén történő kibertámadások mechanizmusainak megértését, valamint a csalétek elkerülése érdekében alkalmazandó legjobb gyakorlatokat és testtartásokat.
vegye fel velünk a kapcsolatot, ha bármilyen kérdése van egy képzési projekttel vagy a külső infrastruktúrán, a belső hálózaton vagy a szociális mérnöki teszteken végzett penetrációs tesztekkel kapcsolatban. Megbeszéljük az Ön igényeit,és olyan beavatkozást biztosítunk Önnek, amely megfelel az Ön biztonsági kihívásainak és korlátainak, legyen az költségvetési vagy szervezeti.