ネットワークインフラは、ほとんどの業界で事業運営の中核にあります。 データを一元化し、データ交換を簡素化し、従業員間のコミュニケーションを容易にするため、IT組織全体の神経センターと考えることができます。
したがって、組織の円滑な運営のために不可欠なツールであり、ますます多くの洗練された外部および内部の攻撃から身を守るために、セキュリティの面で常に注意を必要としています。
ネットワークインフラストラクチャ:サイバー攻撃の究極の目標
唯一の問題は、ネットワークインフラストラクチャ上のサイバー攻撃の頻度、規模、影 外部および内部のサーバー、ネットワークデバイスおよび機器、ワークステーションは、これらのエンティティのすべてがまだあまりにも多くの脆弱性を持っているため、初心者や経験豊富な攻撃者によって標的とされています。
攻撃者が自分の好みのターゲットを持っていても、業界はセキュリティインシデントから免れることはありません。 これは、これらの分野で事業を行っている組織の規模にかかわらず、特に医療、金融、小売業界の場合に当てはまります。
これらの攻撃に対するネットワークインフラストラクチャのセキュリティを確保するためには、攻撃面の削減、ネットワークセグメンテーション、通信の暗号化、ソーシャルエンジニアリング攻撃のユーザー意識、最小特権の原則(PoLP)、ログ監視など、具体的なセキュリティ対策が必要である。 セキュリティ監査や侵入テストは、それらを修正するために、コンピュータネットワーク内の既存の欠陥を検出するための良い方法です。
この記事では、ネットワークインフラストラクチャに対する内部および外部の攻撃で最も頻繁に悪用される一般的な脆弱性(技術的および組織的)に焦点を当て、ペネトレーションテスト中に遭遇した具体的なケースを示して説明します。 また、リスクを軽減したり、これらの攻撃に対抗するために実装されるベストプラクティスと対策を詳細に説明します。
ネットワークインフラストラクチャの一般的な脆弱性とは何か、そして自分自身を保護する方法は何ですか?
攻撃面の管理とリスク暴露
すべてのコンピュータ攻撃は、通常、標的企業の攻撃面を識別するための偵察段階から始まります。 言い換えれば、攻撃者は、潜在的に脆弱なエンティティへの攻撃を開始する前に、できるだけ多くの情報システムに関する情報を収集します。 したがって、攻撃対象範囲は、セキュリティインシデントを引き起こすために攻撃される可能性のあるネットワークの内部または外部に公開された要素: サーバー(内部および外部)、アプリケーション、Api、技術、バージョン、コンポーネント、技術または個人データなど
これらのすべてには、ポートスキャンやGoogleやダークウェブでの慎重な検索の後、あなたの情報システムに侵入するために、権限のない人が悪用する可
攻撃対象を減らすことは、内部および外部の攻撃から身を守るためのサイバーセキュリティの重要な原則です。 これを行うには、2つのアクションが必要です: 一方では、攻撃サーフェスを知り、その完全なマップを作成することが不可欠です。 一方、攻撃対象を減らすためには、システムやネットワークを強化するための対策を実施する必要があります。
攻撃対象領域のマッピングとは、すべての資産、そのバージョン、実装、および情報システム全体での連動の最新のリストを維持することを意味します。 このアクションは、実行するのがあまり複雑ではありません。 このようなshodanやcensysなどのツールは、このプロセスを容易にします。 従業員が使用するツール、機密文書やパスワードの漏洩の可能性など、リストされていない、または不明な要素についてのみ、それを減らすことを目的とした攻撃面の網羅的なマップを作成するために偵察監査を実施するために、専門の第三者に呼び出す価値があるかもしれません。
識別後の攻撃面を減らすために、システムとネットワークを強化するためのアクションは次のようになります(非網羅的なリスト):
- ネットワークに接続されているすべてのサービスおよびデバイスのデフォルトパスワードの変更
- 未使用のアプリケーション、サービスおよび環境のアンイ
- 重要なシステムとアプリケーションを分割することによるネットワークのセグメンテーション
- 重要なアプリケーションとシステムに対する多要素認証システムの実装
内部ネットワークのセグメンテーションとピボット攻撃の欠如
ほとんどのネットワークはフラットネットワークとして設定されており、各サーバーとワークステーションは同じローカルエリアネットワーク(LAN)上で実行されているため、ネットワーク上の各アプリケーションとシステムは他のすべてに通信して接続できます。
セキュリティの観点からは、これらのシステムのほとんどは相互に対話する必要がないため、この種の練習は避けるべきです。 さらに、フラットネットワークが(攻撃者またはマルウェアによって)攻撃され、一つのマシンが侵害された場合、情報システム全体も危険にさらされます。 実際、これらの攻撃は、侵害されたエンティティを使用して他の要素にアクセスし、ネットワーク内で自由に移動することからなる”ピボット”と呼ばれる
したがって、ネットワークセグメンテーションは、攻撃を回避することができなくても、攻撃の成功の影響を軽減する主な方法の一つであるため、不可欠なセキ 原則は簡単です。 名前が示すように、それは仮想ローカルエリアネットワーク(Vlan)内で互いに分離されている小さなネットワークセグメントにコンピュータネットワークを分割 これにより、アプリケーション、サーバー、ワークステーションを、セキュリティの問題と優先順位、特にこれらのシステムの重要性に従って、ネットワークサブパーティ IPのろ過および防火壁は区域の仕切りを促進する。
Wi-Fiを使用すると、IT攻撃のエントリポイントを提供することもできます。 まず、個人端末または訪問者端末のWi-Fi接続を組織の端末のWi-Fi接続(一般的にはゲストWi-Fiを使用)と区別し、Wi-Fiネットワークに接続する局のフローをフ これを行うには、特定の重要なリソースへのアクセスを制限しながら、社内のさまざまなユーザーグループが必要な要素のみにアクセスできるように、組織内で複数のWi-Fiネットワークを設定できます(それぞれが明らかに分割されています)。
内部ネットワーク上の灰色のボックス侵入テスト中に行われたセグメンテーションテストの具体的な例。 テストは灰色のボックスで実行されたので、監査を担当するpentesterは、ネットワークのセグメンテーションをテストするために、ゲストのWi-Fiへのアクセスを:
- テスト中に、ネットワーク内で使用可能なプリンタを除いて、ネットワークが適切に分割されました: pentesterは、クライアント企業の施設へのすべての訪問者と同様に、ドキュメント
- を印刷することができましたが、プリンタの管理インターフェイスもデフォルトの資格情報
- を介してアクセスできました。この脆弱性が悪意のある攻撃者によって悪用された場合、プリンタを攻撃ベクトルとして使用して内部ネットワークを侵害した可能性があります。
- pentesterの勧告は、プリンタへのアクセスを会社の担当者のみに制限し、管理インターフェイスのログイン資格情報を変更することでした
したがって、ネットワー サイバー攻撃が発生した場合、攻撃者やマルウェアの横方向の動きは不可能であり、伝播を防止します。 さらに、複数のサブネットワークが独自の小さなネットワークとして機能するため、管理者はそれぞれの間のトラフィックの流れをよりよく制御し、異常なイベントをより簡単に発見することができます。
それにもかかわらず、重要なシステムとアプリケーションを相互に分離するように設定されたセグメンテーションが堅牢であることを検証するため これを行うには、内部ネットワークpentestが最も効果的な方法です。 ペネトレーション-テストでは、ネットワークの外部とネットワークの内部の両方からセグメンテーション-コントロールに焦点を当て、重要なシステム、アプリケー
内部侵入テストは、重要なシステムとアプリケーションが安全性の低いネットワークと通信しないことを保証します。 これらのテストの目的は、セグメンテーションが意図したとおりに機能し、攻撃者やマルウェアによって悪用される可能性のある抜け穴がないこと
通信の欠如暗号化、スニッフィング、中間攻撃
いくつかの内部ネットワークは、情報がクリアテキスト、すなわち暗号化されていない状態で送信されるように設定されています。 この情報は、アカウントIdと関連するパスワード、機密データ(個人、銀行など)とすることができます。)、建築文書および他の重大な情報、等。 このような慣行は、外部の攻撃者(ネットワークへのアクセスを取得した)や悪意のある従業員によって情報システムが侵害されるリスクを大幅に増 Wi-Fiネットワークでは、アクセスポイントの対象となる境界全体で通信が傍受される可能性があるため、リスクはさらに大きくなります。
ネットワーク上のマシンが侵害された場合、攻撃者はwiresharkなどのネットワークトラフィックを盗聴するソフトウェアを使用して、すべてのブロードキャスト情報を取得することができます。 このプロセスは”スニッフィング”として知られています。
スニッフィングの影響を高めるために、攻撃者は自分自身を”中間の男”(MitM)に置きます。 中間者攻撃、別名スパイ攻撃は、Ettercapのようなツールを使用して、二つのマシンまたはサーバー間の情報トランザクションに侵入する攻撃者で構成されています。 中央の位置にいる男になると、攻撃者は機密情報とデータを流出させるためにトラフィックを聞くためにWiresharkを起動します。
内部ネットワーク上の灰色のボックス侵入テスト中に遭遇した具体的なケース:
- Nmapでネットワークをマッピング
- smbv2と通信するファイルサーバーの発見
- このサーバーとネットワーク上のすべてのマシンの間の中間にいる人は、wiresharkを使用して着信smb通信を傍受して分析する
- ユーザーマシンとサーバー間で交換されるファイルへの暗号化されていないアクセス(請求書、契約書、給与明細、戦略文書など)。)
スニッフィングや中間攻撃のリスクの程度を考えると、ネットワーク上で循環する情報の暗号化が必要です。 データを暗号化することは、復号化キーなしで理解できないようにすることを意味します。 最も一般的なセキュリティ対策は、既存のプロトコル(http、rtp、ftpなど)に暗号化レイヤーを追加することです。 SSLプロトコル(https、sftp、srtpなど)を使用します。). 上記の特定のケースでは、テスト後に行われた修正の推奨事項は、暗号化を可能にし、通信の機密性を保証するSSLプロトコルと組み合わせたsmbv3、すなわちsmbv2の使用でした。
アクセスとId管理
ブルートフォース攻撃やパスワード噴霧、権限昇格などの認証機能に対する攻撃については、以前の記事”common web applications vulnerabilities”でメカニズムを詳 したがって、認証システムを介してアクセス可能なネットワークインフラストラクチャ内のすべてのエンティティに適用される また、Active Directory攻撃については、専用の記事で説明します。
ロギングとモニタリングの欠如
ロギングとモニタリングの欠如は、攻撃者がネットワーク内で可能な限り長く地位を維持することを可能にする技術的および組織的な欠陥である。
ネットワークセグメンテーションと同様に、適切なロギングとモニタリングの実践は、攻撃に対する最大限の保護を保証するものではありませんが、異常なイベントや侵入を検出し、その影響を軽減するための良い方法であり続けていることを指定することが重要です。 主な原則と仕組みは何ですか?
ネットワーク内の通信に関わる要素のほとんど(情報交換、データ交換など))それについての情報を保管してください。 実際、実行中のすべてのシステムとアプリケーションは、発生したすべてのイベントを”ログ”に記録します。 同様に、ルーター、プロキシ、ファイアウォール、およびアクセスポイントは、各パケットを追跡します。 この情報は、これらの各エンティティが属するマシンのシステムによって管理されます。 これは、一般的に”ログ”と呼ばれる専用ファイルに、一定期間、保存されています。
効率的な攻撃者は、ネットワーク内の一つ以上のマシンを侵害した後、常に自分のトラックを消去します。 これは、侵害されたネットワークの管理者の目から彼の存在を隠し、侵害されたマシン上でできるだけ長く彼の立場を維持するためです。 したがって、良好なログ管理は、侵入を迅速に検出し、効果的に反応するのに非常に便利です。
ログの管理と利用を容易にするために、管理を容易にするために内部サーバー領域に集中させる必要があります。 次に、他のマシン上のログファイルにリストされているすべてのイベントを監視して同期するプログラム(エージェント)を実装する必要があります。
マシンが危険にさらされた場合、攻撃者によってログが破壊される可能性が高いため、これは重要です。 ログを一元化、同期、複製することで、常にコピーが得られるようになります。
人間の欠陥とソーシャルエンジニアリング攻撃
技術的な欠陥、構成または実装の問題を超えて、攻撃者が情報システムを侵害するために最も頻繁に悪用される脆弱性は人間のままです。 あなたの会社の従業員はまだあなたのサイバーセキュリティの最も弱いリンクであり、攻撃者はこれを知っており、成功したサイバー攻撃のニュース
フィッシング攻撃の統計に関するIBMのレポートによると、2018年のデータ侵害の平均コストは3.9百万ドルでした。 また、2019年のインターネット犯罪報告書では、FBIは、bec攻撃(ビジネスメールの侵害–詐欺師が会社の幹部やベンダーとして従業員を騙して、攻撃者が管理する銀行口座に支払いを転送する攻撃)は、世界中の企業に約16億ユーロの費用がかかると推定しています。
ソーシャルエンジニアリング攻撃の原則は単純であり、その実装はほとんどの場合、多くの技術的な知識を必要としません。 これは、人間の心理的資源に依存し、社会的スキルを使用して、企業またはそのITシステム(アプリケーション、外部インフラ、内部ネットワーク、再開する情
電子メールは主な攻撃ベクトルのままです。 フィッシング、スピアフィッシング(制限されたグループのフィッシング)、フィッシング(電話攻撃)を使用して、攻撃者は私たちの自然な好奇心、義務感、プロの良心、掘り出し物に対する愛情を悪用し、リンクをクリックしたり、添付ファイルをダウンロードしたりするよう説得する方法を知っています。 インターフェイスクローンやマルウェアでは、彼らはまだに管理します:
- 巨額の資金を横領
- ユーザー Idとパスワードを取得
- 重要なデータを盗んだり、破壊したり、変更したり
- 情報システム全体を麻痺させたり
近年、中小企業、大企業に対するソーシャルエンジニアリング攻撃が成功した例が数多くあります。 そして、その結果はしばしば壊滅的で不可逆的です。 しかし、ソーシャルエンジニアリング攻撃の影響を制限する簡単な方法があります。
- まず、あなたの課題や脅威に適応したセキュリティ戦略を考え、実装します。 すべてのシステムの暗号化、ネットワークのセグメント化、アクセスとidの厳格な管理、攻撃面の削減は、攻撃に対抗したり、その影響を軽減するすべての
- そして、何よりも、外部インフラストラクチャまたは内部ネットワーク上の侵入テストでシステムの堅牢性をテストします。 侵入テストは、外部および内部の攻撃者に対してシステムのセキュリティをテストする最良の方法です。 潜在的な脆弱性を特定し、攻撃者によって悪用される前に迅速に修正します。 外部インフラ侵入テストでは、外部に公開されているISコンポーネントの脆弱性を検索できます。 内部ネットワークpentestingは、サーバー、Wi-Fi、ネットワーク機器、ワークステーションなど、特定された要素のセキュリティテストを実行する前にネットワー テスト後に発行されたレポートは、発見された脆弱性のメカニズムを理解して、それらを再現して修正することを可能にします。
- その後、内部または専門の第三者を通じて、ソーシャルエンジニアリングテストを実行します。 これにより、一見無害な電子メール、電話、または施設への物理的な侵入(トラップされたUSBキーの預金など)に直面したときの従業員の行動を評価することができますが、私たちの良いハッカーとは対照的に、邪悪なハッカーの結果である場合は劇的な影響を与えます。 これらのテストの結果は、チームの意識を最適化するために使用できます。
- 最後に、サイバーセキュリティは全員のビジネスでなければならないため、継続的に意識を高め、すべての従業員を訓練する必要があります。 サイバーセキュリティをテーマにした専門チームが提供する意識向上チームミーティングやトレーニングコースを開催することができます。 また、ソーシャルエンジニアリング攻撃の意識を高めるための第三者のトレーニングコースもあります。 これらの非技術的なトレーニングコースは、フィッシング、フィッシング、インターフェイスクローン、ランサムウェア、および餌を取ることを避けるために採用すべきベストプラクティスと姿勢を介してサイバー攻撃のメカニズムを理解することが容易になります。
外部インフラ、内部ネットワーク、ソーシャルエンジニアリングテストに関するトレーニングプロジェクトやペネトレーションテストに関連する質問 お客様のニーズについて話し合い、予算や組織にかかわらず、お客様のセキュリティ上の課題や制約に適応した介入を提供します。