nettverksinfrastrukturen er kjernen i forretningsvirksomheten i de fleste bransjer. Det kan betraktes som nervesenteret i HELE IT-organisasjonen fordi det sentraliserer data, forenkler datautveksling og letter kommunikasjonen mellom ansatte.
Det er derfor et viktig verktøy for jevn drift av organisasjoner, som krever konstant oppmerksomhet når det gjelder sikkerhet for å beskytte deg mot stadig flere og sofistikerte eksterne og interne angrep.
Nettverksinfrastruktur: Det Ultimate Målet For Cyberangrep
det eneste problemet er at cyberangrep på nettverksinfrastrukturen fortsetter å øke i frekvens, skala og innvirkning. Eksterne og interne servere, nettverksenheter og utstyr, arbeidsstasjoner, er målrettet av nybegynnere og erfarne angripere fordi alle disse enhetene fortsatt har for mange sårbarheter: stor angrepsflate, mangel på ansattes bevissthet, sikkerhetsfeil, dårlig design, konfigurasjon og implementering, svake sikkerhetstiltak, etc.
ingen industri er spart fra sikkerhetshendelser, selv om angriperne har sine egne foretrukne mål. Dette gjelder særlig i helse -, finans-og detaljhandelsnæringen, uavhengig av størrelsen på organisasjonene som opererer på disse feltene.
for å sikre sikkerheten til nettverksinfrastrukturen mot disse angrepene, er det nødvendig med spesifikke sikkerhetstiltak: reduksjon av angrepsflaten, nettverkssegmentering, kryptering av kommunikasjon, brukerbevissthet om sosialtekniske angrep, prinsippet om minst privilegium (PoLP), loggovervåking, etc. Sikkerhetsrevisjoner eller penetrasjonstester er også en god måte å oppdage eksisterende feil i datanettverket for å fikse dem.
i denne artikkelen vil vi fokusere på de vanlige sårbarhetene (tekniske og organisatoriske) som oftest utnyttes under interne og eksterne angrep på nettverksinfrastrukturen ved å illustrere dem med konkrete saker som oppstår under våre penetrasjonstester. Vi vil også detaljere beste praksis og tiltak som skal implementeres for å redusere risikoen eller motvirke disse angrepene.
Hva Er De Vanlige Sårbarhetene I Nettverksinfrastrukturen og Hvordan Beskytter Du deg selv?
Angrepsoverflatestyring Og Risikoeksponering
Alle dataangrep starter vanligvis med en rekognoseringsfase for å identifisere angrepsflaten til et målfirma. Med andre ord samler angripere så mye informasjon om informasjonssystemet som mulig før de starter angrep på potensielt sårbare enheter. Angrepsflaten er derfor summen av elementene som er utsatt i eller utenfor nettverket ditt som kan angripes for å forårsake en sikkerhetshendelse: servere (interne og eksterne), applikasjoner, Api-Er, teknologier, versjoner, komponenter, tekniske eller personlige data osv.
Alle disse har potensielle sårbarheter som en uautorisert person kan utnytte, etter en portskanning eller et forsiktig søk På Google eller Det Mørke Nettet, for å bryte inn i informasjonssystemet ditt.
Å Redusere angrepsflaten er et viktig prinsipp i cybersikkerhet for å beskytte deg mot interne og eksterne angrep. For å gjøre dette, er det nødvendig med to handlinger: på den ene siden er det viktig å kjenne angrepsflaten og derfor å utarbeide et komplett kart over det, som også må oppdateres kontinuerlig fordi en systemarkitektur stadig utvikler seg. På den annen side er det nødvendig å iverksette tiltak for å herde systemene og nettverkene dine for å redusere angrepsflaten.
Kartlegging av angrepsflaten betyr å opprettholde en oppdatert liste over alle dine eiendeler, deres versjoner, implementeringer og sammenlåsing i hele informasjonssystemet. Denne handlingen er ikke veldig komplisert å utføre. Verktøy som shodan eller censys letter denne prosessen. Bare for elementer som ikke er oppført eller ukjente, for eksempel verktøy som brukes av dine ansatte, mulige lekkasjer av sensitive dokumenter eller passord, kan det være verdt å ringe på en spesialisert tredjepart for å utføre en rekognoseringsrevisjon for å utarbeide et uttømmende kart over angrepsflaten med sikte på å redusere den.
for å redusere angrepsflaten etter identifikasjon, kan handlinger for herding av systemene og nettverkene være følgende (ikke uttømmende liste):
- Endre standardpassordene for alle dine tjenester og enheter som er koblet til nettverket
- Avinstallere Eller fjerne ubrukte programmer, tjenester og miljøer
- Teknisk og teknologisk overvåking av nye versjoner og sårbarheter oppdaget i tredjeparts komponenter eller tjenester som brukes
- Implementering av prinsippet om minst privilegier i å administrere tilgangsrettigheter til servere, programmer, databaser, etc.
- segmentering av nettverket ved å partisjonere kritiske systemer og applikasjoner
- Implementering av et flerfaktorautentiseringssystem på kritiske applikasjoner og systemer
Mangel På Intern Nettverkssegmentering Og Svingbare Angrep
De fleste nettverk er satt opp som flate nettverk, med hver server og arbeidsstasjon som kjører på samme lokalnettverk (LAN), slik at hvert program og system på nettverket er i stand til å kommunisere og koble til.til alt annet.
fra et sikkerhetssynspunkt bør denne typen praksis unngås, da de fleste av disse systemene ikke trenger å samhandle med hverandre. Videre, hvis et flatt nettverk blir angrepet (av en angriper eller malware) og en maskin er kompromittert, er hele informasjonssystemet også i fare. Faktisk bruker disse angrepene en metode som kalles «pivoting», som består i å bruke en kompromittert enhet for å få tilgang til andre elementer og bevege seg fritt i nettverket.
dermed er nettverkssegmentering et viktig sikkerhetstiltak, fordi selv om det ikke gjør det mulig å unngå angrep, er det fortsatt en av de viktigste måtene å redusere virkningen av et vellykket angrep. Prinsippet er enkelt. Som navnet antyder, innebærer det å dele et datanettverk i mindre nettverkssegmenter som er isolert fra hverandre i virtuelle lokalnettverk (Vlan). Dette gjør at applikasjoner, servere, arbeidsstasjoner kan grupperes i nettverksunderpartisjoner i henhold til dine sikkerhetsproblemer og prioriteringer, og spesielt i henhold til kritikken av disse systemene. IP-filtrering og brannmurer letter partisjonering av områder.
bruk Av Wi-Fi kan også gi et inngangspunkt for ET it-angrep. Først av Alt er Det viktig å skille Wi-Fi-tilkoblinger av personlige eller besøkende terminaler fra de av organisasjonens terminaler (vanligvis med en gjest Wi-Fi), og deretter å filtrere og begrense strømmen av stasjoner som kobler Til Wi-Fi-nettverket. For å gjøre dette, kan Flere Wi-Fi-nettverk settes opp (hver og en åpenbart partisjonert) i organisasjonen for å begrense tilgangen til visse kritiske ressurser, samtidig som man sikrer at bare de nødvendige elementene er tilgjengelig for de ulike brukergruppene i bedriften.
et konkret eksempel på segmenteringstester utført under en grå boks penetrasjonstest på et internt nettverk. Som testene ble utført i grå boks, pentester ansvarlig for revisjonen ble gitt tilgang til gjest Wi-Fi for å teste segmentering av nettverket:
- under testene, nettverket var godt partisjonert bortsett fra en skriver tilgjengelig inne i nettverket: pentester, som alle besøkende til klientfirmaets lokaler, var dermed i stand til å skrive ut dokumenter
- imidlertid var administrasjonsgrensesnittet til skriveren også tilgjengelig via standard legitimasjon
- Hvis dette sikkerhetsproblemet hadde blitt utnyttet av en ondsinnet angriper, kunne han ha brukt skriveren som en angrepsvektor for å kompromittere det interne nettverket.
- pentesters anbefaling var derfor å begrense tilgangen til skriveren til selskapets personell og å endre påloggingsinformasjonen for administrasjonsgrensesnittet
dermed begrenser segmenteringen av nettverksarkitekturen konsekvensene av en inntrenging til en avgrenset omkrets av informasjonssystemet. I tilfelle en cyberattack, lateral bevegelse av angriperen eller malware ville være umulig, og dermed hindre forplantning. I tillegg, med flere undernettverk som fungerer som små nettverk i seg selv, tillater det administratorer å bedre kontrollere trafikkflyten mellom hver av dem, og dermed lettere oppdage uvanlige hendelser.
det Er likevel viktig å utføre tester for å verifisere at segmenteringen som er satt opp for å isolere kritiske systemer og applikasjoner fra hverandre, er robust. Et internt nettverk pentest er den mest effektive måten å gjøre dette på. Under penetrasjonstestene fokuserer pentesterne på segmenteringskontrollene, både fra utenfor nettverket og fra innsiden av nettverket, for å identifisere potensielle sårbarheter (tekniske feil, konfigurasjon eller implementeringsfeil) som kan gi tilgang til kritiske systemer, applikasjoner og data.
en intern penetrasjonstest sikrer at kritiske systemer og applikasjoner ikke kommuniserer med mindre sikre nettverk. Målet med disse testene er å bekrefte at segmenteringen fungerer som beregnet, og at det ikke finnes smutthull som kan utnyttes av en angriper eller skadelig programvare.
Mangel På Kommunikasjonskryptering, Sniffing Og Man In The Middle-Angrep
noen interne nettverk er konfigurert slik at informasjon overføres i klartekst, dvs. ukryptert. Denne informasjonen kan være konto-Id og tilhørende passord, sensitive data (personlig, bank, etc.), arkitektoniske dokumenter og annen kritisk informasjon, etc. En slik praksis øker risikoen for at informasjonssystemet ditt blir kompromittert av eksterne angripere (har fått tilgang til nettverket ditt) og ondsinnede ansatte. Risikoen er enda større For Wi-Fi-nettverk, da kommunikasjon kan fanges opp gjennom omkretsen som dekkes av tilgangspunktet.
hvis en maskin på nettverket er kompromittert, kan en angriper hente all kringkastingsinformasjon ved hjelp av programvare som avlytter på nettverkstrafikk, for eksempel wireshark. Denne prosessen kalles ‘sniffing’.
for å øke effekten av sniffingen plasserer angriperen seg i En «Mann I Midten» (MitM). Man in The Middle-angrep, også kjent som spionangrep, består av en angriper som bryter inn i en informasjonstransaksjon mellom to maskiner eller servere, ved hjelp av verktøy som Ettercap. En Gang I Mannen I Midtposisjonen lanserer angriperen Wireshark for å lytte til trafikken for å exfiltrere sensitiv informasjon og data.
et konkret tilfelle oppstått under en grå boks penetrasjonstest på et internt nettverk:
- Kartlegging av nettverket Med Nmap
- Oppdagelse av en filserver som kommuniserer med smbv2
- Mann I Midten mellom denne serveren og alle maskinene på nettverket, bruk deretter wireshark til å fange opp og analysere innkommende smb-kommunikasjon
- Ukryptert tilgang til filer som utveksles mellom brukermaskiner og serveren (fakturaer, kontrakter, lønnsslipper, strategiske dokumenter, etc.)
Gitt omfanget av risikoen for sniffing og Mann I midten angrep, er kryptering av informasjon som sirkulerer på nettverket nødvendig. Kryptering av data betyr å gjøre det uforståelig uten en dekrypteringsnøkkel. Det vanligste sikkerhetsmålet er å legge til et krypteringslag i eksisterende protokoller(http, rtp, ftp, etc.) VED HJELP AV SSL-protokollen (https, sftp, srtp, etc.). I det spesifikke tilfellet beskrevet ovenfor var anbefalingen for korreksjon som ble gjort etter testene bruken av smbv3, dvs. smbv2 kombinert med SSL-protokollen, som muliggjør kryptering og derfor garanterer konfidensialiteten til kommunikasjon.
Tilgang Og Identitetsadministrasjon
Når det gjelder angrep på autentiseringsfunksjonen, inkludert brute force-angrep eller passordspraying, og privilegieskalering, har vi allerede detaljert mekanismene i vår forrige artikkel om vanlige sårbarheter i webapplikasjoner. Du kan derfor referere til det som det gjelder for alle enheter i nettverksinfrastrukturen som er tilgjengelige via et autentiseringssystem. I Tillegg kommer Vi tilbake Til Active Directory-angrep i en dedikert artikkel.
Mangel På Logging Og Overvåking
mangelen på logging og overvåking er både en teknisk og organisatorisk feil som gjør det mulig for angripere å opprettholde sin posisjon i et nettverk så lenge som mulig.
som med nettverkssegmentering er det viktig å presisere at god Logging og Overvåkingspraksis ikke sikrer maksimal beskyttelse mot angrep, men de er fortsatt en god måte å oppdage uvanlige hendelser og inntrengninger og dermed redusere virkningen av dem. Hva er de viktigste prinsippene og mekanismene?
De fleste elementene som er involvert i kommunikasjon i et nettverk (informasjonsutveksling, datautveksling, etc.) hold informasjon om det. Faktisk, alle systemer og programmer som kjører «logg» alle hendelser som oppstår. På samme måte holder rutere, proxyer og brannmurer samt tilgangspunkter styr på hver pakke. Denne informasjonen styres deretter av systemet til maskinene som hver av disse enhetene tilhører. Den lagres i en viss tidsperiode i dedikerte filer, ofte kalt «logger».
en effektiv angriper sletter alltid sporene sine etter å ha kompromittert en eller flere maskiner i et nettverk. Dette er for å skjule sin tilstedeværelse fra øynene til administratoren av det kompromitterte nettverket og for å opprettholde sin posisjon så lenge som mulig på de kompromitterte maskinene. God loggstyring er derfor svært nyttig for å oppdage inntrengninger raskt og reagere effektivt.
for å lette administrasjon og utnyttelse av logger, bør de sentraliseres i det interne serverområdet for å tillate enklere administrasjon. Deretter er det nødvendig å implementere programmer (agenter) for å overvåke og synkronisere alle hendelsene som er oppført i loggfilene dine på andre maskiner.
Dette er viktig fordi i tilfelle en maskin blir kompromittert, er det sannsynlig at loggene vil bli ødelagt av angriperen. Sentralisering, synkronisering og duplisering av logger sikrer at du alltid har en kopi.
Menneskelige Feil Og Sosialtekniske Angrep
Utover tekniske feil, konfigurasjons-eller implementeringsproblemer, er sårbarheten som oftest utnyttes av angripere for å kompromittere et informasjonssystem fortsatt menneskelig. Bedriftens ansatte er fortsatt det svakeste leddet i din cybersikkerhet, angripere vet dette og nyheten om vellykkede cyberangrep beviser det!
EN IBM-rapport om phishing-angrepsstatistikk viser at gjennomsnittskostnaden for et datainnbrudd i 2018 var 3,9 millioner dollar. OG I Deres 2019 Internet Crime Report estimerte FBI AT BEC-angrep (Business Email Compromise-angrep der svindlere utgjør bedriftsledere eller leverandører for å lure ansatte til å overføre betalinger til bankkontoer kontrollert av angriperne)ville ha kostet selskaper rundt om i verden om €1.6 milliarder.
prinsippet om social engineering angrep er enkel, og gjennomføringen krever ikke mye teknisk kunnskap i de fleste tilfeller. Den består av en angriper som stoler på menneskelige psykologiske ressurser og deretter bruker sosiale ferdigheter til å skaffe eller kompromittere informasjon om et selskap eller DETS IT-systemer(applikasjoner, ekstern infrastruktur, internt nettverk, hele eller deler av informasjonssystemet for å gjenoppta).
E-Post er fortsatt den viktigste angrepsvektoren. Ved hjelp av phishing, spear phishing (phishing på en begrenset gruppe mennesker), kombinert med vishing (telefonangrep), vet angriperne hvordan de skal utnytte vår naturlige nysgjerrighet, vår pliktfølelse, vår profesjonelle samvittighet, vår hengivenhet for gode kjøp, for å overtale oss til å klikke på en lenke eller laste ned et vedlegg. Med grensesnitt kloner eller malware, de fortsatt klarer å:
- Underslå store mengder penger
- Få bruker-Id og passord
- Stjele, ødelegge eller endre kritiske data
- Lamme hele informasjonssystemet
i de senere år har det vært mange eksempler på vellykkede sosialtekniske angrep på små, mellomstore og store selskaper. Og konsekvensene er ofte ødeleggende og irreversible. Det er imidlertid enkle måter å begrense virkningen av sosialtekniske angrep.
- tenk først og implementer en sikkerhetsstrategi tilpasset dine utfordringer og trusler. Kryptering av alle systemene dine, segmentering av nettverket ditt, streng styring av tilgang og identiteter, reduksjon av angrepsflaten, er alle måter å motvirke angrep eller redusere deres innvirkning.
- og fremfor alt, test robustheten til systemene dine med penetrasjonstester på din eksterne infrastruktur eller ditt interne nettverk. Penetrasjonstester er fortsatt den beste måten å teste sikkerheten til systemene dine mot eksterne og interne angripere. Prinsippet er enkelt: identifisere potensielle sårbarheter og korrigere dem raskt før de utnyttes av angripere. Eksterne infrastrukturpenetrasjonstester gjør det mulig å søke etter sårbarheter i IS-komponenter som er åpne for utsiden. Intern nettverkspentesting består av å kartlegge nettverket før det gjennomføres sikkerhetstester på de identifiserte elementene: servere, Wi-Fi, nettverksutstyr, arbeidsstasjoner, etc. Rapporten som ble utstedt etter testene, gjør det mulig å forstå mekanismene til sårbarhetene som er oppdaget for å reprodusere og fikse dem.
- deretter utfører sosialtekniske tester, enten internt eller gjennom en spesialisert tredjepart. Dette lar deg evaluere oppførselen til dine ansatte når de står overfor tilsynelatende ufarlige e-poster, samtaler eller fysiske inntrengninger i lokalene dine (f.eks. for innskudd av fanget USB-nøkler), men med en dramatisk innvirkning hvis de er et resultat av onde hackere, i motsetning til de gode hackerne som vi er. Resultatene av disse testene kan brukes til å optimalisere teamets bevissthet.
- Til slutt må du kontinuerlig øke bevisstheten og trene alle dine ansatte, fordi cybersikkerhet må være alles virksomhet. Du kan organisere bevisstgjøringsmøter eller gjennomføre kurs, levert av dine spesialiserte team om emnet cybersikkerhet. Det er også tredjeparts opplæringskurs for å øke bevisstheten om sosialtekniske angrep. Disse ikke-tekniske opplæringskursene gjør det lettere å forstå mekanismene for cyberangrep gjennom phishing, vishing, grensesnittkloner, ransomware og beste praksis og stillinger for å vedta for å unngå å ta agn.
Kontakt oss for spørsmål knyttet til et treningsprosjekt eller penetrasjonstester på din eksterne infrastruktur, ditt interne nettverk eller sosialtekniske tester. Vi vil diskutere dine behov og gi deg en intervensjon tilpasset dine sikkerhetsutfordringer og begrensninger, enten det er budsjettmessig eller organisatorisk.