de netwerkinfrastructuur vormt de kern van de bedrijfsactiviteiten in de meeste industrieën. Het kan beschouwd worden als het zenuwcentrum van de gehele IT-organisatie omdat het data centraliseert, gegevensuitwisseling vereenvoudigt en communicatie tussen medewerkers vergemakkelijkt.
het is daarom een essentieel instrument voor het goed functioneren van organisaties, dat constante aandacht vraagt op het gebied van veiligheid om jezelf te beschermen tegen steeds talrijker en geavanceerder externe en interne aanvallen.
netwerkinfrastructuur: het uiteindelijke doel van cyberaanvallen
het enige probleem is dat cyberaanvallen op de netwerkinfrastructuur blijven toenemen in frequentie, schaal en impact. Externe en interne servers, netwerkapparaten en-apparatuur, werkstations, zijn het doelwit van beginnende en ervaren aanvallers omdat al deze entiteiten nog steeds te veel kwetsbaarheden hebben: groot aanvalsoppervlak, gebrek aan medewerkerbewustzijn, beveiligingsfouten, slecht ontwerp, configuratie en implementatie, zwakke veiligheidsmaatregelen, enz.
geen enkele industrie wordt gespaard van veiligheidsincidenten, zelfs als aanvallers hun eigen voorkeursdoel hebben. Dit is met name het geval in de gezondheidszorg, de financiële sector en de detailhandel, ongeacht de omvang van de organisaties die op deze gebieden actief zijn.
om de beveiliging van de netwerkinfrastructuur tegen deze aanvallen te waarborgen, zijn specifieke beveiligingsmaatregelen nodig: vermindering van het aanvalsoppervlak, netwerksegmentatie, encryptie van communicatie, gebruikersbewustzijn van aanvallen op social engineering, beginsel van de minste privilege (PoLP), log monitoring, enz. Beveiligingsaudits of penetratietests zijn ook een goede manier om bestaande gebreken in uw computernetwerk op te sporen om ze op te lossen.
In dit artikel zullen we ons richten op de gemeenschappelijke kwetsbaarheden (technisch en organisatorisch) die het vaakst worden uitgebuit tijdens interne en externe aanvallen op de netwerkinfrastructuur door ze te illustreren met concrete gevallen die zich voordoen tijdens onze penetratietests. We zullen ook de beste praktijken en maatregelen beschrijven die moeten worden toegepast om het risico te verminderen of deze aanvallen tegen te gaan.
Wat zijn de meest voorkomende kwetsbaarheden in de netwerkinfrastructuur en hoe kunt u uzelf beschermen?
beheer van het aanvalsoppervlak en blootstelling aan risico ‘ s
alle computeraanvallen beginnen gewoonlijk met een verkenningsfase om het aanvalsoppervlak van een doelbedrijf te identificeren. Met andere woorden, aanvallers verzamelen zo veel mogelijk informatie over het informatiesysteem voor de lancering van aanvallen op potentieel kwetsbare entiteiten. Het aanvalsoppervlak is dus de som van de elementen die binnen of buiten uw netwerk zijn blootgesteld en die kunnen worden aangevallen om een beveiligingsincident te veroorzaken.: servers (intern en extern), applicaties, API ‘ s, technologieën, versies, componenten, technische of persoonlijke gegevens, enz.
al deze hebben potentiële kwetsbaarheden die een onbevoegde persoon zou kunnen uitbuiten, na een poortscan of een zorgvuldig zoeken op Google of het Dark Web, om in uw informatiesysteem in te breken.
het verminderen van uw aanvalsoppervlak is een belangrijk principe in cybersecurity om uzelf te beschermen tegen interne en externe aanvallen. Om dit te doen, zijn twee acties vereist: aan de ene kant is het essentieel om je aanvalsoppervlak te kennen en er daarom een complete kaart van op te stellen, die ook voortdurend moet worden bijgewerkt omdat een systeemarchitectuur voortdurend in ontwikkeling is. Aan de andere kant is het noodzakelijk om maatregelen te implementeren om uw systemen en netwerken te harden om uw aanvalsoppervlak te verminderen.
het in kaart brengen van uw aanvalsoppervlak betekent het bijhouden van een up-to-date lijst van al uw activa, hun versies, implementaties en interlocking in uw gehele informatiesysteem. Deze actie is niet erg complex om uit te voeren. Tools zoals shodan of censys vergemakkelijken dit proces. Alleen voor elementen die niet vermeld of onbekend zijn, zoals tools die door uw medewerkers worden gebruikt, mogelijke lekken van gevoelige documenten of wachtwoorden , kan het de moeite waard zijn een beroep te doen op een gespecialiseerde derde partij om een verkenningsaudit uit te voeren om een uitputtende kaart van uw aanvalsoppervlak op te stellen met het doel het te verminderen.
om uw aanvalsoppervlak na identificatie te verkleinen, kunnen acties voor het verharden van uw systemen en netwerken de volgende zijn (niet-uitputtende lijst):
- De standaardwachtwoorden wijzigen van al uw diensten en apparaten die zijn aangesloten op het netwerk
- ongebruikte toepassingen, diensten en omgevingen verwijderen of verwijderen
- technische en technologische monitoring van nieuwe versies en kwetsbaarheden die zijn ontdekt in componenten van derden of gebruikte diensten
- implementatie van het principe van de minste privilege bij het beheren van toegangsrechten tot servers, toepassingen, databases, enz.
- Segmentering van het netwerk door het partitioneren van kritische systemen en toepassingen
- Implementatie van een multi-factor authenticatie systeem op uw kritische applicaties en systemen
Gebrek aan Intern Netwerk Segmentatie en Draaibare Aanvallen
de Meeste netwerken worden opgezet als een flatscreen-netwerken, met elke server en werkstation draait op hetzelfde local area network (LAN), zodat elke toepassing en-systeem op het netwerk in staat is om te communiceren en verbinding maken met alles.Uit veiligheidsoogpunt moet dit soort praktijken worden vermeden omdat de meeste van deze systemen niet met elkaar hoeven te communiceren. Bovendien, als een vlak netwerk wordt aangevallen (door een aanvaller of malware) en een machine wordt aangetast, het hele informatiesysteem is ook in gevaar. Inderdaad, deze aanvallen maken gebruik van een methode genaamd “pivoting”, die bestaat uit het gebruik van een gecompromitteerde entiteit om toegang te krijgen tot andere elementen en vrij te bewegen in het netwerk.
netwerksegmentatie is dus een essentiële veiligheidsmaatregel, omdat, zelfs als het niet mogelijk is aanvallen te voorkomen, het een van de belangrijkste manieren blijft om de impact van een succesvolle aanval te verminderen. Het principe is eenvoudig. Zoals de naam al doet vermoeden, gaat het om het verdelen van een computernetwerk in kleinere netwerksegmenten die van elkaar zijn geà soleerd binnen virtual local area networks (VLAN ‘ s). Hierdoor kunnen applicaties, servers, werkstations worden gegroepeerd in netwerksubpartities volgens uw beveiligingsproblemen en prioriteiten, en vooral volgens de kriticiteit van deze systemen. IP-filtering en firewalls vergemakkelijken de partitionering van gebieden.
het gebruik van Wi-Fi kan ook een toegangspunt bieden voor een IT-aanval. Allereerst is het essentieel om de Wi-Fi-verbindingen van persoonlijke of bezoekersterminals te onderscheiden van die van de terminals van de organisatie (meestal met een gast-Wi-Fi), en vervolgens de stromen van stations die verbinding maken met het Wi-Fi-netwerk te filteren en te beperken. Om dit te doen, kunnen verschillende Wi-Fi-netwerken worden opgezet (elk duidelijk verdeeld) binnen uw organisatie om de toegang tot bepaalde kritieke bronnen te beperken en ervoor te zorgen dat alleen de noodzakelijke elementen worden benaderd door de verschillende gebruikersgroepen binnen uw bedrijf.
een concreet voorbeeld van segmentatietests uitgevoerd tijdens een grey box penetratietest op een intern netwerk. Aangezien de tests werden uitgevoerd in grey box, kreeg de pentester die verantwoordelijk was voor de audit toegang tot de gast Wi-Fi om de segmentatie van het netwerk te testen:
- tijdens de tests is het netwerk goed gepartitioneerd, behalve een printer die beschikbaar is in het netwerk: de pentester was, net als alle bezoekers van het bedrijf van de klant, in staat om documenten
- af te drukken, maar de beheerinterface van de printer was ook toegankelijk via de standaard referenties
- als deze kwetsbaarheid was uitgebuit door een kwaadwillende aanvaller, kon hij de printer hebben gebruikt als een aanvalsvector om het interne netwerk in gevaar te brengen.
- De aanbeveling van pentester was daarom de toegang tot de printer te beperken tot bedrijfspersoneel en de inloggegevens voor de administratie-interface te wijzigen
zo beperkt de segmentering van de netwerkarchitectuur de gevolgen van een inbreuk op een afgebakende omtrek van het informatiesysteem. In het geval van een cyberaanval, zijwaartse beweging van de aanvaller of malware zou onmogelijk zijn, waardoor voortplanting voorkomen. Bovendien, met meerdere subnetwerken die fungeren als kleine netwerken in hun eigen recht, het stelt beheerders in staat om beter te controleren de stroom van het verkeer tussen elk van hen, en dus gemakkelijker te herkennen ongewone gebeurtenissen.
niettemin is het belangrijk om tests uit te voeren om te controleren of de segmentatie die is ingesteld om uw kritieke systemen en toepassingen van elkaar te isoleren, robuust is. Een intern netwerk pentest is de meest effectieve manier om dit te doen. Tijdens de penetratietests richten de pentesters zich op de segmentatiecontroles, zowel van buiten het netwerk als van binnen het netwerk, om potentiële kwetsbaarheden (technische gebreken, configuratie-of implementatiefouten) te identificeren die toegang zouden kunnen geven tot kritieke systemen, toepassingen en gegevens.
een interne penetratietest zorgt ervoor dat kritieke systemen en toepassingen niet communiceren met minder veilige netwerken. Het doel van deze tests is om te bevestigen dat de segmentatie werkt zoals bedoeld en dat er geen mazen die kunnen worden uitgebuit door een aanvaller of malware.
gebrek aan communicatie-encryptie, Sniffing en Man In the Middle-aanvallen
sommige interne netwerken zijn zo geconfigureerd dat informatie in duidelijke tekst wordt verzonden, d.w.z. niet-versleuteld. Deze informatie kan rekening-ID ‘ s en bijbehorende wachtwoorden, gevoelige gegevens (persoonlijke, bankieren, enz.), architectonische documenten en andere kritische informatie, enz. Een dergelijke praktijk verhoogt sterk het risico dat uw informatiesysteem wordt aangetast door externe aanvallers (toegang tot uw netwerk hebben verkregen) en kwaadaardige werknemers. Het risico is nog groter voor Wi-Fi-netwerken, omdat communicatie kan worden onderschept over de hele omtrek die door het toegangspunt wordt gedekt.
als een machine in het netwerk gecompromitteerd is, kan een aanvaller alle informatie over de uitzending ophalen met behulp van software die aflevert op netwerkverkeer, zoals wireshark. Dit procesś staat bekend als’snuiven’.Om de impact van het snuiven te vergroten plaatst de aanvaller zich in een “Man in the Middle” (MitM). Man in the Middle aanvallen, ook bekend als Spionage aanvallen, bestaan uit een aanvaller breken in een informatietransactie tussen twee machines of servers, met behulp van tools zoals Ettercap. Eenmaal in de Man in de middelste positie, de aanvaller lanceert Wireshark om te luisteren naar het verkeer naar exfiltrate gevoelige informatie en gegevens.
een concreet geval dat is aangetroffen tijdens een grijsdoos-penetratietest op een intern netwerk:
- het netwerk in kaart brengen met Nmap
- ontdekking van een bestandsserver die communiceert met smbv2
- Man In het midden tussen deze server en alle machines op het netwerk gebruik vervolgens wireshark om inkomende SMB-communicatie te onderscheppen en te analyseren
- niet-versleutelde toegang tot bestanden die worden uitgewisseld tussen gebruikersmachines en de server (facturen, contracten, loonstrookjes, strategische documenten, enz.)
gezien de omvang van de risico ‘ s van snuiven en Man In the Middle aanvallen, is de encryptie van informatie die op het netwerk circuleert noodzakelijk. Gegevens versleutelen betekent het onbegrijpelijk maken zonder een decryptie sleutel. De meest voorkomende beveiligingsmaatregel is het toevoegen van een coderingslaag aan bestaande protocollen (http, rtp, ftp, enz.) met behulp van het SSL-protocol (https, SFTP, srtp, enz.). In het hierboven beschreven specifieke geval was de na de tests gedane aanbeveling tot correctie het gebruik van smbv3, d.w.z. smbv2 in combinatie met het SSL-protocol, dat versleuteling mogelijk maakt en derhalve de vertrouwelijkheid van de communicatie garandeert.
Access and Identity Management
met betrekking tot aanvallen op de authenticatiefunctie, inclusief brute force-aanvallen of wachtwoordspuiten, en privilege-escalatie, hebben we de mechanismen al gedetailleerd beschreven in ons vorige artikel over kwetsbaarheden in veelgebruikte webapplicaties. U kunt er daarom naar verwijzen als het van toepassing is op alle entiteiten in uw netwerkinfrastructuur die toegankelijk zijn via een verificatiesysteem. Daarnaast komen we terug op Active Directory-aanvallen in een speciaal artikel.
gebrek aan Logging en Monitoring
het gebrek aan logging en monitoring is zowel een technisch als organisatorisch gebrek waardoor aanvallers hun positie in een netwerk zo lang mogelijk kunnen behouden.
net als bij netwerksegmentatie is het belangrijk te specificeren dat goede Logging en Monitoring geen maximale bescherming tegen aanvallen bieden, maar wel een goede manier blijven om ongewone gebeurtenissen en inbraken op te sporen en daardoor de impact ervan te verminderen. Wat zijn de belangrijkste principes en mechanismen?
de meeste elementen die betrokken zijn bij de communicatie binnen een netwerk (informatie-uitwisseling, gegevensuitwisseling, enz.) houd informatie over. Inderdaad, alle systemen en toepassingen draaien “log” alle gebeurtenissen die zich voordoen. Op dezelfde manier houden routers, proxies en firewalls evenals access points elk pakket bij. Deze informatie wordt vervolgens beheerd door het systeem van de machines waartoe elk van deze entiteiten behoort. Het wordt gedurende een bepaalde periode opgeslagen in speciale bestanden, gewoonlijk “logs”genoemd.
een efficiënte aanvaller wist altijd zijn sporen na het compromitteren van een of meer machines in een netwerk. Dit is om zijn aanwezigheid te verbergen voor de ogen van de beheerder van het gecompromitteerde netwerk en om zijn positie zo lang mogelijk op de gecompromitteerde machines te behouden. Goed logbeheer is daarom zeer nuttig om inbraken snel op te sporen en effectief te reageren.
om het beheer en de exploitatie van logs te vergemakkelijken, moeten deze in het interne servergebied worden gecentraliseerd om het beheer te vergemakkelijken. Vervolgens is het noodzakelijk om programma ‘ s (agenten) te implementeren om alle gebeurtenissen in uw logbestanden op andere machines te monitoren en te synchroniseren.
dit is belangrijk omdat, in het geval dat een machine wordt gecompromitteerd, het waarschijnlijk is dat de logs zullen worden vernietigd door de aanvaller. Het centraliseren, synchroniseren en dupliceren van logs zorgt ervoor dat u altijd over een kopie beschikt.
menselijke gebreken en Social Engineering-aanvallen
naast technische gebreken, configuratie-of implementatieproblemen blijft de kwetsbaarheid die aanvallers het vaakst gebruiken om een informatiesysteem in gevaar te brengen, menselijk. De medewerkers van uw bedrijf zijn nog steeds de zwakste schakel in uw cybersecurity, aanvallers weten dit en het nieuws van succesvolle cyberaanvallen bewijst het!
een IBM-rapport over phishing-attackstatistieken toont aan dat de gemiddelde kosten van een datalek in 2018 $3,9 miljoen bedroegen. En in hun 2019 Internet Crime Report schatte de FBI dat BEC attacks (Business E-Mail compromis-aanvallen waarbij fraudeurs zich voordoen als bedrijfsleiders of verkopers om werknemers te misleiden tot het overzetten van betalingen naar bankrekeningen gecontroleerd door de aanvallers) bedrijven over de hele wereld ongeveer €1,6 miljard zou hebben gekost.
het principe van social engineering aanvallen is eenvoudig, en de implementatie ervan vereist in de meeste gevallen niet veel technische kennis. Het bestaat uit een aanvaller die vertrouwt op menselijke psychologische middelen en vervolgens sociale vaardigheden gebruikt om informatie over een bedrijf of zijn IT-systemen (applicaties, externe infrastructuur, intern netwerk, het geheel of een deel van het informatiesysteem te hervatten) te verkrijgen of in gevaar te brengen.
e-mail blijft de belangrijkste aanvalsvector. Met behulp van phishing, spear phishing (phishing op een beperkte groep mensen), in combinatie met vishing (telefoonaanvallen), weten aanvallers hoe ze onze natuurlijke nieuwsgierigheid, ons plichtsgevoel, ons professionele geweten, onze genegenheid voor koopjes kunnen uitbuiten, om ons te overtuigen om op een link te klikken of een bijlage te downloaden. Met interface klonen of malware, ze nog steeds in slagen om:
- verduisteren van enorme bedragen
- gebruikers-ID ‘ s en wachtwoorden verkrijgen
- kritieke gegevens stelen, vernietigen of wijzigen
- uw gehele informatiesysteem verlammen
In de afgelopen jaren zijn er veel voorbeelden geweest van succesvolle aanvallen op social engineering op kleine, middelgrote en grote bedrijven. En de gevolgen zijn vaak verwoestend en onomkeerbaar. Er zijn echter eenvoudige manieren om de impact van social engineering-aanvallen te beperken.
- ten eerste, bedenk en implementeer een beveiligingsstrategie die is aangepast aan uw uitdagingen en bedreigingen. Encryptie van al uw systemen, segmentatie van uw netwerk, streng beheer van toegang en identiteiten, vermindering van het aanvalsoppervlak, zijn allemaal manieren om aanvallen tegen te gaan of hun impact te verminderen.
- en test vooral de robuustheid van uw systemen met penetratietests op uw externe infrastructuur of uw interne netwerk. Penetratietests blijven de beste manier om de beveiliging van uw systemen te testen tegen externe en interne aanvallers. Het principe is eenvoudig: identificeer potentiële kwetsbaarheden en corrigeer ze snel voordat ze worden uitgebuit door aanvallers. Externe infrastructuur penetratietests maken het mogelijk om te zoeken naar kwetsbaarheden in is-componenten die naar buiten toe open staan. Internal network pentesting bestaat uit het in kaart brengen van het netwerk alvorens beveiligingstests uit te voeren op de geïdentificeerde elementen: servers, Wi-Fi, netwerkapparatuur, werkstations, enz. Het rapport dat na de tests wordt uitgegeven, maakt het mogelijk de mechanismen van de ontdekte kwetsbaarheden te begrijpen om ze te reproduceren en op te lossen.
- voer vervolgens social engineering-tests uit, intern of via een gespecialiseerde derde partij. Dit stelt u in staat om het gedrag van uw medewerkers te evalueren wanneer ze geconfronteerd worden met schijnbaar onschuldige e-mails, oproepen of fysieke inbraken in uw gebouwen (bijvoorbeeld voor het deponeren van gevangen USB-sleutels), maar met een dramatische impact als ze het gevolg zijn van kwaadaardige hackers, in tegenstelling tot de goede hackers die wij zijn. De resultaten van deze tests kunnen worden gebruikt om het bewustzijn van uw teams te optimaliseren.
- tot slot moet je voortdurend het bewustzijn verhogen en al je medewerkers opleiden, omdat cybersecurity ieders zaak moet zijn. U kunt sensibiliseringsteambijeenkomsten organiseren of trainingen geven door uw gespecialiseerde teams op het gebied van cybersecurity. Er zijn ook cursussen van derden om het bewustzijn van social engineering aanvallen te verhogen. Deze niet-technische trainingen maken het gemakkelijker om de mechanismen van cyberaanvallen te begrijpen door middel van phishing, vishing, interface klonen, ransomware, en de beste praktijken en houdingen aan te nemen om te voorkomen dat het aas.
neem contact met ons op voor vragen met betrekking tot een opleidingsproject of penetratietesten op uw externe infrastructuur, uw interne netwerk of social engineering-tests. We bespreken uw behoeften en bieden u een interventie die is aangepast aan uw veiligheidsuitdagingen en uw beperkingen, zowel budgettair als organisatorisch.