infrastruktura sieciowa jest podstawą działalności biznesowej w większości branż. Można ją uznać za centrum nerwowe całej organizacji IT, ponieważ centralizuje dane, upraszcza wymianę danych i ułatwia komunikację między pracownikami.
jest to zatem niezbędne narzędzie do sprawnego funkcjonowania organizacji, które wymaga stałej uwagi w zakresie bezpieczeństwa, aby chronić się przed coraz liczniejszymi i coraz bardziej wyrafinowanymi atakami zewnętrznymi i wewnętrznymi.
infrastruktura sieciowa: ostateczny cel cyberataków
jedynym problemem jest to, że cyberataki na infrastrukturę sieciową nadal zwiększają częstotliwość, skalę i wpływ. Zewnętrzne i wewnętrzne serwery, urządzenia i Sprzęt sieciowy, stacje robocze są atakowane przez początkujących i doświadczonych atakujących, ponieważ wszystkie te podmioty nadal mają zbyt wiele luk w zabezpieczeniach: duża powierzchnia ataku, brak świadomości pracowników, luki w zabezpieczeniach, zły projekt, konfiguracja i wdrożenie, słabe środki bezpieczeństwa itp.
Żadna branża nie jest chroniona przed incydentami bezpieczeństwa, nawet jeśli napastnicy mają własne preferowane cele. Ma to miejsce w szczególności w sektorze opieki zdrowotnej, finansowym i handlu detalicznego, niezależnie od wielkości organizacji działających w tych dziedzinach.
aby zapewnić bezpieczeństwo infrastruktury sieciowej przed tymi atakami, konieczne są szczególne środki bezpieczeństwa: zmniejszenie powierzchni ataku, segmentacja sieci, szyfrowanie komunikacji, świadomość użytkowników ataków socjotechnicznych, zasada najmniejszego przywileju (PoLP), monitorowanie dzienników itp. Audyty bezpieczeństwa lub testy penetracyjne są również dobrym sposobem na wykrycie istniejących wad w sieci komputerowej, aby je naprawić.
w tym artykule skupimy się na typowych podatnościach (technicznych i organizacyjnych) najczęściej wykorzystywanych podczas wewnętrznych i zewnętrznych ataków na infrastrukturę sieciową, ilustrując je konkretnymi przypadkami napotkanymi podczas naszych testów penetracyjnych. Będziemy również szczegółowo opisywać najlepsze praktyki i środki, które należy wdrożyć w celu zmniejszenia ryzyka lub przeciwdziałania tym atakom.
jakie są typowe luki w infrastrukturze sieciowej i jak się chronić?
zarządzanie powierzchnią ataku i narażenie na ryzyko
wszystkie ataki komputerowe zwykle rozpoczynają się od fazy rozpoznania w celu identyfikacji powierzchni ataku firmy docelowej. Innymi słowy, atakujący gromadzą jak najwięcej informacji o systemie informatycznym, zanim zaczną ataki na potencjalnie podatne na ataki podmioty. Powierzchnia ataku jest zatem sumą elementów odsłoniętych wewnątrz lub na zewnątrz sieci, które mogą zostać zaatakowane w celu wywołania incydentu bezpieczeństwa: serwery (wewnętrzne i zewnętrzne), aplikacje, API, technologie, wersje, komponenty, Dane techniczne lub osobowe itp.
wszystkie z nich mają potencjalne luki, które nieupoważniona osoba może wykorzystać po skanowaniu portów lub starannym przeszukaniu Google lub Dark Web, aby włamać się do systemu informacyjnego.
zmniejszenie powierzchni ataku jest kluczową zasadą w cyberbezpieczeństwie, aby chronić się przed atakami wewnętrznymi i zewnętrznymi. Aby to zrobić, wymagane są dwie czynności: z jednej strony istotne jest poznanie powierzchni ataku, a zatem sporządzenie jej pełnej mapy, która również musi być stale aktualizowana, ponieważ architektura systemu stale się rozwija. Z drugiej strony konieczne jest wdrożenie środków w celu utwardzenia systemów i sieci w celu zmniejszenia powierzchni ataku.
mapowanie powierzchni ataku oznacza utrzymywanie aktualnej listy wszystkich zasobów, ich wersji, implementacji i powiązań w całym systemie informacyjnym. Ta akcja nie jest zbyt skomplikowana do wykonania. Narzędzia takie jak shodan czy censys ułatwiają ten proces. Tylko w przypadku elementów, które nie są wymienione lub nieznane, takich jak narzędzia używane przez twoich pracowników, możliwe wycieki poufnych dokumentów lub haseł, warto wezwać wyspecjalizowaną stronę trzecią do przeprowadzenia audytu rozpoznawczego w celu sporządzenia wyczerpującej mapy powierzchni ataku w celu jej zmniejszenia.
aby zmniejszyć powierzchnię ataku po jego identyfikacji, działania na rzecz utwardzenia systemów i sieci mogą być następujące (lista niewyczerpująca):
- Zmiana domyślnych haseł wszystkich Twoich usług i urządzeń podłączonych do sieci
- odinstalowanie lub usunięcie nieużywanych aplikacji, usług i środowisk
- techniczne i technologiczne monitorowanie nowych wersji i luk wykrytych w używanych komponentach lub Usługach innych firm
- wdrożenie zasady najmniejszego przywileju w zarządzaniu prawami dostępu do serwerów, aplikacji, baz danych itp.
- segmentacja sieci poprzez partycjonowanie krytycznych systemów i aplikacji
- implementacja wieloskładnikowego systemu uwierzytelniania w krytycznych aplikacjach i systemach
brak Wewnętrznej segmentacji sieci i ataków obrotowych
większość sieci jest skonfigurowana jako sieci płaskie, z każdym serwerem i stacją roboczą działającą w tej samej sieci lokalnej (LAN), dzięki czemu każda aplikacja i system w sieci są w stanie komunikować się i łączyć za wszystko inne.
z punktu widzenia bezpieczeństwa należy unikać tego typu praktyk, ponieważ większość tych systemów nie musi ze sobą współdziałać. Co więcej, jeśli płaska sieć zostanie zaatakowana (przez atakującego lub złośliwe oprogramowanie) i jedna maszyna zostanie zagrożona, cały system informacyjny jest również zagrożony. W rzeczywistości ataki te wykorzystują metodę zwaną „pivoting”, która polega na użyciu zagrożonej jednostki, aby uzyskać dostęp do innych elementów i swobodnie poruszać się w sieci.
tak więc segmentacja sieci jest podstawowym środkiem bezpieczeństwa, ponieważ nawet jeśli nie pozwala uniknąć ataków, pozostaje jednym z głównych sposobów zmniejszenia wpływu udanego ataku. Zasada jest prosta. Jak sama nazwa wskazuje, polega ona na podziale sieci komputerowej na mniejsze segmenty sieci, które są od siebie odizolowane w ramach wirtualnych sieci lokalnych (VLAN). Pozwala to na pogrupowanie aplikacji, serwerów, stacji roboczych w pod-partycje sieciowe zgodnie z kwestiami bezpieczeństwa i priorytetami, a zwłaszcza zgodnie z krytycznością tych systemów. Filtrowanie IP i zapory sieciowe ułatwiają partycjonowanie obszarów.
korzystanie z Wi-Fi może również stanowić punkt wejścia do ataku IT. Przede wszystkim należy odróżnić połączenia Wi-Fi terminali osobistych lub odwiedzających od połączeń terminali organizacji (zazwyczaj z Wi-Fi gościa), a następnie filtrować i ograniczać przepływy stacji łączących się z siecią Wi-Fi. W tym celu można skonfigurować kilka sieci Wi-Fi (każda oczywiście podzielona na partycje) w organizacji, aby ograniczyć dostęp do pewnych krytycznych zasobów, zapewniając jednocześnie dostęp do tylko niezbędnych elementów przez różne grupy użytkowników w firmie.
konkretny przykład testów segmentacji przeprowadzonych podczas testu penetracji szarej skrzynki w sieci wewnętrznej. Ponieważ testy przeprowadzono w szarym polu, pentester odpowiedzialny za audyt otrzymał dostęp do Wi-Fi gościa w celu przetestowania segmentacji sieci:
- podczas testów sieć była dobrze podzielona, z wyjątkiem drukarki dostępnej wewnątrz sieci: pentester, podobnie jak wszyscy odwiedzający siedzibę firmy klienta, był w stanie drukować dokumenty
- jednak interfejs administracyjny drukarki był również dostępny za pośrednictwem domyślnych poświadczeń
- jeśli ta luka została wykorzystana przez złośliwego napastnika, mógł użyć drukarki jako wektora ataku, aby zagrozić sieci wewnętrznej.
- zalecenie pentestera dotyczyło zatem ograniczenia dostępu do drukarki wyłącznie personelowi firmy i zmiany danych logowania do interfejsu administracyjnego
w ten sposób segmentacja architektury sieci ogranicza konsekwencje wtargnięcia do ograniczonego obwodu systemu informatycznego. W przypadku cyberataku ruch boczny atakującego lub złośliwego oprogramowania byłby niemożliwy, uniemożliwiając w ten sposób rozprzestrzenianie się. Ponadto wiele podsieci działających jako małe sieci same w sobie pozwala administratorom lepiej kontrolować przepływ ruchu między każdą z nich, a tym samym łatwiej wykrywać nietypowe zdarzenia.
niemniej jednak ważne jest, aby przeprowadzić testy w celu sprawdzenia, czy segmentacja skonfigurowana w celu odizolowania krytycznych systemów i aplikacji od siebie jest solidna. Sieć wewnętrzna pentest jest najskuteczniejszym sposobem, aby to zrobić. Podczas testów penetracyjnych pentesterzy koncentrują się na kontroli segmentacji, zarówno spoza sieci, jak i wewnątrz sieci, w celu zidentyfikowania potencjalnych luk w zabezpieczeniach (wady techniczne, błędy konfiguracyjne lub implementacyjne), które mogłyby umożliwić dostęp do krytycznych systemów, aplikacji i danych.
wewnętrzny test penetracyjny zapewnia, że krytyczne systemy i aplikacje nie komunikują się z mniej bezpiecznymi sieciami. Celem tych testów jest potwierdzenie, że segmentacja działa zgodnie z przeznaczeniem i że nie ma luk, które mogłyby zostać wykorzystane przez atakującego lub złośliwe oprogramowanie.
brak szyfrowania komunikacji,Sniffing i ataki Man In The Middle
niektóre sieci wewnętrzne są skonfigurowane tak, aby informacje były przesyłane w postaci czystego tekstu, tj. niezaszyfrowane. Informacje te mogą być identyfikatorami kont i powiązanymi hasłami, danymi wrażliwymi (osobistymi, bankowymi itp.), dokumenty architektoniczne i inne krytyczne informacje itp. Taka praktyka znacznie zwiększa ryzyko naruszenia systemu informatycznego przez zewnętrznych napastników (po uzyskaniu dostępu do sieci) i złośliwych pracowników. Ryzyko jest jeszcze większe w przypadku sieci Wi-Fi, ponieważ komunikacja może być przechwytywana na całym obwodzie objętym punktem dostępowym.
jeśli komputer w sieci jest zagrożony, atakujący może odzyskać wszystkie informacje o transmisji za pomocą oprogramowania, które podsłuchuje ruch sieciowy, takiego jak wireshark. Proces ten nazywany jest „wąchaniem”.
aby zwiększyć siłę uderzenia, atakujący umieszcza się w” człowieku pośrodku ” (MitM). Ataki Man in the Middle, znane również jako ataki szpiegowskie, polegają na włamaniu się atakującego do transakcji informacyjnej między dwoma maszynami lub serwerami, przy użyciu narzędzi takich jak Ettercap. Gdy człowiek znajduje się na środkowej pozycji, atakujący uruchamia Wireshark, aby słuchać ruchu, aby eksfiltrować poufne informacje i dane.
konkretna sprawa napotkana podczas testu penetracji szarej skrzynki w sieci wewnętrznej:
- mapowanie sieci za pomocą Nmap
- wykrywanie serwera plików komunikującego się z smbv2
- człowiek pośrodku między tym serwerem a wszystkimi maszynami w sieci następnie użyj wireshark do przechwytywania i analizowania przychodzących komunikatów smb
- niezaszyfrowany dostęp do plików wymienianych między maszynami użytkowników a serwerem (faktury, umowy, paski płacowe, dokumenty strategiczne itp.)
biorąc pod uwagę zakres ryzyka związanego z atakami typu „sniffing” i „Man In The Middle”, konieczne jest szyfrowanie informacji krążących w sieci. Szyfrowanie danych oznacza uczynienie ich niezrozumiałymi bez klucza deszyfrującego. Najczęstszym środkiem bezpieczeństwa jest dodanie warstwy szyfrującej do istniejących protokołów (http, rtp, ftp itp.) przy użyciu protokołu SSL (https, SFTP, srtp, itd.). W opisanym powyżej szczególnym przypadku rekomendacją do korekty po przeprowadzeniu testów było zastosowanie smbv3, tj. smbv2 w połączeniu z protokołem SSL, który umożliwia szyfrowanie, a tym samym gwarantuje poufność komunikacji.
Zarządzanie dostępem i tożsamością
jeśli chodzi o ataki na funkcję uwierzytelniania, w tym ataki brute force lub natryskiwanie haseł oraz eskalację uprawnień, szczegółowo opisaliśmy mechanizmy w naszym poprzednim artykule na temat typowych luk w zabezpieczeniach aplikacji internetowych. W związku z tym można się do niego odnosić, ponieważ odnosi się do wszystkich podmiotów w infrastrukturze sieciowej, które są dostępne za pośrednictwem systemu uwierzytelniania. Ponadto wrócimy do ataków w usłudze Active Directory w dedykowanym artykule.
brak logowania i monitorowania
brak logowania i monitorowania jest zarówno wadą techniczną, jak i organizacyjną, która pozwala atakującym utrzymać swoją pozycję w sieci tak długo, jak to możliwe.
podobnie jak w przypadku segmentacji sieci, ważne jest, aby określić, że dobre praktyki rejestrowania i monitorowania nie zapewniają maksymalnej ochrony przed atakami, ale pozostają dobrym sposobem wykrywania nietypowych zdarzeń i włamań, a tym samym zmniejszania ich wpływu. Jakie są główne zasady i mechanizmy?
większość elementów związanych z komunikacją w sieci (wymiana informacji, wymiana danych itp.) zachować informacje o tym. W rzeczywistości wszystkie systemy i aplikacje uruchomione „rejestrują” wszystkie zdarzenia, które występują. Podobnie routery, serwery proxy i zapory sieciowe, a także punkty dostępowe śledzą każdy pakiet. Informacje te są następnie zarządzane przez system maszyn, do których należy każdy z tych podmiotów. Jest on przechowywany przez określony czas w dedykowanych plikach, zwanych potocznie „logami”.
skuteczny atakujący zawsze kasuje swoje ślady po narażeniu jednej lub więcej maszyn w sieci. Ma to na celu ukrycie jego obecności przed oczami administratora skompromitowanej sieci i utrzymanie jego pozycji tak długo, jak to możliwe na skompromitowanych maszynach. Dobre zarządzanie logami jest zatem bardzo przydatne do szybkiego wykrywania włamań i skutecznego reagowania.
aby ułatwić zarządzanie i eksploatację logów, powinny one być scentralizowane w wewnętrznym obszarze serwera, aby umożliwić łatwiejszą administrację. Następnie konieczne jest wdrożenie programów (agentów) do monitorowania i synchronizacji wszystkich zdarzeń wymienionych w plikach dziennika na innych komputerach.
jest to ważne, ponieważ w przypadku naruszenia komputera, jest prawdopodobne, że logi zostaną zniszczone przez atakującego. Centralizacja, synchronizacja i duplikowanie dzienników sprawi, że zawsze będziesz mieć kopię.
ludzkie wady i ataki socjotechniczne
poza wadami technicznymi, problemami z konfiguracją lub implementacją, Luka najczęściej wykorzystywana przez atakujących w celu skompromitowania systemu informacyjnego pozostaje ludzka. Pracownicy Twojej firmy są nadal najsłabszym ogniwem w cyberbezpieczeństwie, atakujący to wiedzą, a wiadomość o udanych cyberatakach to potwierdza!
raport IBM na temat statystyk ataków phishingowych pokazuje, że średni koszt naruszenia danych w 2018 roku wyniósł 3,9 miliona dolarów. W raporcie Internet Crime 2019 FBI oszacowało, że ataki BEC (Business Email Compromise – ataki, w których oszuści podszywają się pod kierownictwo firmy lub sprzedawców, aby nakłonić pracowników do przeniesienia płatności na konta bankowe kontrolowane przez napastników) kosztowałyby firmy na całym świecie około 1,6 miliarda euro.
zasada ataków socjotechnicznych jest prosta, a ich realizacja w większości przypadków nie wymaga dużej wiedzy technicznej. Składa się z atakującego polegającego na ludzkich zasobach psychologicznych, a następnie wykorzystującego umiejętności społeczne w celu uzyskania lub naruszenia informacji o firmie lub jej systemach informatycznych (aplikacje, Infrastruktura zewnętrzna, sieć wewnętrzna, całość lub część systemu informacyjnego do wznowienia).
Email pozostaje głównym wektorem ataku. Wykorzystując phishing, spear phishing (phishing na ograniczonej grupie osób), w połączeniu z vishingiem (atakami telefonicznymi), napastnicy wiedzą, jak wykorzystać naszą naturalną ciekawość, nasze poczucie obowiązku, nasze zawodowe sumienie, nasze przywiązanie do okazji, aby przekonać nas do kliknięcia linku lub pobrania załącznika. Dzięki klonom interfejsu lub złośliwemu oprogramowaniu nadal udaje im się:
- defraudacja ogromnych pieniędzy
- uzyskanie identyfikatorów użytkowników i haseł
- kradzież, zniszczenie lub zmiana krytycznych danych
- sparaliżowanie całego systemu informatycznego
w ostatnich latach odnotowano wiele przykładów udanych ataków socjotechnicznych na małe, średnie i duże firmy. A konsekwencje są często druzgocące i nieodwracalne. Istnieją jednak proste sposoby ograniczenia wpływu ataków socjotechnicznych.
- po pierwsze, pomyśl i wdroż strategię bezpieczeństwa dostosowaną do Twoich wyzwań i zagrożeń. Szyfrowanie wszystkich systemów, segmentacja sieci, rygorystyczne zarządzanie dostępem i tożsamością, zmniejszenie powierzchni ataku, to wszystkie sposoby przeciwdziałania atakom lub zmniejszania ich wpływu.
- przede wszystkim przetestuj niezawodność swoich systemów za pomocą testów penetracyjnych infrastruktury zewnętrznej lub sieci wewnętrznej. Testy penetracyjne pozostają najlepszym sposobem testowania bezpieczeństwa systemów przed zewnętrznymi i wewnętrznymi atakującymi. Zasada jest prosta: zidentyfikuj potencjalne luki i szybko je skoryguj, zanim zostaną wykorzystane przez atakujących. Testy penetracyjne infrastruktury zewnętrznej umożliwiają wyszukiwanie luk w komponentach IS otwartych na zewnątrz. Pentesting sieci wewnętrznej polega na mapowaniu sieci przed przeprowadzeniem testów bezpieczeństwa na zidentyfikowanych elementach: serwerach, Wi-Fi, sprzęcie sieciowym, stacjach roboczych itp. Raport wydany po testach umożliwia zrozumienie mechanizmów wykrytych luk w celu ich odtworzenia i naprawienia.
- następnie przeprowadzaj testy socjotechniczne, wewnętrznie lub za pośrednictwem wyspecjalizowanej strony trzeciej. Pozwala to ocenić zachowanie pracowników w obliczu pozornie nieszkodliwych wiadomości e-mail, połączeń telefonicznych lub fizycznych włamań do lokalu (np. w celu złożenia uwięzionych kluczy USB), ale z dramatycznym skutkiem, jeśli są one wynikiem złych hakerów, w przeciwieństwie do dobrych hakerów, którymi jesteśmy. Wyniki tych testów mogą być wykorzystane do optymalizacji świadomości zespołów.
- wreszcie, musisz stale podnosić świadomość i szkolić wszystkich swoich pracowników, ponieważ cyberbezpieczeństwo musi być sprawą każdego. Możesz organizować spotkania zespołów podnoszących świadomość lub prowadzić szkolenia prowadzone przez wyspecjalizowane zespoły na temat cyberbezpieczeństwa. Istnieją również kursy szkoleniowe prowadzone przez osoby trzecie w celu podniesienia świadomości na temat ataków z zakresu inżynierii społecznej. Te nietechniczne szkolenia ułatwiają zrozumienie mechanizmów cyberataków poprzez phishing, vishing, klony interfejsów, oprogramowanie ransomware oraz najlepsze praktyki i postawy, które należy przyjąć, aby uniknąć połknięcia przynęty.
skontaktuj się z nami w przypadku jakichkolwiek pytań związanych z projektem szkoleniowym lub testami penetracyjnymi infrastruktury zewnętrznej, sieci wewnętrznej lub testami inżynierii społecznej. Omówimy twoje potrzeby i zapewnimy interwencję dostosowaną do Twoich wyzwań w zakresie bezpieczeństwa i ograniczeń, zarówno budżetowych, jak i organizacyjnych.