infrastructura de rețea se află în centrul operațiunilor de afaceri în majoritatea industriilor. Poate fi considerat centrul nervos al întregii organizații IT, deoarece centralizează datele, simplifică schimbul de date și facilitează comunicarea între angajați.
prin urmare, este un instrument esențial pentru buna funcționare a organizațiilor, care necesită o atenție constantă în ceea ce privește securitatea, pentru a vă proteja împotriva atacurilor externe și interne din ce în ce mai numeroase și sofisticate.
infrastructura de rețea: ținta finală a atacurilor cibernetice
singura problemă este că atacurile cibernetice asupra infrastructurii de rețea continuă să crească în frecvență, scară și impact. Serverele externe și interne, dispozitivele și echipamentele de rețea, stațiile de lucru, sunt vizate de atacatori începători și experimentați, deoarece toate aceste entități au încă prea multe vulnerabilități: suprafață mare de atac, lipsă de conștientizare a angajaților, defecte de securitate, proiectare, configurare și implementare slabă, măsuri de securitate slabe etc.
nicio industrie nu este scutită de incidentele de securitate, chiar dacă atacatorii au propriile ținte preferate. Acest lucru este valabil în special în industria medicală, financiară și cu amănuntul, indiferent de dimensiunea organizațiilor care își desfășoară activitatea în aceste domenii.
pentru a asigura securitatea infrastructurii rețelei împotriva acestor atacuri, sunt necesare măsuri specifice de securitate: reducerea suprafeței de atac, segmentarea rețelei, criptarea comunicațiilor, conștientizarea utilizatorilor cu privire la atacurile de inginerie socială, principiul celui mai mic privilegiu (PoLP), monitorizarea jurnalului etc. Auditurile de securitate sau testele de penetrare sunt, de asemenea, o modalitate bună de a detecta defectele existente în rețeaua de calculatoare pentru a le remedia.
în acest articol, ne vom concentra asupra vulnerabilităților comune (tehnice și organizaționale) exploatate cel mai des în timpul atacurilor interne și externe asupra infrastructurii rețelei, ilustrându-le cu cazuri concrete întâlnite în timpul testelor noastre de penetrare. De asemenea, vom detalia cele mai bune practici și măsuri care trebuie puse în aplicare pentru a reduce riscul sau a contracara aceste atacuri.
care sunt vulnerabilitățile comune în infrastructura de rețea și cum să vă protejați?
Managementul suprafeței de atac și expunerea la risc
toate atacurile informatice încep de obicei cu o fază de recunoaștere pentru a identifica suprafața de atac a unei companii țintă. Cu alte cuvinte, atacatorii adună cât mai multe informații despre sistemul informatic înainte de a lansa atacuri asupra entităților potențial vulnerabile. Prin urmare, suprafața de atac este suma elementelor expuse în interiorul sau în afara rețelei dvs. care pot fi atacate pentru a provoca un incident de securitate: servere (interne și externe), aplicații, API-uri, tehnologii, versiuni, componente, Date tehnice sau personale etc.
toate acestea au vulnerabilități potențiale pe care o persoană neautorizată le-ar putea exploata, în urma unei scanări de porturi sau a unei căutări atente pe Google sau pe Dark Web, pentru a intra în sistemul dvs. de informații.
reducerea suprafeței de atac este un principiu cheie în securitatea cibernetică pentru a vă proteja împotriva atacurilor interne și externe. Pentru a face acest lucru, sunt necesare două acțiuni: pe de o parte, este esențial să vă cunoașteți suprafața de atac și, prin urmare, să întocmiți o hartă completă a acesteia, care trebuie, de asemenea, actualizată continuu, deoarece o arhitectură de sistem este în continuă evoluție. Pe de altă parte, este necesar să implementați măsuri pentru a vă întări sistemele și rețelele pentru a vă reduce suprafața de atac.
cartografierea suprafeței de atac înseamnă menținerea unei liste actualizate a tuturor activelor dvs., a versiunilor, implementărilor și a interconectării în întregul dvs. sistem de informații. Această acțiune nu este foarte complexă de realizat. Instrumente precum shodan sau censys facilitează acest proces. Numai pentru elementele care nu sunt listate sau necunoscute, cum ar fi instrumentele utilizate de angajații dvs., eventualele scurgeri de documente sensibile sau parole, poate fi util să solicitați unui terț specializat să efectueze un audit de recunoaștere pentru a întocmi o hartă exhaustivă a suprafeței dvs. de atac cu scopul de a o reduce.
pentru a reduce suprafața de atac în urma identificării sale, acțiunile de întărire a sistemelor și rețelelor dvs. pot fi următoarele (listă neexhaustivă):
- schimbarea parolelor implicite ale tuturor serviciilor și dispozitivelor dvs. conectate la rețea
- Dezinstalarea sau eliminarea aplicațiilor, serviciilor și mediilor neutilizate
- monitorizarea tehnică și tehnologică a noilor versiuni și vulnerabilități descoperite în componente sau servicii terțe utilizate
- implementarea principiului celui mai mic privilegiu în gestionarea drepturilor de acces la servere, aplicații, baze de date etc.
- segmentarea rețelei prin partiționarea sistemelor și aplicațiilor critice
- implementarea unui sistem de autentificare cu mai mulți factori pe aplicațiile și sistemele critice
lipsa segmentării rețelei interne și a atacurilor pivotante
majoritatea rețelelor sunt configurate ca rețele plate, fiecare server și stație de lucru rulând pe aceeași rețea locală (LAN), astfel încât fiecare aplicație și sistem din rețea să poată comunica și să se conecteze la orice altceva.
din punct de vedere al securității, acest tip de practică ar trebui evitat, deoarece majoritatea acestor sisteme nu trebuie să interacționeze între ele. În plus, dacă o rețea plană este atacată (de un atacator sau malware) și o mașină este compromisă, întregul sistem de informații este, de asemenea, în pericol. Într-adevăr, aceste atacuri folosesc o metodă numită „pivotare”, care constă în utilizarea unei entități compromise pentru a accesa alte elemente și a se deplasa liber în rețea.
astfel, segmentarea rețelei este o măsură esențială de securitate, deoarece, chiar dacă nu permite evitarea atacurilor, rămâne una dintre principalele modalități de reducere a impactului unui atac reușit. Principiul este simplu. După cum sugerează și numele, aceasta implică împărțirea unei rețele de calculatoare în segmente de rețea mai mici, care sunt izolate unele de altele în cadrul rețelelor locale virtuale (VLAN). Acest lucru permite aplicațiilor, serverelor, stațiilor de lucru, să fie grupate în sub-partiții de rețea în funcție de problemele și prioritățile dvs. de securitate și, în special, în funcție de criticitatea acestor sisteme. Filtrarea IP și firewall-urile facilitează partiționarea zonelor.
utilizarea Wi-Fi poate oferi, de asemenea, un punct de intrare pentru un atac IT. În primul rând, este esențial să distingem conexiunile Wi-Fi ale terminalelor personale sau ale vizitatorilor de cele ale terminalelor organizației (în general cu Wi-Fi pentru oaspeți) și apoi să filtrăm și să restricționăm fluxurile de stații care se conectează la rețeaua Wi-Fi. Pentru a face acest lucru, mai multe rețele Wi-Fi pot fi configurate (fiecare în mod evident partiționate) în cadrul organizației dvs. pentru a restricționa accesul la anumite resurse critice, asigurându-vă în același timp că numai elementele necesare sunt accesate de diferitele grupuri de utilizatori din cadrul companiei dvs.
un exemplu concret de teste de segmentare efectuate în timpul unui test de penetrare a cutiei gri pe o rețea internă. Deoarece testele au fost efectuate în cutie gri, pentesterul responsabil de audit a primit acces la Wi-Fi-ul oaspeților pentru a testa segmentarea rețelei:
- în timpul testelor, rețeaua a fost bine partiționată, cu excepția unei imprimante disponibile în interiorul rețelei: pentesterul, la fel ca toți vizitatorii sediului Companiei client, a fost astfel capabil să imprime documente
- cu toate acestea, interfața de administrare a imprimantei a fost accesibilă și prin acreditările implicite
- dacă această vulnerabilitate ar fi fost exploatată de un atacator rău intenționat, ar fi putut folosi imprimanta ca vector de atac pentru a compromite rețeaua internă.
- recomandarea pentesterului a fost, prin urmare, să restricționeze accesul la imprimantă numai personalului companiei și să schimbe acreditările de conectare pentru interfața de administrare
astfel, segmentarea arhitecturii rețelei limitează consecințele unei intruziuni la un perimetru delimitat al sistemului informatic. În cazul unui atac cibernetic, mișcarea laterală a atacatorului sau a malware-ului ar fi imposibilă, împiedicând astfel propagarea. În plus, cu mai multe sub-rețele care acționează ca rețele mici în sine, permite administratorilor să controleze mai bine fluxul de trafic între fiecare dintre ele și, prin urmare, să identifice mai ușor evenimente neobișnuite.
cu toate acestea, este important să efectuați teste pentru a verifica dacă segmentarea configurată pentru a izola sistemele și aplicațiile critice una de cealaltă este robustă. O rețea internă pentest este cel mai eficient mod de a face acest lucru. În timpul testelor de penetrare, pentesterii se concentrează pe controalele de segmentare, atât din afara rețelei, cât și din interiorul rețelei, pentru a identifica potențialele vulnerabilități (defecte tehnice, defecte de configurare sau implementare) care ar putea permite accesul la sisteme, aplicații și date critice.
un test de penetrare internă asigură faptul că sistemele și aplicațiile critice nu comunică cu rețele mai puțin sigure. Obiectivul acestor teste este de a confirma că segmentarea funcționează conform intenției și că nu există lacune care ar putea fi exploatate de un atacator sau malware.
lipsa criptării Comunicațiilor, Sniffing și Man In the Middle atacă
unele rețele interne sunt configurate astfel încât informațiile să fie transmise în text clar, adică necriptate. Aceste informații pot fi ID-uri de cont și parole asociate, date sensibile (personale, bancare etc.), documente arhitecturale și alte informații critice etc. O astfel de practică crește foarte mult riscul ca sistemul dvs. de informații să fie compromis de atacatori externi (care au obținut acces la rețeaua dvs.) și de angajați rău intenționați. Riscul este și mai mare pentru rețelele Wi-Fi, deoarece comunicațiile pot fi interceptate pe tot perimetrul acoperit de punctul de acces.
dacă o mașină din rețea este compromisă, un atacator poate prelua toate informațiile difuzate utilizând software-ul care ascultă traficul de rețea, cum ar fi wireshark. Acest proces este cunoscut sub numele de’sniffing’.
pentru a spori impactul adulmecării, atacatorul se plasează într-un” om în mijloc ” (MitM). Atacurile Man in the middle, cunoscute și sub numele de atacuri de spionaj, constau într-un atacator care intră într-o tranzacție de informații între două mașini sau servere, folosind instrumente precum Ettercap. Odată ajuns în omul din poziția de mijloc, atacatorul lansează Wireshark pentru a asculta traficul pentru a extrage informații și date sensibile.
un caz concret întâlnit în timpul unui test de penetrare a cutiei gri într-o rețea internă:
- maparea rețelei cu Nmap
- descoperirea unui server de fișiere care comunică cu smbv2
- omul din mijloc între acest server și toate mașinile din rețea apoi utilizați wireshark pentru a intercepta și analiza comunicațiile smb primite
- acces necriptat la fișierele schimbate între mașinile utilizator și server (facturi, contracte, fișe de plată, documente strategice etc.)
având în vedere amploarea riscurilor de sniffing și om în atacurile de mijloc, criptarea informațiilor care circulă în rețea este necesară. Criptarea datelor înseamnă a le face neinteligibile fără o cheie de decriptare. Cea mai obișnuită măsură de securitate este adăugarea unui strat de criptare la protocoalele existente (http, RTP, ftp etc.) folosind protocolul SSL (https, sftp, srtp etc.). În cazul specific descris mai sus, recomandarea de corectare făcută în urma testelor a fost utilizarea smbv3, adică smbv2 cuplat cu protocolul SSL, care permite criptarea și, prin urmare, garantează confidențialitatea comunicațiilor.
Gestionarea accesului și a identității
în ceea ce privește atacurile asupra funcției de autentificare, inclusiv atacurile cu forță brută sau pulverizarea parolei și escaladarea privilegiilor, am detaliat deja mecanismele din articolul nostru anterior despre vulnerabilitățile comune ale aplicațiilor web. Prin urmare, vă puteți referi la acesta, deoarece se aplică tuturor entităților din infrastructura de rețea care sunt accesibile printr-un sistem de autentificare. În plus, vom reveni la atacurile Active Directory într-un articol dedicat.
lipsa înregistrării și monitorizării
lipsa înregistrării și monitorizării este atât un defect tehnic, cât și organizațional care permite atacatorilor să își mențină poziția într-o rețea cât mai mult timp posibil.
ca și în cazul segmentării rețelei, este important să se precizeze că bunele practici de exploatare forestieră și monitorizare nu asigură o protecție maximă împotriva atacurilor, dar rămân o modalitate bună de a detecta evenimente și intruziuni neobișnuite și, prin urmare, de a reduce impactul acestora. Care sunt principiile și mecanismele principale?
majoritatea elementelor implicate în comunicarea în cadrul unei rețele (schimb de informații, Schimb de date etc.) păstrați informații despre el. Într-adevăr, toate sistemele și aplicațiile care rulează „înregistrează” toate evenimentele care apar. În mod similar, routerele, proxy-urile și firewall-urile, precum și punctele de acces țin evidența fiecărui pachet. Aceste informații sunt apoi gestionate de sistemul mașinilor de care aparține fiecare dintre aceste entități. Este stocat, pentru o anumită perioadă de timp, în fișiere dedicate, denumite în mod obișnuit „jurnale”.
un atacator eficient își șterge întotdeauna urmele după ce a compromis una sau mai multe mașini dintr-o rețea. Aceasta este pentru a-și ascunde prezența de ochii administratorului rețelei compromise și pentru a-și menține poziția cât mai mult posibil pe mașinile compromise. Prin urmare, o bună gestionare a jurnalelor este foarte utilă pentru a detecta rapid intruziunile și a reacționa eficient.
pentru a facilita gestionarea și exploatarea jurnalelor, acestea ar trebui centralizate în zona serverului intern pentru a permite o administrare mai ușoară. Apoi, este necesar să se pună în aplicare programe (agenți) pentru a monitoriza și sincroniza toate evenimentele enumerate în fișierele jurnal pe alte masini.
acest lucru este important deoarece, în cazul în care o mașină este compromisă, este probabil ca jurnalele să fie distruse de atacator. Centralizarea, sincronizarea și duplicarea jurnalelor vă vor asigura că aveți întotdeauna o copie.
defecte umane și atacuri de inginerie socială
dincolo de defectele tehnice, problemele de configurare sau implementare, vulnerabilitatea exploatată cel mai adesea de atacatori pentru a compromite un sistem informatic rămâne umană. Angajații companiei dvs. sunt în continuare cea mai slabă verigă din securitatea cibernetică, atacatorii știu acest lucru și știrile despre atacurile cibernetice de succes o dovedesc!
un raport IBM privind statisticile atacurilor de tip phishing arată că costul mediu al unei încălcări a datelor în 2018 a fost de 3,9 milioane de dolari. Și în raportul lor privind criminalitatea pe Internet din 2019, FBI a estimat că atacurile BEC (Compromisul e – mailului de afaceri-atacuri în care fraudatorii se prezintă ca directori de companii sau vânzători pentru a păcăli angajații să transfere plăți către conturi bancare controlate de atacatori) ar fi costat companiile din întreaga lume aproximativ 1,6 miliarde de euro.
principiul atacurilor de inginerie socială este simplu, iar implementarea lor nu necesită multe cunoștințe tehnice în majoritatea cazurilor. Acesta constă într-un atacator care se bazează pe resursele psihologice umane și apoi folosește abilități sociale pentru a obține sau compromite informații despre o companie sau sistemele IT ale acesteia (aplicații, infrastructură externă, rețea internă, toate sau o parte a sistemului informațional de reluat).
e-mailul rămâne principalul vector de atac. Folosind phishing, spear phishing (phishing pe un grup restrâns de oameni), împreună cu vishing (atacuri telefonice), atacatorii știu să exploateze curiozitatea noastră naturală, simțul datoriei, conștiința noastră profesională, afecțiunea noastră pentru chilipiruri, pentru a ne convinge să facem clic pe un link sau să descărcăm un atașament. Cu clone de interfață sau malware, ei încă reușesc să:
- Delapidează sume uriașe de bani
- obține ID-uri de utilizator și parole
- fura, distruge sau modifica datele critice
- paraliza întregul sistem de informații
în ultimii ani, au existat multe exemple de atacuri de succes de inginerie socială asupra companiilor mici, mijlocii și mari. Iar consecințele sunt adesea devastatoare și ireversibile. Cu toate acestea, există modalități simple de a limita impactul atacurilor de inginerie socială.
- în primul rând, gândiți-vă și implementați o strategie de securitate adaptată provocărilor și amenințărilor dvs. Criptarea tuturor sistemelor dvs., segmentarea rețelei dvs., gestionarea riguroasă a accesului și identităților, reducerea suprafeței de atac, sunt toate modalități de combatere a atacurilor sau de reducere a impactului acestora.
- și, mai presus de toate, testați robustețea sistemelor dvs. cu teste de penetrare pe infrastructura externă sau rețeaua internă. Testele de penetrare rămân cea mai bună modalitate de a testa securitatea sistemelor dvs. împotriva atacatorilor externi și interni. Principiul este simplu: identificați potențialele vulnerabilități și corectați-le rapid înainte de a fi exploatate de atacatori. Testele de penetrare a infrastructurii externe permit căutarea vulnerabilităților în componentele IS deschise spre exterior. Pentestarea rețelei interne constă în cartografierea rețelei înainte de efectuarea testelor de securitate pe elementele identificate: servere, Wi-Fi, echipamente de rețea, stații de lucru etc. Raportul emis în urma testelor permite înțelegerea mecanismelor vulnerabilităților descoperite pentru a le reproduce și remedia.
- apoi efectuați teste de inginerie socială, fie intern, fie prin intermediul unui terț specializat. Acest lucru vă permite să evaluați comportamentul angajaților dvs. atunci când se confruntă cu e-mailuri, apeluri sau intruziuni fizice aparent inofensive în sediul dvs. (de exemplu, pentru depunerea cheilor USB prinse), dar cu un impact dramatic dacă acestea sunt rezultatul hackerilor răi, spre deosebire de hackerii buni care suntem. Rezultatele acestor teste pot fi utilizate pentru a optimiza conștientizarea echipelor dvs.
- în cele din urmă, trebuie să creșteți continuu gradul de conștientizare și să vă instruiți toți angajații, deoarece securitatea cibernetică trebuie să fie afacerea tuturor. Puteți organiza întâlniri ale echipei de sensibilizare sau puteți desfășura cursuri de formare, oferite de echipele dvs. specializate pe tema securității cibernetice. Există, de asemenea, cursuri de formare terță parte pentru a crește gradul de conștientizare a atacurilor de inginerie socială. Aceste cursuri de formare non-tehnice facilitează înțelegerea mecanismelor atacurilor cibernetice prin phishing, vishing, clone de interfață, ransomware și cele mai bune practici și posturi de adoptat pentru a evita momeala.
contactați-ne pentru orice întrebare legată de un proiect de instruire sau teste de penetrare a infrastructurii dvs. externe, a rețelei dvs. interne sau a testelor de inginerie socială. Vom discuta despre nevoile dvs. și vă vom oferi o intervenție adaptată provocărilor dvs. de securitate și constrângerilor dvs., indiferent dacă sunt bugetare sau organizaționale.