nätverksinfrastrukturen är kärnan i affärsverksamheten i de flesta branscher. Det kan betraktas som nervcentret för hela IT-organisationen eftersom det centraliserar data, förenklar datautbyte och underlättar kommunikation mellan anställda.
det är därför ett viktigt verktyg för att organisationer ska fungera smidigt, vilket kräver ständig uppmärksamhet när det gäller säkerhet för att skydda dig mot allt fler och sofistikerade externa och interna attacker.
nätverksinfrastruktur: det ultimata målet för cyberattacker
det enda problemet är att cyberattacker på nätverksinfrastrukturen fortsätter att öka i frekvens, skala och påverkan. Externa och interna servrar, nätverksenheter och utrustning, arbetsstationer, riktas av nybörjare och erfarna angripare eftersom alla dessa enheter fortfarande har för många sårbarheter: stor attackyta, brist på medarbetarmedvetenhet, säkerhetsbrister, dålig design, konfiguration och implementering, svaga säkerhetsåtgärder etc.
ingen bransch sparas från säkerhetsincidenter, även om angripare har sina egna föredragna mål. Detta är särskilt fallet inom hälso-och sjukvården, Finans-och detaljhandeln, oavsett storleken på de organisationer som är verksamma inom dessa områden.
för att säkerställa nätverksinfrastrukturens säkerhet mot dessa attacker är specifika säkerhetsåtgärder nödvändiga: minskning av attackytan, nätverkssegmentering, kryptering av kommunikation, användarmedvetenhet om socialtekniska attacker, principen om minst privilegium (PoLP), loggövervakning etc. Säkerhetsrevisioner eller penetrationstester är också ett bra sätt att upptäcka befintliga brister i ditt datornätverk för att åtgärda dem.
i den här artikeln kommer vi att fokusera på de vanliga sårbarheterna (tekniska och organisatoriska) som oftast utnyttjas under interna och externa attacker på nätverksinfrastrukturen genom att illustrera dem med konkreta fall som uppstått under våra penetrationstester. Vi kommer också att beskriva de bästa metoderna och åtgärderna som ska genomföras för att minska risken eller motverka dessa attacker.
vilka är de vanliga sårbarheterna i nätverksinfrastrukturen och hur skyddar du dig själv?
hantering av Attackytor och riskexponering
alla datorattacker börjar vanligtvis med en rekognoseringsfas för att identifiera attackytan hos ett målföretag. Med andra ord samlar angripare så mycket information om informationssystemet som möjligt innan de startar attacker mot potentiellt utsatta enheter. Attackytan är därför summan av de element som exponeras inom eller utanför ditt nätverk som kan attackeras för att orsaka en säkerhetsincident: servrar (interna och externa), applikationer, API: er, tekniker, versioner, komponenter, tekniska eller personuppgifter etc.
alla dessa har potentiella sårbarheter som en obehörig person kan utnyttja, efter en portskanning eller en noggrann sökning på Google eller den mörka webben, för att bryta sig in i ditt informationssystem.
att minska din attackyta är en nyckelprincip inom cybersäkerhet för att skydda dig mot interna och externa attacker. För att göra detta krävs två åtgärder: å ena sidan är det viktigt att känna till din attackyta och därför utarbeta en fullständig karta över den, som också måste uppdateras kontinuerligt eftersom en systemarkitektur ständigt utvecklas. Å andra sidan är det nödvändigt att genomföra åtgärder för att härda dina system och nätverk för att minska din attackyta.
att kartlägga din attackyta innebär att du upprätthåller en uppdaterad lista över alla dina tillgångar, deras versioner, implementeringar och sammankoppling i hela ditt informationssystem. Denna åtgärd är inte särskilt komplex att utföra. Verktyg som shodan eller censys underlättar denna process. Endast för element som inte är listade eller okända, till exempel verktyg som används av dina anställda, eventuella läckor av känsliga dokument eller lösenord, kan det vara värt att uppmana en specialiserad tredje part att utföra en rekognoseringsrevision för att upprätta en uttömmande karta över din attackyta i syfte att minska den.
för att minska din attackyta efter identifieringen kan åtgärder för att härda dina system och nätverk vara följande (icke uttömmande lista):
- ändra standardlösenorden för alla dina tjänster och enheter som är anslutna till nätverket
- Avinstallera eller ta bort oanvända applikationer, tjänster och miljöer
- teknisk och teknisk övervakning av nya versioner och sårbarheter som upptäckts i komponenter eller tjänster från tredje part som används
- implementering av principen om minst behörighet för att hantera åtkomsträttigheter till servrar, applikationer, databaser etc.
- segmentering av nätverket genom att partitionera kritiska system och applikationer
- implementering av ett multifaktorautentiseringssystem på dina kritiska applikationer och system
brist på intern Nätverkssegmentering och Svängningsattacker
de flesta nätverk är inställda som platta nätverk, där varje server och arbetsstation körs på samma lokala nätverk (LAN), så att varje applikation och system i nätverket kan kommunicera och ansluta till allt annat.
ur säkerhetssynpunkt bör denna typ av praxis undvikas eftersom de flesta av dessa system inte behöver interagera med varandra. Dessutom, om ett platt nätverk attackeras (av en angripare eller skadlig kod) och en maskin äventyras, är hela informationssystemet också i fara. Faktum är att dessa attacker använder en metod som kallas ”pivoting”, som består i att använda en komprometterad enhet för att komma åt andra element och röra sig fritt i nätverket.
således är nätverkssegmentering en viktig säkerhetsåtgärd, för även om det inte gör det möjligt att undvika attacker är det fortfarande ett av de viktigaste sätten att minska effekterna av en framgångsrik attack. Principen är enkel. Som namnet antyder handlar det om att dela ett datornätverk i mindre nätverkssegment som är isolerade från varandra inom virtuella lokala nätverk (VLAN). Detta gör att applikationer, servrar, arbetsstationer kan grupperas i nätverksunderpartitioner enligt dina säkerhetsproblem och prioriteringar, och särskilt enligt kritiken hos dessa system. IP-filtrering och brandväggar underlättar partitionering av områden.
användningen av Wi-Fi kan också ge en startpunkt för en IT-attack. Först och främst är det viktigt att skilja Wi-Fi-anslutningarna för personliga eller besökarterminaler från organisationens terminaler (vanligtvis med gäst-Wi-Fi) och sedan filtrera och begränsa flödena för stationer som ansluter till Wi-Fi-nätverket. För att göra detta kan flera Wi-Fi-nätverk ställas in (var och en uppenbarligen uppdelad) inom din organisation för att begränsa åtkomsten till vissa kritiska resurser samtidigt som man säkerställer att endast de nödvändiga elementen nås av de olika användargrupperna inom ditt företag.
ett konkret exempel på segmenteringstester som utförs under en grå box penetrationstest på ett internt nätverk. När testerna utfördes i grå låda fick pentester som ansvarar för revisionen tillgång till Gästens Wi-Fi för att testa segmenteringen av nätverket:
- under testerna var nätverket väl partitionerat förutom en skrivare tillgänglig i nätverket: pentester, som alla besökare i klientföretagets lokaler, kunde således skriva ut dokument
- skrivarens administrationsgränssnitt var dock också tillgängligt via standarduppgifterna
- om denna sårbarhet hade utnyttjats av en skadlig angripare kunde han ha använt skrivaren som en attackvektor för att äventyra det interna nätverket.
- pentesters rekommendation var därför att begränsa åtkomsten till skrivaren till endast företagets personal och att ändra inloggningsuppgifterna för administrationsgränssnittet
således begränsar segmenteringen av nätverksarkitekturen konsekvenserna av ett intrång i en avgränsad omkrets av informationssystemet. I händelse av en cyberattack skulle sidorörelse av angriparen eller skadlig programvara vara omöjlig, vilket förhindrar förökning. Dessutom, med flera undernätverk som fungerar som små nätverk i sig, gör det möjligt för administratörer att bättre kontrollera trafikflödet mellan var och en av dem och därför lättare upptäcka ovanliga händelser.
ändå är det viktigt att utföra tester för att verifiera att segmenteringen som är inställd för att isolera dina kritiska system och applikationer från varandra är robust. Ett internt nätverk pentest är det mest effektiva sättet att göra detta. Under penetrationstesterna fokuserar pentestrarna på segmenteringskontrollerna, både utanför nätverket och inifrån nätverket, för att identifiera potentiella sårbarheter (tekniska brister, konfigurations-eller implementeringsfel) som kan ge åtkomst till kritiska system, applikationer och data.
ett internt penetrationstest säkerställer att kritiska system och applikationer inte kommunicerar med mindre säkra nätverk. Syftet med dessa tester är att bekräfta att segmenteringen fungerar som avsedd och att det inte finns några kryphål som kan utnyttjas av en angripare eller skadlig kod.
brist på Kommunikationskryptering, sniffning och Man i mitten attacker
vissa interna nätverk är konfigurerade så att information överförs i klartext, dvs okrypterad. Denna information kan vara konto-ID och tillhörande lösenord, känslig information (personlig, bank, etc.), arkitektoniska dokument och annan kritisk information etc. En sådan praxis ökar risken för att ditt informationssystem äventyras av externa angripare (efter att ha fått tillgång till ditt nätverk) och skadliga anställda. Risken är ännu större för Wi-Fi-nätverk, eftersom kommunikation kan avlyssnas i hela omkretsen som omfattas av åtkomstpunkten.
om en maskin i nätverket äventyras kan en angripare hämta all sändningsinformation med hjälp av programvara som avlyssnar nätverkstrafik, till exempel wireshark. Denna process är känd som ’sniffing’.
för att öka effekten av sniffningen placerar angriparen sig i en ”Man i mitten” (MitM). Man in the Middle attacks, även känd som spionattacker, består av en angripare som bryter in i en informationstransaktion mellan två maskiner eller servrar, med hjälp av verktyg som Ettercap. En gång i mannen i mittläget startar angriparen Wireshark för att lyssna på trafiken för att exfiltrera känslig information och data.
ett konkret fall påträffas under en grå låda penetrationstest på ett internt nätverk:
- kartlägga nätverket med Nmap
- upptäckt av en filserver som kommunicerar med smbv2
- Man i mitten mellan denna server och alla maskiner i nätverket använder sedan wireshark för att fånga upp och analysera inkommande smb-kommunikation
- okrypterad åtkomst till filer som utbyts mellan användarmaskiner och servern (fakturor, kontrakt, lönebesked, strategiska dokument etc.)
med tanke på omfattningen av riskerna med sniffing och Man In the Middle-attacker är kryptering av information som cirkulerar i nätverket nödvändig. Kryptera data innebär att göra det obegripligt utan en dekrypteringsnyckel. Den vanligaste säkerhetsåtgärden är att lägga till ett krypteringslager i befintliga protokoll (http, rtp, ftp, etc.) med SSL-protokollet (https, sftp, srtp, etc.). I det specifika fall som beskrivs ovan var rekommendationen för korrigering som gjordes efter testerna användningen av smbv3, dvs. smbv2 i kombination med SSL-protokollet, vilket möjliggör kryptering och därför garanterar konfidentialiteten för kommunikation.
åtkomst och identitetshantering
när det gäller attacker på autentiseringsfunktionen, inklusive brute force-attacker eller lösenordssprutning och utökning av privilegier, har vi redan detaljerat mekanismerna i vår tidigare artikel om vanliga sårbarheter i webbapplikationer. Du kan därför hänvisa till det eftersom det gäller alla enheter i din nätverksinfrastruktur som är tillgängliga via ett autentiseringssystem. Dessutom kommer vi tillbaka till Active Directory-attacker i en dedikerad artikel.
brist på loggning och övervakning
bristen på loggning och övervakning är både en teknisk och organisatorisk brist som gör det möjligt för angripare att behålla sin position i ett nätverk så länge som möjligt.
som med nätverkssegmentering är det viktigt att ange att god loggnings-och övervakningspraxis inte garanterar maximalt skydd mot attacker, men de är fortfarande ett bra sätt att upptäcka ovanliga händelser och intrång och därmed minska deras påverkan. Vilka är huvudprinciperna och mekanismerna?
de flesta element som är involverade i kommunikation inom ett nätverk (informationsutbyte, datautbyte etc.) håll information om det. Faktum är att alla system och applikationer som kör ”loggar” alla händelser som uppstår. På samma sätt håller routrar, proxyservrar och brandväggar samt åtkomstpunkter koll på varje paket. Denna information hanteras sedan av systemet för de maskiner som var och en av dessa enheter tillhör. Den lagras under en viss tid i dedikerade filer, vanligtvis kallade ”loggar”.
en effektiv angripare raderar alltid sina spår efter att ha kompromissat med en eller flera maskiner i ett nätverk. Detta är för att dölja hans närvaro från ögonen på administratören av det komprometterade nätverket och för att behålla sin position så länge som möjligt på de komprometterade maskinerna. God logghantering är därför mycket användbar för att snabbt upptäcka intrång och reagera effektivt.
för att underlätta hantering och utnyttjande av loggar bör de centraliseras i det interna serverområdet för att möjliggöra enklare administration. Då är det nödvändigt att genomföra program (agenter) för att övervaka och synkronisera alla händelser som anges i dina loggfiler på andra maskiner.
detta är viktigt eftersom det är troligt att loggarna kommer att förstöras av angriparen om en maskin äventyras. Centralisering, synkronisering och duplicering av loggar säkerställer att du alltid har en kopia.
mänskliga brister och socialtekniska attacker
utöver tekniska brister, konfigurations-eller implementeringsproblem förblir sårbarheten som oftast utnyttjas av angripare för att kompromissa med ett informationssystem mänskligt. Ditt företags anställda är fortfarande den svagaste länken i din cybersäkerhet, angripare vet detta och nyheten om framgångsrika cyberattacker bevisar det!
en IBM-rapport om phishing-attackstatistik visar att den genomsnittliga kostnaden för ett dataintrång 2018 var 3,9 miljoner dollar. Och i deras 2019 Internet Crime Report uppskattade FBI att BEC-attacker (Business Email Compromise – attacker där bedrägerier utgör företagsledare eller leverantörer för att lura anställda att överföra betalningar till bankkonton som kontrolleras av angriparna) skulle ha kostat företag runt om i världen om 1.6 miljarder kronor.
principen om socialtekniska attacker är enkel, och deras genomförande kräver inte mycket teknisk kunskap i de flesta fall. Den består av en angripare som förlitar sig på mänskliga psykologiska resurser och sedan använder sociala färdigheter för att få eller kompromissa med information om ett företag eller dess IT-system (applikationer, extern Infrastruktur, internt nätverk, hela eller delar av informationssystemet för att återuppta).
e-post förblir huvudattackvektorn. Med hjälp av phishing, spear phishing (phishing på en begränsad grupp människor), i kombination med vishing (telefonattacker), vet angripare hur man utnyttjar vår naturliga nyfikenhet, vår pliktkänsla, vårt professionella samvete, vår tillgivenhet för fynd, för att övertyga oss att klicka på en länk eller ladda ner en bilaga. Med gränssnittskloner eller skadlig kod lyckas de fortfarande:
- förskingra enorma summor pengar
- skaffa användar-ID och lösenord
- stjäla, förstöra eller ändra kritiska data
- förlama hela ditt informationssystem
under de senaste åren har det funnits många exempel på framgångsrika socialtekniska attacker på små, medelstora och stora företag. Och konsekvenserna är ofta förödande och irreversibla. Det finns dock enkla sätt att begränsa effekterna av socialtekniska attacker.
- tänk först och implementera en säkerhetsstrategi anpassad till dina utmaningar och hot. Kryptering av alla dina system, segmentering av ditt nätverk, rigorös hantering av åtkomst och identiteter, minskning av attackytan, är alla sätt att motverka attacker eller minska deras påverkan.
- och framför allt, testa robustheten i dina system med penetrationstester på din externa infrastruktur eller ditt interna nätverk. Penetrationstester är fortfarande det bästa sättet att testa säkerheten för dina system mot externa och interna angripare. Principen är enkel: identifiera potentiella sårbarheter och korrigera dem snabbt innan de utnyttjas av angripare. Penetrationstester för extern infrastruktur gör det möjligt att söka efter sårbarheter i IS-komponenter som är öppna för utsidan. Intern nätverkspentestning består av att kartlägga nätverket innan du utför säkerhetstester på de identifierade elementen: servrar, Wi-Fi, nätverksutrustning, arbetsstationer etc. Rapporten som utfärdats efter testerna gör det möjligt att förstå mekanismerna för de upptäckta sårbarheterna för att reproducera och åtgärda dem.
- utför sedan sociala tekniska tester, antingen internt eller genom en specialiserad tredje part. Detta gör att du kan utvärdera dina anställdas beteende när du möter till synes ofarliga e-postmeddelanden, samtal eller fysiska intrång i dina lokaler (t.ex. för deponering av fångade USB-nycklar), men med en dramatisk inverkan om de är resultatet av onda hackare, i motsats till de goda hackare som vi är. Resultaten av dessa tester kan användas för att optimera dina teams medvetenhet.
- Slutligen måste du kontinuerligt öka medvetenheten och utbilda alla dina anställda, eftersom cybersäkerhet måste vara allas verksamhet. Du kan organisera gruppmöten för att öka medvetenheten eller genomföra utbildningar som tillhandahålls av dina specialiserade team i ämnet cybersäkerhet. Det finns också kurser från tredje part för att öka medvetenheten om socialtekniska attacker. Dessa icke-tekniska kurser gör det lättare att förstå mekanismerna för cyberattacker genom phishing, vishing, gränssnittskloner, ransomware och de bästa metoderna och ställningarna att anta för att undvika att ta betet.
kontakta oss för frågor relaterade till ett träningsprojekt eller penetrationstester på din externa Infrastruktur, ditt interna nätverk eller sociala tekniska tester. Vi kommer att diskutera dina behov och ge dig ett ingripande anpassat till dina säkerhetsutmaningar och dina begränsningar, oavsett om de är budgetmässiga eller organisatoriska.