Wyboru typu środków bezpieczeństwa sieci należy dokonywać na podstawie krajobrazu zagrożeń. Obejmuje on aktualnie działających na tym polu cyberprzestępców, wektory ataku oraz luki w zabezpieczeniach. Na podstawie tych informacji należy wdrożyć mechanizmy kontrolne w środowisku sieciowym, aby zmniejszyć prawdopodobieństwo ataku oraz zminimalizować jego ewentualne skutki.
Środki bezpieczeństwa zastosowane w środowisku sieciowym powinny być dobrane na podstawie aktualnego krajobrazu zagrożeń oraz przewidywanych zmian. Dotyczy to sieci domowych, firmowych i dostawców usług.
Skuteczna strategia ochrony sieci uwzględnia znane luki w zabezpieczeniach, hakerów i innych cyberprzestępców oraz aktualne trendy w dziedzinie przeprowadzania ataków. Aby prawidłowo zabezpieczyć sieć, należy dobrze znać narażone na ryzyko zasoby swojej firmy oraz wiedzieć, co im grozi.
Krajobraz lub środowisko zagrożeń składa się z wielu elementów, które muszą być zidentyfikowane i dobrze poznane. Taka wiedza pozwala podejmować odpowiednie działania.
Zaczniemy od cyberprzestępców. To oni przeprowadzają ataki i włamują się do systemów. Mogą być nie tylko pojedynczymi osobami, ale też podmiotami, a ich cele są bardzo różne.
Wektor zagrożenia to droga przeprowadzenia ataku. Może być czymś tak prostym, jak prośba o fizyczne otwarcie drzwi do budynku, co stanowi podstawową formę inżynierii społecznej. Ale może mieć też znacznie bardziej wyrafinowaną formę wymagającą dużych umiejętności.
Wiele ataków na przykład zaczyna się od ataku metodą inżynierii społecznej zwaną phishingiem. Kiedy użytkownik ulegnie oszustwu phishingowemu, w jego systemie zostanie zainstalowany program, który otworzy tylne drzwi. Dzięki nim haker wniknie do systemu i będzie mógł poruszać się poziomo w obrębie sieci.
Luki w zabezpieczeniach to słabe punkty lub usterki technologii. Mogą istnieć w takich produktach, jak zapory sieciowe i programy antywirusowe. Spotyka się je także w urządzeniach końcowych, takich jak serwery, stacje robocze, laptopy, kamery, termostaty i lodówki. Występują nawet w urządzeniach sieciowych, jak routery i przełączniki. Luki w zabezpieczeniach dzielą się na trzy kategorie:
Witryny takie jak Mitre gromadzą informacje o dwóch pierwszych typach w specjalnej bazie danych o nazwie Common Vulnerabilities and Exposures (CVE). National Institute of Standards and Technology (NIST) także prowadzi listę znanych luk, o nazwie National Vulnerability Database (NVD).
Luki w zabezpieczeniach sieci można wykryć za pomocą skanerów. Dobre narzędzia, takie jak Nessus firmy Tenable, automatycznie łączą wykryte oprogramowanie z bazami danych znanych luk w zabezpieczeniach. Skanery tylko informują o możliwości występowania luk w zabezpieczeniach, ale nie potwierdzają możliwości ich wykorzystania. Następnym krokiem jest więc sprawdzenie, czy daną lukę da się wykorzystać i podjęcie środków zaradczych.
Jeśli na przykład w sieci występuje system Microsoft Windows Server 2019, to skaner luk w zabezpieczeniach powinien wykryć lukę Zerologon, która w nim występuje. Najpierw skaner wykrywa obecność systemu Windows Server 2019, a następnie szuka w bazie danych znanych luk w jego zabezpieczeniach.
Efektem tych poszukiwań powinno być znalezienie w bazie NIST wpisu CVE na temat luki o nazwie Zerologon, która umożliwia zdobycie nieodpowiednich uprawnień. W skali powagi zagrożenia (CVSS) tej luce przyznano maksymalną liczbę 10 punktów, co oznacza, że gorzej już być nie może i trzeba się tym zająć natychmiast. Na stronie CVE znajdują się odnośniki do porad, rozwiązań i narzędzi. Ponadto zawiera ona łącze do strony Common Weakness Enumeration (CWE) zawierającej dodatkowe informacje o danym ataku.
Firma może sprawdzić swoją sieć pod kątem występowania luk w zabezpieczeniach na wiele sposobów i przy użyciu wielu różnych narzędzi. Jedną z metod symulacji ataku na firmę jest przeprowadzenie tzw. testów penetracyjnych. W tym celu firmy wynajmują etycznych hakerów.
Kiedy taki haker zaatakuje sieć, wykrywa obecne w jej zabezpieczeniach luki. Etyczność ich działania polega na tym, że mają pozwolenie właściciela sieci na przeprowadzenie ataku. Mogą dostarczyć dowodów, że luki wymienione na liście CVE występują w danej sieci lub mogą wykryć błędy konfiguracji albo nieznane luki w zabezpieczeniach.
Jednym ze sposobów na przeprowadzenie testu penetracyjnego jest wykorzystanie zespołów czerwonego i niebieskiego. Zespół czerwony używa prawdziwych narzędzi hakerskich, aby złamać zabezpieczenia sieci. Natomiast zespół niebieski odpowiada za reakcję na incydent z wykorzystaniem istniejących planów lub instrukcji reagowania w przypadku ataku.
Kiedy te dwa zespoły współpracują ze sobą podczas testu penetracyjnego, korzyści są większe niż ze standardowego testu tego typu. Czerwony zespół odkrywa luki w zabezpieczeniach, a niebieski ćwiczy reagowanie na atak. Sieci będą atakowane przez prawdziwych hakerów, więc dobrze jest zadbać, aby zespół reagowania był na to przygotowany. Praktyka jest niezbędna.
Najważniejszym celem zabezpieczeń sieciowych jest zapobieganie atakom. Kiedy dojdzie do ataku, pierwszym krokiem jest jego wykrycie. Kiedy atak zostanie wykryty, należy odpowiednio zareagować. Należy oszacować szkody, określić zakres ataku oraz usunąć luki lub ścieżkę, która umożliwiła przeprowadzenie akcji. Ten proces standardowo nazywa się zapobieganiem, wykrywaniem i reagowaniem (prevent, detect, respond – PDR).
Zapobieganie polega na wzmacnianiu bezpieczeństwa systemów i ochronę ich za pomocą środków zabezpieczających. Podnoszenie bezpieczeństwa systemu obejmuje następujące czynności:
Wykrywanie jest możliwe głównie dzięki dziennikom. Różne systemy, takie jak system wykrywania włamań (IDS), monitorują ruch i zapisują informacje o podejrzanej aktywności. System rejestruje aktywność i wysyła te informacje do serwera dzienników systemowych. System zarządzania zdarzeniami bezpieczeństwa (SIEM) przetwarza i koreluje dane z dzienników, które alarmują o wystąpieniu wskaźników infekcji (IoC). Następnie dział bezpieczeństwa lub zespół ds. reagowania na incydenty sprawdza, czy rzeczywiście doszło do włamania i wprowadza poprawki w środowisku, aby zapobiec powtórnemu wystąpieniu takiej sytuacji.
Czasami wystarczy prosta instalacja poprawki w systemie, a innym razem reakcja może wymagać bardzo dużo pracy. Może być konieczne przeanalizowanie istniejących konfiguracji zapór sieciowych, systemów zapobiegania włamaniom (IPS), routerów oraz innego oprogramowania sieciowego i zabezpieczającego, a także urządzeń.
Ponadto w ramach reakcji na atak można dodać do sieci nowe środki bezpieczeństwa lub wymienić istniejące. To może być bardzo szeroko zakrojony proces wymagający przygotowania planu biznesowego.
Powiązane artykuły
Powiązane badania