V předchozím díle seriálu IT bezpečná firma jsme se zeptali: „Jsou české firmy dostatečně odolné vůči kyberútokům vedených skrze uživatele?“ Zejména pak vůči podvodným kampaním s využitím technik sociálního inženýrství.
Dnes se zaměříme na kybernetickou bezpečnost v souvislosti se zabezpečením interní sítě a jak chráněná jsou ve skutečnosti firemní aktiva? Průvodcem 4. dílu seriálu IT bezpečná firma je Lukáš Nový – penetrační testér ze společnosti TNS, kde se věnuje právě bezpečnostním testům síťové infrastruktury.
Lukáši, jak dobře firmy chrání svoji síť?
Na úvod bych rád zmínil, že při zajišťování bezpečné interní infrastruktury je velmi snadné podlehnout iluzi bezpečnosti, kterou poskytují jednotlivé prvky umístněné na fyzickém nebo síťovém perimetru. Jak jsme si ale řekli v minulých dílech, i tyto prvky ochrany je možné překonat. Naše osobní zkušenosti a poznatky z praxe penetračního testování v řadě českých firem prokázaly, že k nejčastějším zranitelnostem vnitřní sítě, které by útočník mohl zneužít pro získání kontroly nad organizací, patří jednoznačně používání neaktualizovaného softwaru.
V čem jsou penetrační testy vnitřní sítě přínosné?
Interní penetrační testy jako nástroj včasné prevence simulují zpravidla útočníka, který získal přístup k síťové vrstvě organizace např. ve formě ethernet zásuvky nebo útočníka reprezentujícího zlomyslného zaměstnance. Cílem testu a naším úkolem jako etického hackera je odhalit slabá místa v podobě technických zranitelností, dostupnosti citlivých dat bez nutnosti autentizace nebo získání kontroly nad doménou Active Directory.
Jak ve firmě chráníte data na síťových discích?
Které zranitelnosti nejčastěji identifikujete?
Jak jsem již uvedl, nejčastějším problémem bývá nedostatečné zmapování používaného softwarového vybavení a následné nedostatky v aplikaci aktualizací a bezpečnostních záplat. Zde platí, že pokud administrátor nemá informace o využívaných verzích a jejich zranitelnostech, nedokáže včas aplikovat nutné aktualizace a záplaty.
• Pozor na správné nastavení Active Directory
Často se setkáváme také s nedostatečným nebo chybným nastavením Active Directory. Útočníci tak mohou použít techniky multicast poisoningu a NTLM relayingu – a získat přístupové údaje k doménovým účtům nebo přístup ke zdrojům na interní síti i bez nutnosti autentizace. V případě úspěšného útoku pak může dojít až k průniku na doménový řadič a ovládnutí všech zařízení v příslušné doméně.
• Autentizaci stále dominují slabá hesla
Bezpečnostní rizika se stále vyskytují ve spojení s autentizací uživatelů. Mezi ně patří jak používání slabých hesel, tak i jejich opakované použití v rámci interních systémů nebo zapomenuté účty. Tyto chyby tak poskytují útočníkům prostor pro využití technik, jakými jsou password spraying nebo slovníkový útok s využitím známých hesel. V důsledku uhádnutého hesla se útočníkovi otevírají dveře k aktivitám, které si jistě nikdo nepřeje.
• Zapomenutá data na sdíleném úložišti
Neméně závažná jsou také rizika plynoucí z dostupnosti nejrůznějších sdílených uložišť v interní síti organizace. Na sdílených discích často nacházíme zapomenuté konfigurační soubory s hesly, zálohy databází nejrůznějších aplikací nebo složky obsahující velké množství nezabezpečených citlivých osobních a firemních údajů. Firmy a organizace tak nevědomě poskytují potenciálním útočníkům aktiva, jejichž zneužití může mít vážné dopady v podobě finančních ztrát, poškození pověsti a ztráty důvěry nebo právní postihy.
Lukáši, jak můžeme zvýšit ochranu interní sítě?
Interní penetrační testy sítě jsou klíčové pro zajištění vnitřní bezpečnosti organizace a identifikaci možných hrozeb, jež by mohly být zneužity zaměstnanci nebo externími útočníky, kteří získali přístup k interní síti.
■ Zmapujte si využívaný software, zaveďte systém garantů a pověřte je zajištěním pravidelné aktualizace.
■ Udělejte základní úpravy konfigurace zvyšující zabezpečení (hardening) Active Directory – zapněte podepisování SMB zpráv, odstraňte nepoužívané SPN záznamy, omezte použití účtů doménových administrátorů na absolutní minimum.
■ Implementujte filozofii zero trust v co největší možné míře i v interní síti.
Penetrační test infrastruktury sítě – odhalte včas skryté hrozby.
V příštím díle se zaměříme na aplikační bezpečnost. Řekneme si, na co si dát pozor u aplikací, které každodenně používáme, ať už se jedná o webové, mobilní anebo desktopové.
Partnerem seriálu IT bezpečná firma je:
Seriál vychází rovněž v tištěném SecurityWorldu, kde kromě něj najdete i celou řadu dalších témat týkajících se problematiky firemní bezpečnosti.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.