Jak si nejlépe chránit svou vnitrofiremní síť

Dávno pryč jsou časy, kdy bylo možné považovat interní zdroje a uživatele za důvěryhodné. Velká většina úniků dat má totiž jednoho společného jmenovatele – tím je uživatel, který byl označen za důvěryhodného, a z tohoto důvodu mu byla přidělena větší oprávnění, než reálně k výkonu svého povolání potřeboval.

Jak si nejlépe chránit svou vnitrofiremní síť


Zřejmě nejznámějším příkladem takového úniku je Edward Snowden, který získal a zveřejnil ohromné množství vysoce citlivých dat, ke kterým by v případě správně nastavených oprávnění nemohl mít přístup. Na základě podobných událostí pomalu dochází k přehodnocení toho, jak obecně přistupovat k zabezpečení firemního IT.

Nejčastěji používaným bezpečnostním modelem je ve většině organizací takový, jenž je založen na ochraně venkovního perimetru společnosti. Podnět pro jeho vznik lze hledat desítky let zpátky, v době, kdy společnosti a organizace přestaly z důvodu rychlého úbytku používat v interních sítích k adresaci veřejné IP adresy.

Nástupem privátních IP adres ale došlo k rozdělení světa uvnitř a vně organizace a logicky se přešlo k ochraně tradičním postupem, tedy ke stavbě zdi mezi vnitřní částí, kterou je nutné chránit, a venkovním nebezpečným prostředím.

 

Typický průběh útoku

Pokud se však podíváme na průběh většiny současných útoků, tento způsob ochrany se ukazuje jako naprosto nevyhovující. Jestliže si útočník vybere vaši organizaci za cíl, zpravidla podnikne následující kroky.

Prvním z nich je fáze získání informací. Tu lze rozdělit na pasivní část, kdy se shromažďují volně dostupné údaje, zejména ze sociálních sítí, a na část aktivní, kdy dochází ke skenování portů, hledání zranitelností v používaném softwaru, a zejména k sociálnímu inženýrství.

Po získání informací útočník vytvoří či zakoupí nástroj, který se použije pro průnik do interní sítě. Tento nástroj se následně doručí do jednoho z interních počítačů, které jsou umístěné již za perimetrovou ochranou.

Způsobem takového doručení může být například e-mail, velmi osvědčenou metodou ale je i jednoduché pohození Flash disku nebo paměťové karty před vchodem do dané společnosti (tzv. baiting).

S pravděpodobností, která se blíží jistotě, se najde jedinec, který prozkoumá, co se na daném disku nachází. Jakmile se škodlivý kód spustí, je z interní sítě navázán zabezpečený kanál do řídicího centra a dochází k ovládnutí počítače.

Útok pokračuje pokusem o získání kontroly nad dalšími počítači v interní síti. Vzhledem k tomu, že již má přístup k jednomu počítači, může velice snadno zjistit verze nainstalovaných programů a jejich známé zranitelnosti.

S vysokou pravděpodobností budou i ostatní stanice v síti obsahovat stejné verze programů se shodnými zranitelnostmi, které je pak velmi jednoduché využít k ovládnutí zbylých prvků v síti.

V tuto chvíli je útočník už za perimetrem – v důvěryhodné síti, na důvěryhodném počítači. Znamená to snad, že se překonáním perimetru stal důvěryhodným? Necháme ho se v rámci této důvěryhodné sítě pohybovat bez kontroly a nutnosti autorizace?

Pravděpodobně to není úplně nejlepší nápad.  Částečně tomuto problému zabrání interní perimetry, ale i jejich překonání je v podstatě pouze otázkou času.

Obecně lze konstatovat, že perimetr tvořený firewallem je stále velmi silným nástrojem, ale nesmí to být jediný nástroj pro zabezpečení organizace. V průběhu času se organizace nespoléhaly pouze na firewall a doplňovaly bezpečnostní systémy dalšími prvky, jakými jsou IPS, antivirus, webová proxy, SIEM apod.

Typicky však výběr neprobíhal jako doplnění celku, ale snahou bylo koupit co nejlepší dostupný produkt. Výsledkem byla velice heterogenní bezpečnostní infrastruktura. Bohužel s každým ze systémů zároveň nepřibyla pracovní místa bezpečnostních analytiků.

Stejný počet lidí tak musel následně řešit řádově vyšší počty bezpečnostních událostí, kterých přibývalo s každým dalším prvkem zapojeným do bezpečnostního systému organizace. A se zvyšujícím se počtem i sofistikovaností útoků se stal tento přístup ke správě bezpečnosti neúnosným.

 

Moderní přístup

Základní požadavky na moderní komplexní bezpečnostní řešení je proto nutné předefinovat:

-          Musí se zajistit  schopnost zaznamenat každý z výše popsaných kroků útoku a v reálném čase jej zablokovat. Vzhledem k tomu, že ne všechny kroky lze detekovat prostřednictvím jednoho bezpečnostního prvku, je potřeba vytvořit komplexní systém zabezpečení skládající se z více komponent.

-          Komponenty systému musejí být vzájemně provázané, tak aby detekce události jedním prvkem spustila řetěz protiopatření na dalších prvcích do systému zařazených.

-          Systém musí být připraven pro automatizaci. Čas bezpečnostních analytiků a správců je příliš drahocenný, a proto je nutné co nejvíce rutinních operací dělat bez jejich zásahu.

-          Systém musí být připraven pro jednoduché doplnění nového detekčního mechanismu. Ve chvíli, kdy výběr a nasazení detekčního systému založeného na nových poznatcích a trendech trvá rok nebo i více, je organizace po nepřiměřeně dlouhou dobu nechráněná před typy útoků, které by bylo možné v případě rychlého nasazení inovovaného řešení účinně eliminovat.

 

Komplexní systém zabezpečení musí být schopen poskytnout minimálně následující funkce:

-          Ochranu a řízení síťového provozu nejen v rámci tradičních sítí, ale také v rámci veřejného cloudu. Zástupcem prvků této kategorie jsou firewally nové generace, které poskytují možnost řídit provoz na úrovni aplikací, činit dekrypci šifrovaného provozu, detekci a zastavení známých i neznámých hrozeb nalezených v síťovém provozu, kontrolu URL apod.

-          Ochranu koncových stanic. Pokročilé systémy pro ochranu koncových stanic jsou schopné bez použití definic založených na signaturách chránit jak před malwarem, tak před exploity – známými i tzv. zero-day útoky.

-          Kontrolu dat aplikací SaaS (Software-as-a-Service). Při používání aplikací SaaS jako třeba MS Office365, Dropbox apod. může dojít ke snadnému sdílení dokumentů, které obsahují citlivá a osobní data. Nejen z důvodu vysokých sankcí daných nařízeními GDPR je nutné mít tato data pod plnou kontrolou.

-          Detekce a zamezení šíření nákazy v síti. Systémy pro detekci anomálií v síťovém provozu mohou zjišťovat a následně pomocí dalších prvků bezpečnostního systému zablokovat anomální chování. V souvislosti s detekcí anomálie je potřeba získat co největší množství informací. Nestačí znát, jaká IP adresa danou akci vykonala, ale i kdo byl na stanici přihlášený, jaký proces inicioval spojení, jestli byl daný proces zhodnocen jako škodlivý apod.

 

Další opatření

Kromě nasazení provázaných bezpečnostních nástrojů je nutné přejít i ke změně koncepce a vyvarovat se zažitých mechanismů spojených s důvěrou – tzv. trustem. Jedním ze základních předpokladů je chovat se k interním zdrojům stejně, jako by byly zdroji externími.

Následným krokem je vykonávání autentizace a autorizace, kdykoliv je to možné. Pokud se pro přístup do síťové infrastruktury požaduje pouze autentizace stanice a ta má následně povolený přístup kamkoliv do sítě, je potřeba se na tento nedostatek zaměřit.

Nelze od sebe oddělovat stanici a uživatele, který ji používá. Tyto dvě entity je nutné ve tvorbě pravidel brát jako jeden celek. Zároveň s tím musí dojít k zavedení principu nejnižších možných oprávnění, kdy se nikomu nepřidělí práva nad rámec nezbytně potřebných pro plnění jeho pracovních povinností.

Pro přístup k aplikacím obsahujícím jakákoliv citlivá data je nutné použít multifaktorovou autentizaci. Pro aplikace, které tento typ autentizace nepodporují nativně, je třeba tento způsob zajistit na úrovni síťových zařízení.

Naprosto nezbytnou součástí bezpečnosti je i patch management. Velké množství útoků přichází ze zneužití známých zranitelností, na které jsou už k dispozici opravy. Pokud budou systémy aktuální, riziko úspěšného útoku se výrazně snižuje.

Doporučuje se též zamezit horizontálnímu šíření provozu mezi koncovými body umístěnými v jedné VLAN. I tento provoz by měl být vždy autorizovaný. Toho lze docílit šifrováním dat, ať již za pomoci technologií pracujících na druhé vrstvě modelu ISO/OSI, nebo vynucením always-on VPN, nezávisle na tom, jestli se daná stanice nachází v internetu, nebo v interní síti.

Cesta pro zajištění co možná nejvyšší bezpečnosti je dlouhá a trnitá, ovšem bez zavedení výše uvedených bezpečnostních opatření budou kybernetické útoky stále úspěšnější a bude zcela nemožné jim zabránit.

 

Autor pracuje jako security architect ve společnosti H-Square ICT Solutions.

 

Tento příspěvek vyšel v Securityworldu 3/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © Tommi - Fotolia.com










Komentáře