20 krótkich porad, jak zabezpieczyć sieć

0

Ochrona przed cyberatakami obejmuje wiele obszarów i wymaga kompleksowych działań. Jeśli odpowiadasz za bezpieczeństwo sieci, przedstawione wskazówki pokażą Ci, gdzie potrzebne są Twoje działania i co należy zrobić.

Przygotowane porady powstały na podstawie obszernego opracowania Twenty Critical Security Controls. Są skrótem, który da Ci szybko pogląd na wszystkie obszary, które wymagają działań związanych bezpieczeństwem.

1. Spis autoryzowanych i nieautoryzowanych urządzeń
Nie da się dobrze zabezpieczyć się, dopóki nie wie się dokładnie, jaki sprzęt w niej działa. Dlatego korzystaj z narzędzi do automatycznego wykrywania i katalogowania zasobów, które potrafią aktywnie przeskanować zadany zakres adresów IP czy pasywnie analizować ruch sieciowy. To pozwala na automatyczne wykrywanie urządzeń. Aktualny spis „inwentarza” może zredukować szansę, że włamywacz znajdzie nieuprawniony, niechroniony system, do którego będzie mógł się łatwo włamać.

2. Spis autoryzowanych i nieautoryzowanych aplikacji
To samo dotyczy oprogramowania – musisz wiedzieć, co się dzieje w Twojej sieci, z czego korzystają użytkownicy oraz co jest uruchamiane na serwerach. Komputerowi włamywacze korzystają z rozwiązań, które stale skanują przestrzeń adresową ofiary w poszukiwaniu oprogramowania podatnego na ataki. Bez możliwości stworzenia spisu aplikacji firmy podwyższają ryzyko ataku na swoją sieć. Brak dokładnej kontroli sprawia, że rośnie prawdopodobieństwo uruchomienia na komputerach oprogramowania zbędnego z punktu widzenie biznesowego, czy nawet szkodliwego oprogramowania podrzuconego przez włamywacza.

3. Bezpieczna konfiguracja sprzętu i oprogramowania w laptopach, stacjach roboczych i serwerach
Usuń gry, hyperterminale i niepotrzebne oprogramowanie często preinstalowane przez producentów w komputerach stacjonarnych. Z serwerów usuń zbędne aplikacje. Jeśli na komputerze są potrzebne cztery aplikacje, powinny być dokładnie cztery, a nie jeszcze 10 dodatkowych. Poza tym domyślne konfiguracje często są tworzone pod kątem łatwości użytkowania, a kwestie bezpieczeństwa traktowane są drugoplanowo. W efekcie w systemie pozostają luki bezpieczeństwa. Dlatego w idealnej sytuacji na komputery użytkowników są kopiowane przygotowane wcześniej, ustandaryzowane obrazy systemu, a przypadki wykorzystania niestandardowych obrazów są dokumentowane.

4. Bezpieczna konfiguracja urządzeń sieciowych, jak firewalle, routery i przełączniki
Korzystaj z filtrowania ingress i egress, umożliwiając komunikację tylko na tych portach i tylko tym usługom, które są potrzebne do działalności biznesowej. Konfiguracja powinna być udokumentowana i sprawdzona pod kątem bezpieczeństwa, a wszelkie odstępstwa powinny być dodatkowe aprobowane i rejestrowane. Włamywacze wykorzystują fakt, że urządzenia sieciowe mogą stać się bardziej podatne na ataki, ponieważ wprowadza się odbiegające od zaaprobowanych norm zmiany w ich konfiguracji, żeby spełnić chwilowe potrzeby biznesowe. Niestety często zapomina się o tym, żeby później cofnąć te zmiany.

5. Ochrona styku z Internetem

Włamywacze skupiają się na systemach, do których mogą uzyskać dostęp z Internetu. Dotyczy to nie tylko systemów w strefie DMZ, ale również komputerów użytkowników, którzy korzystają z Internetu, np. przeglądają strony WWW, co wiąże się z pobieraniem plików z zewnętrznych serwerów. Dlatego korzystaj z białych i czarnych list, systemów IDS oraz skonfiguruj kontrolę ruchu wychodzącego. Jeśli nie korzystasz z filtrowania egress, zwiększasz zagrożenie atakiem.

6. Zarządzanie, monitorowanie i analiza logów audytu zabezpieczeń
Logi nie są tworzone bez powodu. Braki w tworzeniu logów bezpieczeństwa lub ich skąpa analiza pozwalają włamywaczowi na ukrycie swojej lokalizacji czy działań podejmowanych na zaatakowanym komputerze. Nawet jeśli ofiara wie, że nastąpiło włamanie, bez kompletnych logów nie będzie w stanie ustalić szczegółów ataku. Może się nawet zdarzyć, że atak przejdzie niezauważony. Dlatego upewnij się, że logi są monitorowane, dzięki czemu będziesz wiedzieć, co dzieje się w sieci i wykryjesz występujące anomalie czy nietypowe zachowania.

7. Zabezpieczenia aplikacji
Korzystaj z firewalli monitorujących komunikację z aplikacjami webowymi i korzystaj z zabezpieczeń warstwy aplikacji, żeby chronić aplikacje przed atakami SQL injection czy Cross Site Scripting. Aby uniknąć tych zagrożeń, oprogramowanie powinno być dokładnie przetestowane pod kątem luk w bezpieczeństwie. W przypadku korzystania z zewnętrznego oprogramowania firma powinna się upewnić, czy producent przeprowadził szczegółowe testy bezpieczeństwa swoich produktów.

8. Kontroluj wykorzystanie uprawnień administratora
Nadmierne przydzielanie uprawnień administratora jest najczęstszą metodą eskalacji ataku w sieci firmowej. Pracownicy działu IT potrzebują do pracy uprawnień administrator, ale nie podczas sprawdzania poczty. Upewnij się, że mają dwa oddzielne konta: jedno z uprawnieniami administratora, a drugie z ograniczonymi uprawnieniami. Należy się też upewnić, że wszystkie urządzenia mają zmienione domyślną nazwę użytkownika i hasło.

9. Kontrola dostępu
W wielu firmach użytkownicy mają dostęp większości zasobów w sieci. W efekcie, jeśli napastnikowi uda się włamać do komputera użytkownika, może on łatwo uzyskać dostęp do ważnych informacji. Dlatego upewnij się, że wiesz, które dane wymagają ochrony, gdzie są przechowywane, kto potrzebuje dostępu do nich. Sprawdź także, czy są odpowiednie mechanizmy ograniczające dostęp tylko do autoryzowanych użytkowników.

10. Stałe wykrywanie podatności i ich usuwanie
Jedną z metod realizacji tego założenia jest korzystanie ze skanerów podatności, np. Nessusa. Narzędzie to należy aktualizować i uruchamiać regularnie, ponieważ jedna niewielka podatność następnego dnia może okazać się krytyczna. Krótki czas po tym, gdy nowa podatność zostanie wykryta, a wiadomość o niej zostanie podana przez producenta czy ekspertów, którzy ją odkryli, cyberprzestępcy przygotowują exploita, umożliwiającego jej wykorzystanie. Znaczące opóźnienie w usunięciu tej podatności stwarza poważne zagrożenie naruszenia bezpieczeństwa.

11. Monitorowanie i kontrola kont użytkowników
Włamywacze regularnie wyszukują nieużywane konta użytkowników i włamują się na nie po to, żeby móc podszywać się pod wiarygodnych użytkowników, co utrudnia wykrycie włamania. Dlatego usuń wszystkie konta, które nie są używane przez obecnych pracowników lub współpracowników i stwórz procedurę wyłączania konta, gdy pracownik opuszcza firmę. Przydaje się regularne tworzenie raportów zawierających informacje o rzadko używanych kontach oraz próbach dostępu do kont wyłączonych.

12. Ochrona przed szkodliwym oprogramowaniem
Upewnij się, czy oprogramowanie ochronne działa na wszystkich systemach i czy jest regularnie aktualizowane. Warto też zmienić niektóre ustawienia systemu operacyjnego, np. wyłączyć funkcję autouruchamiania zawartości pamięci przenośnych (płyt CD/DVD i pamięci USB).

13. Ograniczaj wykorzystanie i kontroluj porty, protokoły i usługi
Sprawdź, czy dostęp do konsol administracyjnych routerów jest możliwy tylko z wewnętrznej sieci i czy firewalle lub inne filtry blokują cały ruch, poza usługami i portami, które są dozwolone. Włamywacze wyszukują zdalnie dostępne usługi podatne na ataki. Powszechnym przykładem są źle skonfigurowane serwery WWW, serwery pocztowe czy serwery DNS instalowane domyślnie na wielu różnych urządzeniach. Wiele programów automatycznie instaluje usługi i włącza je bez informowania o tym użytkownika czy administratora. Jest to łakomy kąsek dla atakującego.

14. Kontrola urządzeń bezprzewodowych

Większość kradzieży danych zaczęła się od tego, że włamywacz uzyskał dostęp do sieci bezprzewodowej firmy, np. siedząc w samochodzie na pobliskim parkingu. Często też zdarza się, że notebooki pracowników zostają zainfekowane podczas służbowych podróży, gdy wejdą w zasięg wrogiej sieci bezprzewodowej, z którą połączą się automatycznie. Takie zainfekowane komputery służą później, jako tzw. backdoory. Dlatego regularnie skanuj okolicę w poszukiwaniu wrogich punktów dostępowych. Ważne jest również, żeby korzystać z centralnie zarządzanych urządzeń z zatwierdzoną konfiguracją i odpowiednim profilem zabezpieczeń.

15. Zapobiegaj utracie danych
Fraza Data Loss Prevention (DLP) oznacza całościowe podejście, obejmujące ludzi, procesy i systemy, które identyfikują, monitorują i chronią dane będące w użyciu (operacje na urządzeniach końcowych), dane w ruchu (akcje sieciowe) oraz dane w spoczynku (pamięci masowe) poprzez mechanizmy analizy zawartości (Deep Content Inspection). Upewnij się, że dyski twarde notebooków są zaszyfrowane oraz skanuj ruch wychodzący z sieci pod kątem występowania określonych słów kluczowych. Narzędzia monitorujące sieć powinny także wyszukiwać szereg anomalii, jak transfer dużych plików, stałe, długotrwałe połączenia, połączenia w regularnych interwałach, wykorzystanie nietypowych protokołów i portów.

16. Inżynieria bezpieczeństwa sieci

Opisane w tym artykule zalecenia będą niewiele warte w źle zaprojektowanej sieci. Bez starannego projektowania i prawidłowej implementacji architektury sieci, włamywacz może obejść zabezpieczenia, lawirując w sieci w celu uzyskania dostępu do docelowej maszyny. Jeśli zaczynasz od podstaw, postaraj się, żeby już na etapie planowania sieci uwzględnić kwestie bezpieczeństwa. To wiąże się z wykryciem pojedynczych punktów awarii oraz określeniem punktów, które będą monitorowane. Należy ustandaryzować informacje przydzielane przez serwery DHCP i koniecznie rejestrować wszystkie dane o dzierżawach DHCP. Serwery DNS powinny być wdrażane w hierarchicznej strukturze, a komputery powinny wysyłać zapytania DNS do intranetowych serwerów DNS, a nie do serwerów zlokalizowanych z Internecie.

17. Testy penetracyjne
Włamywacze penetrują sieci i systemy, wykorzystując socjotechnikę czy poprzez wyszukiwanie oprogramowania i sprzętu podatnego na ataki. Gdy uzyskają dostęp, często wgryzają się głęboko w zaatakowany systemy, a następne rozszerzają atak na kolejne maszyny. Większość firm nie testuje swoich zabezpieczeń, więc nie ma wiedzy, o ich faktycznej skuteczności i nie jest przygotowana do wykrywania ataków i reagowania na nie. Dlatego przeprowadzaj regularnie testy penetracyjne, zarówno z zewnątrz, jak i od wewnątrz. Do tego zadania wykorzystuj własnych pracowników, zautomatyzowane narzędzia oraz zewnętrznych konsultantów. Pamiętaj, że test penetracyjny, który nie znajdzie żadnych podatności, nic ci nie powie.

18. Procedury reagowania na incydenty
Zawczasu spisz odpowiednie procedury, żeby w razie wystąpienia incydentu móc zareagować szybko i skutecznie, zamiast wpadać w panikę i ryzykować podjęcie złej decyzji, która może jeszcze pogorszyć sytuację. Firmy straciły wiele cennych danych, a ich reputacja została nadszarpnięta tylko dlatego, że nie miały przygotowanych efektywnych procedur reagowania na incydenty. Bez takich procedur firma może nawet nie wykryć ataku w jego początkowej fazie lub, jeśli wykryje atak, może nie być stanie podjąć odpowiednich działań zaradczych. W efekcie włamywacz może mieć znacznie większy wpływ na atakowaną firmę, zainfekować więcej systemów i wykraść więcej cennych danych.

19. Możliwość odzyskania danych
Gdy włamywacz uzyska dostęp do zdalnego systemu, często wprowadza istotne zmiany w jego ustawieniach. Czasem także wprowadza subtelne zmiany danych przechowywanych w tym systemie, np. w celu wprowadzenia w błąd pracowników danej firmy. Kiedy włamanie zostanie wykryte, firma nie mająca kopii zapasowych będzie miała bardzo trudne zadanie usunięcia wszystkich zmian wprowadzonych przez intruza. Dlatego upewnij się, że kopie zapasowe są tworzone regularnie i przechowywane w bezpiecznym miejscu. Kopie zapasowe, oprócz danych, powinny zawierać również system i aplikacje. Dane przesyłane przez sieć w celu backupu powinny być zaszyfrowane. To samo dotyczy lokalnie przechowywanych kopii zapasowych.

20. Zarządzanie kompetencjami pracowników i szkolenia
Jeśli firma chce skutecznie reagować na ataki, musi przygotować do tego swoich pracowników, uzupełniając ich wiedzę na temat zagrożeń. Wystarczy jedno półgodzinne szkolenie w ciągu roku, żeby wyjaśnić zasady tworzenia bezpiecznych haseł czy zagrożenia związane z otwieraniem załączników w poczcie. A to będzie miało znaczne przełożenie na poprawę bezpieczeństwa. Warto też prosić pracowników o udział quizach dotyczących tematyki bezpieczeństwa – to ułatwi wykrycie ewentualnych braków w wiedzy na temat zagrożeń.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ