Bezpieczeństwo w sieci to szerokie pojęcie obejmujące ochronę wszystkich zasobów komputerowych przed atakami naruszającymi ich dostępność, integralność i poufność. Do jego zapewnienia służą programy antywirusowe, zapory sieciowe, systemy zapobiegania włamaniom, technologie zapobiegające utracie danych i inne zabezpieczenia.
Bezpieczeństwo w sieci obejmuje określone zabezpieczenia, które są dodawane do sieci. Zmieniają się one z biegiem lat, a ich liczba będzie rosła wraz z naszą wiedzą na temat metod ochrony sieci i pojawianiem się nowych technik ataku.
Aby wybrać najlepsze możliwe środki bezpieczeństwa, należy znać krajobraz zagrożeń i mieć wiedzę na temat luk bezpieczeństwa w sieci. Ponadto trzeba znać rodzaje dostępnych środków, aby wybrać odpowiednich dostawców i właściwe rozwiązania oraz prawidłowo skonfigurować swoją sieć.
Zagrożenia to potencjalne naruszenia dotyczące poufności, dostępności lub integralności zasobów. Mogą obejmować próby ujawnienia wrażliwych danych lub ich modyfikację albo na przykład odmowę dostępu do usług.
Krajobraz zagrożeń obejmuje dostępne informacje na temat zagrożeń, cyberprzestępców i wykorzystywanych przez nich wektorów zagrożenia. Cyberprzestępca to osoba lub grupa ludzi, której celem jest spowodowanie szkód przez wykorzystanie istniejących zagrożeń.
Jeśli na przykład zostanie skradziony laptop, to cyberprzestępcą jest złodziej. Wektor zagrożenia to droga, którą przeprowadzono atak, jak np. niezamknięte drzwi, które umożliwiły kradzież laptopa nieprzymocowanego do stołu.
Warunkiem istnienia zagrożenia jest istnienie dającej się wykorzystać luki w zabezpieczeniach. Luka w zabezpieczeniach to słaby punkt lub wada, przy pomocy której cyberprzestępca może naruszyć zasady bezpieczeństwa.
Wracając do przykładu laptopa, zaletami tych urządzeń są lekkość, przenośność i wygoda. Jednocześnie wszystkie te cechy stanowią ich wady, które zwiększają ryzyko kradzieży. Przyjęte środki bezpieczeństwa, takie jak drzwi zamykane na klucz i blokady linkowe, spowalniają przestępcę i zmniejszają ryzyko kradzieży, a więc zmniejszają ogólny poziom ryzyka.
Poufność, integralność i dostępność to podstawowe cechy charakteryzujące idealny proces zabezpieczania informacji. Obejmuje on wiele strategii i działań, które zaliczają się do jednej z trzech faz: zapobieganie, wykrywanie i reagowanie.
Poniżej wymieniono filary faz zapobiegania, które opierają się na ściśle zdefiniowanych zasadach:
Wykrywanie polega na wykorzystaniu funkcji monitorowania i rejestrowania aktywności w systemie. W przypadku podejrzenia włamania lub szkodliwej działalności systemy wykrywania powinny wysyłać odpowiednie powiadomienie. Wykrywanie ma sens tylko wtedy, gdy po nim następuje szybka z góry zaplanowana reakcja.
Jest to zbiór skrupulatnie zaplanowanych działań naprawczych, obejmujących powstrzymanie rozwoju ataku, instalację najnowszych poprawek w systemie oraz zmianę konfiguracji zapory sieciowej.
Znajomość podstawowych pojęć z zakresu bezpieczeństwa w sieci jest niezmiernie ważna. Bez wiedzy na temat luk w zabezpieczeniach i sposobu działania cyberprzestępców nie da się wybrać najlepszych środków bezpieczeństwa. Należy na przykład wiedzieć, że tożsamość użytkownika powinna zostać sprawdzona przed udzieleniem mu dostępu do systemu. To podstawowa wiedza, która umożliwia wybór odpowiedniego dostawcy i rozwiązania.
Kontrola dostępu to rodzaj środka bezpieczeństwa, który zna prawie każdy. Większość ludzi logowała się do komputera za pomocą hasła, a niektórzy robią to codziennie. Hasła chronią dostęp do sieci, aplikacji i plików. Przeciętna osoba ma do zapamiętania przynajmniej 10 haseł.
Implementacja funkcji kontroli dostępu opiera się na czterech filarach: identyfikacja, uwierzytelnianie, autoryzacja oraz księgowanie (identification, authentication, authorization, accounting — IAAA). Ten proces potwierdza tożsamość użytkownika za pomocą identyfikatora, którym może być nazwa użytkownika albo numer konta.
System sprawdza dane przekazane przez użytkownika, czyli jego nazwę oraz hasło i na tej podstawie dokonuje uwierzytelnienia jego tożsamości. Ewentualnie w użyciu mogą być inne metody, np. potwierdzenie tożsamości za pomocą dowodu osobistego lub hasła jednorazowego. Po weryfikacji tożsamości użytkownika następuje faza autoryzacji, czyli udzielenia dostępu.
Ostatni filar — księgowanie — polega na rejestracji aktywności użytkownika, aby można było powiązać jego działania z tożsamością. Hasło to nie jedyna opcja do wyboru w dzisiejszych czasach. Jest wiele możliwości, takich jak hasła jednorazowe generowane sprzętowo lub programowo, inteligentne karty czy biometria. Wybór odpowiedniej w danej sytuacji wymaga gruntownego rozważenia.
Segmentacja sieci to podział sieci na mniejsze logiczne części, między którymi można wprowadzić środki kontroli. Robi się to w celu zwiększenia wydajności i podniesienia poziomu bezpieczeństwa. Popularną metodą segmentacji sieci jest tworzenie wirtualnych sieci lokalnych (virtual local area networks - VLAN). Stosuje się ją zarówno w infrastrukturze lokalnej, jak i chmurowej. W przypadku chmury jej nazwa to wirtualne chmury prywatne (virtual private clouds - VPC).
Tradycyjne sieci oparte na fizycznych centrach danych miały ściśle określone granice. Było to miejsce połączenia centrum danych ze światem zewnętrznym. Dziś granice sieci są trudniej uchwytne, choć technologie w dużym stopniu pozostają takie same.
Zaliczają się do nich zapory sieciowe (FW), systemy wykrywania włamań (IDS) oraz systemy zapobiegania włamaniom (IPS). Podczas definiowania granic należy wskazać, jakiego typu dane oraz materiały audio i wideo mają być przepuszczane. Dopiero po określeniu typu dopuszczalnego ruchu można skonfigurować odpowiednie mechanizmy kontroli.
Szyfrowanie polega na przekształcaniu przechowywanych lub przesyłanych danych w szyfr za pomocą specjalnego klucza w celu zapewniania ich bezpieczeństwa. Podstawowe typy szyfrowania to kryptografia symetryczna i asymetryczna.
Starożytni Egipcjanie stosowali szyfrowanie symetryczne. Dziś wykorzystujemy te same koncepcje, co oni, ale stosujemy znacznie bardziej złożone algorytmy. Jeśli na przykład chcemy zapewnić poufność sesji bankowej online, to możemy posłużyć się szyfrowaniem symetrycznym. Aby potwierdzić autentyczność strony internetowej banku, posłużylibyśmy się szyfrowaniem asymetrycznym w celu bezpiecznej wymiany kluczy do szyfrowania symetrycznego tej sesji.
Haszowanie polega na wygenerowaniu za pomocą specjalnego algorytmu losowego łańcucha znaków z pierwotnej wiadomości lub danych. Wartość ta służy jako klucz pozwalający potwierdzić, że przekaz nie został w żaden sposób zmieniony.
Algorytmy haszujące to metoda weryfikacji integralności informacji. Weźmy na przykład to zdanie. Skąd pewność, że jest dokładnie takie, jak je napisano? Czy nic w nim nie zmieniono, czy to przypadkowo, czy złośliwie?
Algorytmy haszowania pozwalają upewnić się, że wszystkie litery, a raczej bity, wiadomości są oryginalne. Haszowanie w połączeniu z szyfrowaniem pozwala uzyskać pewność, że żaden haker nie zmienił tekstu. Algorytmów haszowania powszechnie używa się do przechowywania haseł, monitorowania plików i zapewniania integralności komunikacji.
Głównymi czynnikami odgrywającymi rolę w dogłębnym zabezpieczaniu sieci są ludzie, operacje i technologia. Kiedy zidentyfikujesz i ocenisz zagrożenia, na które jest narażona Twoja firma, możesz określić jej potrzeby w zakresie bezpieczeństwa w sieci. Do podjęcia są decyzje dotyczące wyboru technologii ochrony brzegów sieci, reakcji na alarmy zapór sieciowych, systemów wykrywania włamań i zapobiegania im oraz rejestracji dzienników. Zaczniemy od zapór sieciowych
Zapory sieciowe to tradycyjny środek bezpieczeństwa, który jest wykorzystywany do ochrony sieci i systemów końcowych już od ponad 25 lat. W ich przypadku ruch sieciowy dzieli się na dwie kategorie: ruch, który można przepuścić i ruch, który należy zablokować. Jedną z pierwszym zapór sieciowych był filtr pakietów, który odfiltrowywał niechciany ruch.
Twórcy tych narzędzi wynaleźli wiele metod analizy i automatycznej kategoryzacji ruchu, w wyniku czego powstały różne rodzaje tego oprogramowania. Wyróżnia się filtry pakietów, które były pierwsze, zapory sieciowe drugiej generacji oraz najnowsze zapory chmurowe.
W odróżnieniu od zapór sieciowych, systemy wykrywania włamań i zapobiegania im (intrusion detection and prevention system — IDPS) monitorują sieć pod kątem złośliwej aktywności oraz zgłaszają i udaremniają wszelkie incydenty i potencjalne zagrożenia. Zapora sieciowa monitoruje ruch pod kątem tego, co powinna przepuścić i blokuje wszystko pozostałe.
System IDS monitoruje ruch pod kątem tego, czego w nim nie powinno być. Skupia się na wykrywaniu oznak działalności hakera lub innego szkodliwego użytkownika. W miarę rozwoju technologii musiało paść następujące pytanie: Skoro wiadomo, że dana działalność jest dziełem hakera, dlaczego tylko zapisujemy ją w dzienniku? Dlaczego nie likwidujemy tego ruchu od razu? Od tych pytań była już prosta droga do powstania systemów zapobiegania włamaniom (intrusion prevention systems — IPS).
System IPS z definicji jest aktywny. Kiedy wykryje ruch związany z działalnością hakera, podejmuje odpowiednie środki, aby go zlikwidować. To brzmi, jak rozwiązanie idealne. Jednak w rzeczywistości takie systemy bardzo trudno jest prawidłowo dostroić. W przypadku błędów w konfiguracji mogą blokować prawidłowy ruch, a przepuszczać szkodliwy. Dlatego większość firm nie wdraża systemów IDS, tylko korzysta z dzienników, systemów zarządzania zdarzeniami bezpieczeństwa (security information event manager — SIEM), planów reakcji na incydenty oraz usług obecnych na miejscu zespołów.
Wirtualna sieć prywatna (virtual private network — VPN) chroni poufność danych przesyłanych w obrębie sieci. Jej podstawą jest szyfrowanie, chociaż wykorzystywane są także techniki uwierzytelniania. W sieciach VPN są dostępne trzy metody szyfrowania, w szczególności jeśli chodzi o aplikacje zainstalowane na laptopach i telefonach użytkowników łączących się z pracą zdalnie. Te trzy metody to: IPSec, SSL/TLS i SSH. Te trzy protokoły szyfrowania są używane także do innych celów.
Protokół szyfrowania IPSec może być wykorzystywany w praktycznie każdej sytuacji, ponieważ operuje na warstwie 3 modelu OSI (Open System Interconnect) sformułowanego przez ISO (International Standards Organization). Warstwa 3 to warstwa sieciowa, która umożliwia dostarczanie danych, dźwięku i materiałów wideo do miejsca przeznaczenia. Krótko mówiąc, protokół IPSec umożliwia przesyłanie danych w zaszyfrowanej i poufnej formie. Innym częstym zastosowaniem tego protokołu, poza sieciami VPN, jest obsługa połączeń między obiektami należącymi do firmy.
Transport Layer Security (TLS) to ulepszona wersja protokołu SSL. Gdyby jego prawo własności nie przeszło z Netscape na International Engineering Task Force (IETF) w 1999 r., technologia ta nosiłaby nazwę SSL 4.0. TLS umożliwia szyfrowanie w sieciach VPN, jak również wszelkich połączeń internetowych. Mogą to być na przykład połączenia przeglądarek internetowych z bankami, Amazonem lub jakąkolwiek inną witryną, przy której adresie w pasku adresu przeglądarki widnieje ikona kłódki.
Secure Shell (SSH) służy głównie do zdalnego nawiązywania połączeń między komputerami. Z protokołu tego powszechnie korzystają administratorzy sieci, którzy za jego pośrednictwem łączą się z serwerami, routerami i przełącznikami. Tego typu połączenia służą do konfiguracji i monitorowania.
Kiedy firma publikuje treści, książki, instrukcje itp., które chce udostępniać swoim klientom w kontrolowany sposób, może skorzystać z technologii DRM (digital rights management). Oprogramowanie DRM zna większość posiadaczy komputerów.
Miał z nim do czynienia każdy, kto oglądał coś na Netfliksie lub Amazon Prime albo słuchał muzyki na Spotify lub iTunes. Jeśli masz książkę na czytniku Kindle, to nie możesz jej pożyczyć dowolnej osobie. Oprogramowanie DRM Kindle generalnie na to nie pozwala, ale wszystko zależy od praw powiązanych z daną książką.
Jeśli firma boi się, że użytkownicy mogą wysyłać wiadomości e-mail z wrażliwymi informacjami, np. numerami kart kredytowych, na zewnątrz, może wdrożyć system przeciwdziałania utracie danych (data leak prevention — DLP).
Narzędzia DLP monitorują ruch pod kątem obecności danych, które nie mogą opuścić firmy, aby zapobiec ewentualnemu wyciekowi informacji. Tak przynajmniej mówi teoria. Narzędzie DLP bardzo trudno jest prawidłowo skonfigurować, ale warto to zrobić, ponieważ może ono zapobiec przypadkowym wyciekom danych.
Najważniejszym środkiem bezpieczeństwa w każdej firmie jest monitoring. Należy go prowadzić pod kątem symptomów ataku, zagrożenia, włamań, obecności hakerów itd. Planując zabezpieczenia, najlepiej jest przyjąć, że kiedyś na pewno dojdzie do udanego ataku hakerskiego i że użytkownicy będą popełniać błędy. Następnie należy monitorować środowisko pod kątem ataków i przygotować się na reakcję. Jednym z największych problemów przeciętnej firmy jest to, że zazwyczaj nikt nawet nie wie, że firma została zaatakowana.
Urządzenia muszą zapisywać zdarzenia w dziennikach, aby można było sprawdzić, co się stało i co się aktualnie dzieje w sieci. Zarejestrowane zdarzenia powinny być wysyłane do centralnego serwera dzienników systemowych do analizy.
Narzędzie, które przeprowadza takie analizy nazywa się systemem zarządzania zdarzeniami bezpieczeństwa (SIEM). Jego zadaniem jest korelacja zdarzeń i poszukiwanie wskaźników kompromitacji (indications of compromise — IOC). W przypadku ich wykrycia ktoś powinien przeanalizować dane dotyczące zdarzenia, aby zdecydować, czy trzeba podjąć działania, aby zatrzymać atak lub naprawić systemy i przywrócić im sprawność po ataku.