Какой тип обеспечения безопасности сети применить, зависит от ландшафта угроз. В понятие ландшафта угроз входят уязвимости, векторы угроз и нацеленные на ваш бизнес злоумышленники. Принимая это во внимание, в сетевую среду необходимо добавить средства обеспечения безопасности, которые снизят вероятность успешной атаки и смягчат ее последствия.
Выбор средств безопасности, которые требуется добавить в сетевую среду, должен основываться как на текущем, так и на прогнозируемом на будущее ландшафте угроз. Это касается любых сетей: домашних, корпоративных, а также сетей поставщиков услуг.
Для эффективного обеспечения безопасности сети необходимо иметь в виду известные уязвимости, хакеров или других злоумышленников, а также текущие тенденции развития атак. Чтобы должным образом повысить уровень безопасности сети, вы должны понимать, какие ресурсы вашей компании остались незащищенными, и как они могут быть скомпрометированы.
Важно выявить и понять все многочисленные составляющие ландшафта угроз. Только вооружившись этими знаниями, можно предпринять верные ответные действия.
Давайте начнем с источников угрозы. Это люди или структуры, которые атакуют и взламывают систему безопасности. Злоумышленники имеют множество различных целей и относятся к разным типам.
Вектор угрозы — это путь, по которому идет атака. Это может быть такое простое действие, как просьба злоумышленника открыть для него входную дверь, потому что у него самого заняты руки — один из простейших приемов социальной инженерии. Или вектор может быть гораздо сложнее и требовать мастерства для выполнения.
Например, атака очень часто начинается с одного из типов социальной инженерии, фишинга. Пользователь получает фишинговое письмо и нажимает на ссылку или открывает вложение. В результате в системе устанавливается вредоносное ПО, которое открывает лазейку в систему для хакера. Он получает доступ в систему и возможность перемещения по сети.
Уязвимость — это недоработка или слабость продукта или услуги, которая может быть использована для нарушения функционирования этого продукта или услуги. Это касается таких продуктов безопасности, как межсетевые экраны, антивирусы и защита от вредоносных программ. Бывают также уязвимости разнообразных обычных и конечных устройств: серверов, рабочих станций, ноутбуков, камер, термостатов, холодильников и др. В список нужно добавить сетевые устройства: маршрутизаторы и коммутаторы. Уязвимости делятся на три категории:
На сайтах таких компаний, как Mitre Corporation, можно получить данные по первому и второму типу известных уязвимостей из списка CVE (Common Vulnerabilities and Exposures). Также доступ к базе данных известных уязвимостей NVD (National Vulnerability Database) можно получить на странице Национального института стандартов и технологий (NIST).
Для поиска уязвимостей в сети применяется сканирование. Эффективные инструменты, например, Nessus от Tenable, автоматически связывают обнаруженное программное обеспечение с базами данных известных уязвимостей. В результате сканирования вы получаете сообщение о предполагаемых уязвимостях, но не утверждение, что их могут эксплуатировать. Следующий шаг — получить подтверждение и принять меры по защите систем.
Например, если в вашей сети есть Microsoft Windows Server 2019, сканер уязвимостей должен обнаружить Zerologon — уязвимость, которая может повлиять этот сервер. Сканер сначала обнаруживает наличие Windows Server 2019, а затем ищет в базе данных известные уязвимости для него.
Он обнаружит уязвимость CVE-2020-1472 на сайте NIST, также известную как Zerologon. Она дает злоумышленнику возможность незаконно получить привилегии. По шкале стандарта CVSS (Common Vulnerability Severity Score) эта уязвимость получила рейтинг 10 из 10, то есть максимально опасна и должна быть исправлена немедленно. Рядом с идентификатором CVE приводятся ссылки на патчи, рекомендации и решения. Одна из ссылок также ведет на страницу Common Weakness Enumeration (CWE), где дается больше информации об атаках.
Существует множество различных инструментов и методик для проверки сети на наличие уязвимостей в системе безопасности. Один из таких методов — имитация атаки на компанию, которую также называют тестом на проникновение, или пентестом. Для этой цели организации нанимают этичных хакеров.
При «этичном взломе» выявляются уязвимости, свойственные конкретной сети. Этичность заключается в том, что хакеры атакуют систему с разрешения компании. Они могут доказать, что в сети есть уязвимости из списка CVE, обнаружить ошибки конфигурации или неизвестные уязвимости.
Один из способов проведения пентеста — с помощью красных и синих команд. Красная команда использует настоящие инструменты взлома для имеющейся защиты сети. Синяя команда — это команда реагирования на инциденты, которая использует заранее подготовленные планы реагирования на инциденты (плейбуки), чтобы отразить предпринятую атаку.
Когда эти две команды работают вместе, это приносит больше пользы, чем при стандартном пентесте. Красная команда вскрывает уязвимости, синяя — отрабатывает ответные действия на атаку. Команда реагирования на инциденты должна тренироваться, чтобы быть готовой к настоящим атакам злоумышленников. Практика имеет решающее значение для успешного реагирования на атаки.
В первую очередь система обеспечения безопасности сети направлена на предотвращение атак. Если же атака действительно происходит, то первый шаг — это ее обнаружение. Как только об атака обнаружена, необходимо реагировать на инциденты. Требуется выявить и оценить ущерб, понять масштаб воздействия, определить, какие нужны исправления для уязвимостей и какие пути использованы для атаки. Этот процесс обычно называют: «предупреждение, обнаружение и реагирование».
Предотвращение представляет собой укрепление систем и их защиту с помощью мер и средств обеспечения безопасности. Укрепление системы включает:
Обнаружение в основном выполняется с помощью журналов событий (логов). Такие системы, как система обнаружения вторжений (IDS) отслеживают проходящий трафик и фиксируют подозрительную активность. Система создает запись об этом в журнале и отправляет syslog-серверу. Система SIEM коррелирует и анализирует данные логов, затем оповещает специалистов по безопасности об обнаруженных индикаторах компрометации IoC. Получив оповещение, ИБ-подразделение или группа реагирования на инциденты разбирается, действительно ли произошла компрометация, и если да, то корректирует среду, чтобы предотвратить повторение инцидента.
Реагирование может свестись к простой установке пакета исправлений в системе, но может потребовать и больших усилий. Возможно, придется проанализировать конфигурации межсетевых экранов, систем предотвращения вторжений (IPS), маршрутизаторов и всех других сетевых и защитных программ и устройств, чтобы выявить ошибки в настройках.
Может потребоваться добавить в сеть механизмы безопасности, новые или отличные от использующихся. Это может быть масштабный процесс, который включает в себя создание бизнес-плана.
Статьи по теме
Исследования по теме