Annex NET, s.r.o. - VÍTEJTE NA NAŠICH STRÁNKÁCH

Viděl, ale nedokázal rozpoznat běžné věci. Když mu dali rukavici, nedokázal ji rozpoznat – viděl ji fragmentovaně. Rozeznal pět malých pytlíků připojených ke většímu pytlíku, a tak se domníval, že se jedná o nějaký speciální pytlík.

Pro nás ostatní je těžké si představit, jaké to je, být takto slepý. „Normálně slepý“, to není problém, stačí si zakrýt oči. Ale v podstatě nevědět, že jste slepí? To zní téměř nemožné, nebo ne?

Existuje však forma slepoty, kterou trpí mnoho společností a tou je právě síťová slepota. A stejně tak jako v případě vizuální agnózie si většina postižených společností vůbec neuvědomuje, že jí trpí.

Ale co vlastně je ona síťová slepota? Jedná se o neschopnost přiřadit smysl síťovým informacím. Představte si, že bychom oči nahradili síťovými senzory a mozek by pak nahradilo IT oddělení dané firmy a už se dostáváme do obrazu.

Máte k dispozici základní sadu informací – statistiky z routerů a switchů, logy z firewallu. Můžete mít nějaké informace z IDS systému (pokud je nějaký nasazen). Ale to vše jsou pouze fragmenty. A bez znalosti detailů a souvislostí je velice snadné dojít k nesprávným závěrům. A nebo ještě hůř, vůbec nezjistit, že je něco špatně.

Kdo může trpět síťovou slepotou? Existuje mnoho společností, které neinvestovaly do takzvaných awareness technologií, mezi které patří například systémy ochrany proti průniku (IDS/IPS) a systémy pro sledování a vyhodnocování zranitelností. Takové společnosti si mnohdy ani neuvědomují, že v jejích sítích dochází k bezpečnostním událostem. Nemají ponětí o tom, kdo a co dělá, a ani o tom zda se jedná o práci uvnitř organizace, či nikoli.

Jaké jsou potom důsledky takové slepoty? Co se může stát firmě, která není schopna získat kompletní náhled na to, co se děje na síťové úrovni? Zde je seznam deseti nejčastějších důsledků.

 1.     Nízký síťový výkon: „Je to celé děsně pomalé!“

Pro projektového managera může být opravdu frustrující, když slyší, jak si uživatelé nového systému, na jehož pořízení a implementaci byly vynaloženy nemalé prostředky, stěžují na jeho pomalost. V mnoha případech se problémy s výkonem skrývají na síťové úrovni a nikoliv na úrovni hardwaru vlastních serverů.

Bez dobré znalosti sítě je pak velice složité tyto problémy detekovat a analyzovat. Důsledkem takové situace je vysoká investice do upgrade síťové infrastruktury, aniž by byla řešena vlastní podstata daného problému, což pro koncového uživatele má ve finále pramalý přínos.

 2.     Externí útoky: „vyháčkovali vám to!“

Pokud netušíte, co se odehrává na síťové úrovni, nebudete vědět ani to, kdo se snaží o průnik do vaší sítě skrz její přístupové body. Můžete se spoléhat na to, že váš firewall takovým pokusům zabrání. Ale například malé společnosti často důvěřují firewallům až příliš.

Můžete řídit, které služby mají být na jakých portech dostupné, jako například port 80 (HTTP), 443 (HTTPS) a 25 (SMTP). A to jsou právě cíle, na které se útočníci soustředí. Pro většinu útoků, snad s výjimkou ataků na odmítnutí služby (DoS/DDoS), to totiž znamená, jako by tam firewall vůbec nebyl.

V typických scénářích útočník prohledá vaši síť na přítomnost zranitelných systémů. Jakmile nějaký nalezne, vyšle na něj cílený škodlivý kód a často tak k němu během několika vteřin získá přístup (rootshell). Jakmile k tomu dojde, je on vítěz a vy jen divák, protože od tohoto okamžiku má již útočník kompletní vládu nad takto kompromitovaným systémem.

Takový systém je pak použit jako odrazový můstek k prohledání daného síťového segmentu a útokům na další v něm umístěné systémy, které pak nemusí být zvenku vůbec viditelné.

V mnoha případech útočník ani nepotřebuje nad daným systémem převzít kontrolu. Pokud se jedná o webový aplikační server, může získat veškeré informace, které potřebuje pomocí SQL injection útoku, a tak získat přístup k mnohem větší části aplikační databáze (například informace o vašich zákaznících), než ke které by měl mít normálně.

3.     Darovanému koni na zuby nekoukej

Velice oblíbeným způsobem získání přístupu do cizích sítí je za pomoci trojského koně. Tato forma útoku funguje v podstatě stejně jako v onom bájném příběhu. Vaši uživatelé jsou zlákáni ke stažení aplikace, která se tváří neškodně a třeba i užitečně, ale ve skutečnosti do cílového počítače nainstaluje nástroj pro vzdálené ovládání tohoto stroje, které pak má útočník plně k dispozici. Jakmile k tomu dojde, je takový stroj připraven bez váhání vyplnit jakýkoli příkaz, který od útočníka obdrží.

Nejčastěji jsou pak takto napadené počítače využívány pro rozesílání spamu a realizaci distribuovaných DOS útoků. Běžně se pak o takovýchto počítačích hovoří jako o „zombie“ a sdružení více takto ovládaných počítačů řízených jedním útočníkem se pak označuje jako „botnet“.

Trojské koně se většinou v daných intervalech přihlašují do internetových diskuzních místností, kde si čtou instrukce pro této místnosti napsané a následně je vykonávají. Signatura botnetu může být relativně jednoduchá (na vstupu lze detekovat kód vlastního trojského koně, na výstupu pak přístup do chatu). To, co je však od ostatních přímých útoků odlišuje, je to, že k počátečnímu napadení a infekci může dojít na domácí síti daného uživatele a takto infikovaný počítač je až následně připojen do sítě korporátní.

4.     Interní podvod

Ať se vám to líbí nebo ne, můžete mít ve firmě zaměstnance, kteří nemusí mít nejlepší úmysly. Pokud vaše společnost přesáhne určitou velikost, začne se typ a počet lidí s nedobrými úmysly přibližovat globálnímu statistickému průměru (máte ve svých řadách vraha?).

Vaši pracovníci mají mnohem větší přístup k interním systémům a ten může zahrnovat i přístup k platebním systémům a podobně. Zkorumpovaní zaměstnanci se mohou dopustit podvodů a vysávat firemní finanční zdroje, používat informace o kreditních kartách vašich zákazníků nebo prodávat interní informace.

Klasickým příkladem tohoto chování jsou zaměstnanci helpdeskových systémů, kteří mají přístup k informacím o vašich zákaznících a mohou je pak prodat konkurenci. Důsledky však mohou být mnohem katastrofálnější, tak jako v případě makléřů Nicka Leesona a Jerome Kerviela, kdy první z jmenovaných způsobil pád anglické Bearings Bank a druhý pak způsobil obrovskou ztrátu francouzské Société Générale.

 5.     Nespokojení zaměstnanci / bývalí zaměstnanci

Nespokojení zaměstnanci, nebo zaměstnanci, kteří byli vyhozeni, ať již pro porušení povinností nebo z důvodu snižovaní stavů mohou firmě způsobit obrovské škody. Pravděpodobně nejznámější případ se odehrál v roce 2001 v Queenslandu v Austrálii.

Čerstvě propuštěný zaměstnanec se naboural do sítě podniku na zpracování odpadů skrz bezdrátovou Wi-Fi síť pomocí laptopu z auta zaparkovaného na parkovišti před podnikem. S využitím znalosti hesel vstoupil do řídícíhosystému závodu a nechal vypustit více než 250 000 galonů splašků do přilehlých řek a parků.

Tento bývalý zaměstnanec si myslel, že způsobením série problémů mu dopomůže k tomu získat zpět svou práci, aby je pak následně pomohl napravit. Představte si, jaké důsledky by mělo, kdyby měl někdo možnost smazat kompletní databázi vašich zákazníků, nebo poškodit data takovým způsobem, že si toho nikdo nevšimne, dokud nebude pozdě.

 6.     Zneužití síťové politiky

Zaměstnanci mohou často vědomě či nevědomě porušovat firemní síťovou politiku. Síťové politiky mají svůj důvod. Ve většině případů existují proto, aby ochránily společnost před neakceptovatelným rizikem. Je-li vaše společnost veliká, existuje statistická pravděpodobnost, že někteří vaši zaměstnanci mohou mít – řekněme nekonvenční záliby?

Je důležité si uvědomit, že to může znamenat, že si uživatelé na svých firemních počítačích prohlížejí a stahují věci jako je pornografie, nebo i třeba plánky k výrobě bomb. A jsou-li tito zaměstnanci tak hloupí, že si takové věci stahují v práci (a případy z reálného života ukazují, že i takoví jsou), je šance, že takové počínání přitáhne pozornost úřadů a spojení jména vaší společnosti s takovou činností v médiích nemusí působit zrovna dobře.

Samozřejmě situace nemusí být až tak katastrofická. Můžete se místo toho potýkat třeba jen s epidemií sociálních sítí. Výzkum prováděný v Anglii a sponzorovaný společností Morse ukázal, že ročně stojí používání Twitteru a dalších sociálních sítí tamní firmy 1,38 miliardy liber na ztracené produktivitě zaměstnanců. Popřípadě mohou někteří zaměstnanci na svých pracovních stanicích prezentovat obsah, který může být příčinou k zahájení soudního sporu.

 7.     Porušování licencí a stahovači

IT oddělení většinou poskytne zaměstnanci pracovní stanici s předinstalovanou sadou programového vybavení potřebného pro výkon dané pozice. Bohužel, názor na to, jaký software je ten nejvhodnější se často liší z pohledu IT oddělení a pohledu vlastního zaměstnance.

Často se pak stává, že zaměstnanec se rozhodne vzít věc do vlastních rukou a na firemní pracovní stanici si nainstaluje vlastní (často nelegální) software. Může se jednat třeba o novější verze Microsoft Office nebo Torrent klienty.

Mnozí lidé žijí v přesvědčení, že na sdílení své kolekce hudby a filmů s ostatními uživateli není nic špatného a i když je některý obsah chráněn pomocí DRM, existuje velké množství nástrojů na jejich odstranění nebo výrobu kopií vlastních DVD apod.

 8.     Konfigurační zmatky / VM sprawl

Velice blízko k porušování licencí má i problematika planého šíření virtuálních strojů (takzvaný VM sprawl). Stáhnout si v dnešní době některé z virtualizačních prostředí je poměrně jednoduché - je tak možné propagovat celé operační systémy včetně aplikací (jedná se pouze o soubory využívané virtualizační platformou).

Samotné virtuální stroje mohou být legální, a to včetně jejich operačních systémů. To jim však nebrání v tom, aby byly pro firmu bezpečnostní hrozbou. Pravá hrozba takto neřízeně množících se virtuálních stanic je v tom, že často nespadají do správy IT oddělení, a nemusí tak být kryty auditem a ani z hlediska instalací opravných balíčků. Lidé je mohou nechat měsíce ve vypnutém stavu a zapínat je jen dle potřeby pro specifickou činnost.

A problém může být na světě... Virtuální stroje mohly zmeškat měsíce záplat a mohou tak být zranitelné hrozbami nacházejícími se v síti. Dalším riziko se skrývá ve vlastnosti většiny virtualizačních prostředí, která dokážou pořizovat snapshoty obsahující kompletní obraz dané virtuální stanice, který je pak možné později obnovit.

Tato vlastnost může být velice prospěšná, například ve vývojovém prostředí, nicméně návrat ke starší verzi snapshotu s sebou také nese riziko ztráty veškerých bezpečnostních záplat nainstalovaný na daném systému od doby pořízení snapshotu, a to může vést ke zranitelnosti takového systému.

Jeden z největších problémů s virtuálními stanicemi může být pocit falešného bezpečí, který mohou vyvolávat ve svých uživatelích. Zaměstnanci si mohou například myslet, že když mají plně aktualizovaný operační systém, tak se nemůže nic stát. Pokud na něm však provozují starší, nezáplatovanou a zranitelnou virtualizovanou stanici, mohou po síti šířit problémový provoz, aniž by to tušili.

 9.     Únik informací

Pro firmu neakceptovatelné riziko však může pocházet i od čestných zaměstnanců, kteří mohou v dobrém úmyslu způsobit únik citlivých informací mimo firmu. To se často stává pomocí e-mailů, mnohdy v případech kdy si uživatelé předávají poštu, aniž by si pořádně pročetli obsah předchozí komunikace. A i když e-mail sám o sobě nemusí být tajný, může způsobit únik informací ve formě seznamu adres využitelných takzvanými headhuntery.

Další formou neúmyslného úniku informací může být třeba nesprávná konfigurace. Například server pro internetové bankovnictví může být nedopatřením nakonfigurován tak, aby odpovídal i na HTTP namísto pouze HTTPS. V podstatě nic neselhalo, ale citlivé informace nyní mohou být přenášeny v čitelné podobě místo zabezpečeného šifrovaného kanálu – a obrovská bezpečnostní díra je na světě.

 10.Vaše zodpovědnost

A to nás přivádí k tomu hlavnímu. Vaše firma je zodpovědná a do určité míry nezabezpečená ve všech výše uvedených situacích. Pokud nebudete chránit údaje o platbách vašich zákazníku, nevyhovíte PCI nařízením. Pokud nebudete chránit citlivé osobní údaje (zaměstnanců i zákazníků) nebude se to líbit Úřadu na ochranu osobních údajů.

Pokud budete tolerovat nelegální sdílení obsahu, hrozí vám pokuty nebo soudní spor. Pokud se tedy na celou zde uvedenou problematiku podíváte v globálu, nemít přehled o dění na síťové úrovni přináší tolik problémů a rizik, že je lepší, s tím něco začít dělat.

A co tedy dál?

Jednoduše řečeno – zbavte se slepoty a naučte se vidět. Implementujte řešení, které vám poskytne ucelený náhled na dění ve vaší síti. Pro dosažení tohoto cíle je nutná IPS, která je vysoce laditelná a umožní vám zjistit proč jsou události generovány.

Nasaďte IPS, která má nízky poměr false positive detekcí a nejlepší detekční schopnosti (nemá cenu nasazovat řešení, které je slepé). Projděte si nezávislá porovnání kvalitních IPS řešení vypracovaná např. NSS Labs, či ICSA. Ujistěte se, že máte dobrý přehled o systémech nasazených ve vaší síti. Věnujte pozornost systémům pro odhalování zařízení.

Pasivní systémy (ty které neskenují síť) mají oproti aktivním scannerům výhodu v rychlosti detekce a zachování síťové stability. Dále se podívejte na systémy sledující chování sítě (NBA). Ty vám pomohou odhalit nestandardní chování a aktivity probíhající na vaší síti a mohou tak odhalit i hrozby, proti kterým vaše IPS ještě nemá pravidla.

Dále věnujte pozornost systémům pro správu a vynucení konfigurací, které vám umožní ochránit konfiguraci vašich systémů proti nežádoucím změnám. A v poslední řadě hledejte řešení, které je vysoce integrované namísto několika samostatných řešení od různých dodavatelů.

Pokud tak učiníte, sklidíte veškeré výhody, které přináší sjednocený management, jednotné administrativní rozhraní a jednotný integrovaný systém sběru informací, který vám nejen vysoce redukuje rizika, ale zároveň i sníží celkové náklady na vlastnictví (TCO).

Autor pracuje jako technický ředitel ve společnosti Sourcefire UK.

Astaro Security Gateway V8 Packet Filter / secunet wall  2 packet filter je součástí firewallu centralizovaného bezpečnostního řešení  UTM Astaro Security Gateway V8 a secunet wall 2. Tato certifikace je založena na Common Criteria verze 3.1 pro úroveň zabezpečení EAL4 + a byla provedena akreditovanou zkušební laboratoři SRC (Security Research & Consulting GmbH) v Bonnu.

Nejvyšší mezinárodně uznávaná úroveň certifikace EAL4 + vyžaduje jak kontrolu vývojového prostředí prováděnou BSI, tak i pečlivé zkoumání kompletního zdrojového kódu nezávislými odborníky. To vše znamená, že IT bezpečnostní certifikát zaručuje zákazníkům, že Astaro implementuje bezpečnostní požadavky řádně a že postupy používané v tomto případě jsou v souladu s uznávanými standardy. 

"Jsme velmi potěšeni, že Astaro obdrželo tento velice prestižní a mezinárodně uznávaný certifikát. To znovu ukazuje, že bezpečnost a technologie budoucnosti se nemusí navzájem vylučovat," říká Jan Hichert, zakladatel a CEO společnosti Astaro. S touto certifikací se produkt Astaro Security Gateway V8 Packet Filter  stává celosvětově prvním komplexním řešením IPv6 s funkcionalitou packet filtering   u centralizovaného bezpečnostního řešeni (UTM), které bylo oficiálně akreditováno a schváleno. 

Tento certifikovaný paketový filtr bude dodáván  s Astaro Security Gateway verzi 8.103.