-
Kategorije dogodkov:News
Ostati korak pred napadalci v današnjem svetu polnem kibernetskih izzivov, predstavlja zelo zahteven, zamuden in pogosto zelo drag proces.
Branilci svojih infrastruktur ne bomo nikdar zares “pred” napadalci, saj naša naloga ni iskati ranljivosti sistemov, kot to počno napadalci, pač pa le-te varovati pred zlorabo ranljivosti.
Termini v kibernetskem svetu, ki to miselnost opredeljujejo so:
- kibernetska odpornost, seveda osnovana na konceptu dobro zastavljenih informacijskih tokov, ob upoštevanju načel tipa »Least Privilege Access«
- Zero Trust
- Air Gap, …
Težava pa ni v tem, da teh konceptov ne bi že v preteklosti poznali, izzivi so v dejstvu, da jih ni mogoče povsod implementirati zaradi ekonomskih, praktičnih ali informacijskih razlogov.
Pa je to še vedno res?
Da bi to skušali ugotoviti moramo najprej pregledati materijo, ki se s tem ukvarja in poizkusiti ponovno izumiti kolo (Reinvent The Wheel). To je pristop, ki je v kibernetski varnosti priporočljiv, saj ste se vsi, ki imate kakršnokoli kibernetsko infrastrukturo v svojih organizacijah, gotovo že srečali s področjem omrežnega zajema prometa in analitiko, ki izhaja iz tega. V teoriji je to sicer preprost proces, iz omrežnih stikal kopijo vsega prometa na “read-only” način posredujete v napravo/strežnik, ki ta promet prebira, razbira in z njega s pomočjo programske logike izvaja neke zaključke.
Čemu je potrebno kopirati ves promet in zakaj nadzor zgolj na “Layer-3” požarnih pregradah ni dovolj?
Preprosto zato, ker požarna pregrada spremlja in vidi le promet, za katerega je sprogramirana, da ga vidi, in hkrati potuje preko nje.
Lateralno gibanje oz. iskanje privilegiranih dostopov znotraj istega omrežja, denimo na sosednjih delovnih postajah pa poteka na način, da se požarnih pregrad s tem ne obremenjuje. Torej nepridiprav, ki pasivno analizira dogajanje na vašem omrežju in aktivno skeniranje zakrije v povsem običajno obnašanjem na omrežju, lahko s pomočjo takšne “RECON” operacije, z relativno veliko natančnostjo ugotovi, katera delovna postaja ima privilegiran/administrativni dostop. Požarna pregrada te aktivnosti ne vidi, zato se lahko napadalec v miru loti svojih aktivnosti in poskuša pridobiti dostop do ciljne delovne postaje, dokler mu le-to ne uspe.
Način kako lahko to preprečimo z obstoječo požarno pregrado je sledeč:
- Zagotovimo zajem omrežnega prometa na naših stikalih
- Skoncentriramo promet v eno točko s pomočjo Garland agregacije
- Injiciramo promet v požarno pregrado, kjer mrežna vrata označimo za način delovanja TAP.
Bolj podroben scenarij in dodatne informacije o uporabnosti same rešitve najdete z vpisom v strani za uporabnike portala Secured.