Ochrana sítě
- 1/12
- 2/12
- 3/12
- 4/12
- 5/12
- 6/12
- 7/12
- 8/12
- 9/12
- 10/12
- 11/12
- 12/12
6 min
Sítě tvoří páteř IT infrastruktury a bezpečnostní incident týkající se sítě může mít vážné dopady na provoz a důvěryhodnost organizace. Přesto mnohé organizace tuto skutečnost neberou v potaz, když např. nekontrolují, zda některá jejich zařízení nemají nedůvodně otevřené porty volně do internetu. To je třeba častý problém při využívání Remote Desktop Protocol (RDP – port 3389), pomocí kterého se lze vzdáleně připojit k jinému počítači. Problematické ale mohou být i jiné porty.
Na internetu pak existují služby, které nabízejí výpis aktuálně dohledatelných otevřených portů (vyzkoušejte Shodan.io). Díky této službě můžete vypátrat uživatele*ky a organizace, které zabezpečení své sítě zjevně neřeší a naopak svou zranitelnost ještě dávají světu přímo na odiv.
V roce 2019 byla napadena nemocnice v Benešově ransomwarovým útokem. Vektorem útoku byl pravděpodobně phishing, nicméně pro tuto kapitolu podstatnou informací je, že se ransomware velice rychle rozšířil po celé síti nemocnice, zašifroval data na serverech, pracovních stanicích a dokonce lékařských přístrojích. Celá síť totiž fungovala jako jednolitý celek a útočící před sebou neměli „při dobývání“ dalších částí sítě žádné překážky.
Útok způsobil kompletní ochromení nemocnice. Bylo nutné odložit plánované operace a přemístit pacienty*ky do jiných zařízení. Plný provoz nemocnice byl obnoven až skoro po měsíci. Tento incident poprvé v České republice nasvítil význam kybernetické ochrany kritické infrastruktury státu i mimo odbornou veřejnost.
Kromě používání zastaralých systémů (hardware i software) se ukázalo, že kritickým parametrem pro škodu takového rozsahu byla chybějící segmentace a tiering sítě.
Nejčastější opatření k posílení ochrany sítě:
- Posílení perimetru sítě (hranice zóny, kterou chráníme):
- Instalace a pravidelná aktualizace firewallů a systémů pro detekci a prevenci průniků (IDS/IPS).
- Použití virtuálních privátních sítí (VPN) pro bezpečný přístup z externích zařízení.
- Segmentace sítě:
- Rozdělení sítě na menší, izolované segmenty, které omezí pohyb útočníků v případě průniku.
- Zavedení přísných pravidel pro komunikaci mezi jednotlivými segmenty.
- Tiering sítě
- Architektonický přístup k designu sítě, který rozděluje síť do vrstev (tierů) s různou úrovní bezpečnosti a přístupu. Používá se k izolaci kritických systémů a dat od méně důležitých částí sítě.
- Příklad tieringu:
- Tier 0: Obsahuje nejcitlivější systémy a data, jako jsou databáze s osobními údaji nebo systémy pro řízení kritické infrastruktury. Přístup do této vrstvy je přísně omezen a monitorován.
- Tier 1: Obsahuje servery a aplikace, které jsou důležité pro chod organizace, ale neobsahují nejcitlivější data. Přístup je omezen, ale ne tak přísně jako u Tier 0.
- Tier 2: Obsahuje stanice a zařízení koncových uživatelů*ek. Tato vrstva má nejnižší úroveň bezpečnosti a přístupu.
- Pokročilé monitorování a detekce:
- Zavedení systémů pro monitorování síťového provozu a detekci anomálií (síťové sondy).
- Pravidelná analýza logů (automatizovaných záznamů) a včasná reakce na podezřelé aktivity.
- Šifrování a autentizace:
- Šifrování veškerého síťového provozu, aby byla data chráněna před odposlechem a zneužitím.
- Zavedení vícefaktorové autentizace pro významné přístupy k síti.
- Pravidelné audity a testování:
- Pravidelné provádění penetračních testů a auditů bezpečnostních opatření.
- Aktualizace a vylepšování bezpečnostních politik na základě výsledků testů a auditů.
- Zabezpečte perimetr sítě firewallem, používáním podnikové VPN, IDS/IPS systémy. Dbejte na to, že nenecháváte zranitelné porty volně otevřené do internetu.
- Segmentací a tieringem sítě omezíte pohyb útočících. Rozdělení sítě na menší části a na různě důležité úrovně ztěžuje útočícím pohyb a minimalizuje škody.
- Pravidelně sledujte, vyhodnocujte síťový provoz a analyzujte logy. Pokročilé monitorování zvyšuje šance na včasnou detekci útoku.
- Provádějte audity a penetrační testy. Aktivní testování bezpečnosti vám efektivně ukáže vaše vlastní slabiny a ukáže vám, na co se v dalších krocích zaměřit.
- Efektivní ochrana sítě může v případě útoku snížit škody až o několik řádů.
Firewall: Bezpečnostní zařízení nebo software, které monitoruje a kontroluje příchozí a odchozí síťový provoz na základě předem definovaných bezpečnostních pravidel.
IDS/IPS (Intrusion Detection System/Intrusion Prevention System): Systémy pro detekci (IDS) a prevenci (IPS) průniků do sítě. IDS monitoruje síťovou aktivitu a upozorňuje na podezřelé chování, zatímco IPS podniká kroky k zastavení těchto aktivit.
VPN (Virtual Private Network): Virtuální privátní síť, která vytváří šifrované spojení přes veřejnou síť (např. internet), čímž zajišťuje bezpečný přenos dat.
Segmentace sítě: Rozdělení sítě na menší, izolované segmenty za účelem omezení škod v případě, že dojde k průniku útočících do jednoho z těchto segmentů.
Tiering sítě: Architektonický přístup k návrhu sítě, který rozděluje síť do vrstev (tierů) s různou úrovní bezpečnosti. Nejcennější data jsou v nejvyšších tierech s nejpřísnějšími přístupovými pravidly.
Penetrační testy: Simulované útoky na síť, které mají za cíl identifikovat zranitelnosti a slabiny v systému, jež by mohly být zneužity útočníky.
Logy: Automatizované záznamy o aktivitách v síti nebo na konkrétním zařízení. Slouží k pozdější analýze a detekci podezřelých aktivit.
Perimetr sítě: Virtuální hranice mezi vnitřní sítí organizace a vnějšími sítěmi (např. internetem), která se chrání pomocí bezpečnostních opatření, jako jsou firewally.
RDP (Remote Desktop Protocol): Protokol, který umožňuje vzdálený přístup k počítači. Otevřené porty RDP mohou být zranitelné a často jsou cílem útočících.