Bezpečnost sítě a koncové body – aplikace a služby
Říjen je již několik let nazýván Evropským měsícem kybernetické bezpečnosti. Při této příležitosti bych rád upozornil na klíčovou roli zabezpečení koncových bodů z hlediska bezpečnosti celé sítě. Ve dvoudílném článku představím také možnosti předcházení útokům způsobeným narušením jejich integrity.
Udržování odpovídající úrovně bezpečnosti sítě je dnes nesmírně důležité, ale zároveň je nesmírně obtížné. Rostoucí význam práce na dálku znamená pro správce další výzvy související s odstraňováním stále častěji a silněji vyskytujících se rizikových faktorů. Často se stává, že zaměstnanci používají svá pracovní zařízení, čili počítače, chytré telefony, tablety k soukromým účelům. To zvyšuje potenciální zranitelnost organizace vůči hrozbám.
Podívejme se, jakým rizikům jsou tyto koncové body vystaveny:
- phishing – útok, který má uživatele přesvědčit, aby kliknul na škodlivý odkaz nebo přílohu e-mailu,
- spear phishing – personalizovaná forma phishingového útoku, při němž oběti dostávají odkazy nebo přílohy, které vypadají, že pocházejí ze známých a důvěryhodných zdrojů,
- software vulnerabilities – chyby nebo mezery v softwaru, které, pokud jsou nezabezpečené, mohou vytvářet hrozby a exploity,
- malvertising – metoda šíření malwaru s využitím imitace internetové reklamy,
- drive-by downloads – útok prostřednictvím prohlížeče, spočívající v instalaci malware na koncovém bodě, a to poté, co uživatel navštíví infikovanou webovou stránku.
Podívejme se, co může nechráněný koncový bod umožnit agresorovi:
Na obrázku vidíme, že koncové body jsou prakticky virtuální brány k aplikacím, službám a datům v systému uživatele. Neoprávněná osoba může touto cestou získat přístup k ostatním pracovním stanicím a dokonce i k privilegovaným serverům a uživatelům v organizaci.
Podívejme se na několik scénářů ohrožení koncových bodů, které mohou způsobit bezpečnostní incidenty pro celou síť.
- Získání přístupu ke koncovému bodu
Pandemie donutila mnohé z nás pracovat na dálku. Režim home office přináší sice mnoho výhod pro zaměstnance i organizace, ale představuje řadu rizik pro bezpečnost sítě. Správci byli nuceni zmírnit mnohá omezení, aby mohl proběhnout přechod na systém WFH. Níže uvádím příklad, jak útočníci cílí na port 3389, který se běžně používá pro vzdálená připojení.
Některé organizace používají k nastavení bezpečných vzdálených relací síť VPN. Desítky variant malwaru od mnoha hackerských skupin však upozorňují na zranitelná místa aplikací, které tuto formu komunikace spravují.
Monitorujete tedy přenos přicházející přes VPN? Změny v jeho konfiguracích? Zdroje přihlášení? Pokud ne, navrhuji zkontrolovat Firewall Analyzer. Umožňuje sledovat uživatele virtuálních privátních sítí v reálném čase, monitorovat jejich aktivitu z hlediska neobvyklého chování, ale také díky sekci hlášení, umožňuje získat data o bezpečnostních incidentech uskutečněných v infrastruktuře.
Dalším znepokojivým trendem současnosti jsou makroútoky prováděné pomocí dokumentů Microsoft 365 obsahujících malware. Útočník může pomocí nástroje integrovaného do jeho vlastního serveru, jako jsou PowerShell nebo Terminal v Linuxu, vytvořit makra pro Office s kódem generujícím poškození počítačového systému a prostřednictvím phishingových útoků přimět uživatele, aby jej otevřeli. Taková příloha může obsahovat například program, který zachytí hashe uživatelských hesel a odešle je na vzdálený server.
Jak tomu předcházet? Můžete využit aplikaci M365 Manager Plus a pomocí sekce hlášení analyzovat prostředí z hlediska mimo jiné výskytu malwaru a dostávat upozornění e-mailem nebo pomocí SMS po nakonfigurování příslušných profilů oznámení.
Pokud by i vás zajímal přehled nejrizikovějších zdrojů a počet závažných narušení s rozdělením na konkrétní uživatele, pak stojí za zvážení systém DataSecurity Plus. Produkt nejen zabraňuje úniku dat z koncových bodů díky monitorování prostředí v reálném čase. Může kromě toho provádět audit souborového serveru a kontrolu obsahu s kontextovou analýzou.
V současné době nemusí koncoví uživatelé ve vaší organizaci používat žádná hesla pro přístup k síťovým prostředkům, které využívají. Při použití aplikace PAM360 nebo Password Manager Pro udělíte oprávnění konkrétním místům, aniž byste jim museli předávat identifikační údaje. Určíte také konkrétní časy, kdy budou zdroje k dispozici, a nakonfigurujete požadavek na hlášení požadavků na přístup, abyste ochránili ty zdroje, které jsou pro podnik klíčové.
27.10.2021
Autor: Michal Hrinda
Kategorie: Články Novinky
Michal Hrinda
Produktový manažer a konzultant