hu 
Október már néhány éve Európai Kiberbiztonsági Hónap. Ez alkalomból szeretném felhívni a figyelmet arra, hogy a végpontok bebiztosítása, a teljes hálózat biztonságát tekintve, kulcsfontosságú. Egy kétrészes cikkben bemutatom az integritásuk megsértésével okozott támadások megelőzésének lehetőségeit is.
A megfelelő szintű hálózati biztonság fenntartása manapság rendkívül fontos, de egyben rendkívül nehéz is. A távmunka növekvő jelentősége további, az egyre gyakoribb és súlyosabb kockázati tényezők eltávolításával kapcsolatos kihívások elé állítja az adminisztrátorokat. Gyakran előfordul, hogy a munkavállalók munkaeszközeiket – azaz számítógépeiket, okostelefonjaikat, táblagépeiket – magáncélra használják. Ez növeli a szervezet potenciális sebezhetőségét.
Nézzük meg, hogy ezek a végpontok milyen kockázatoknak vannak kitéve:
- phishing – olyan támadás, amelynek célja, hogy meggyőzze a felhasználót arról, hogy egy káros linkre vagy e-mail mellékletre kattintson,
- spear phishing – a phishing-támadás személyre szabott formája, amelynél az áldozatok látszólag ismert és megbízható forrásból származó linkeket vagy mellékleteket kapnak,
- software vulnerabilities – a szoftverben lévő olyan hibák vagy hiányosságok /hézagok/, amelyek – amennyiben nem védettek – fenyegetéseket és kihasználást hozhatnak létre,
- malvertising – internetes reklámimitáció felhasználásával történő malware-terjesztési módszer,
- drive-by downloads – a végponton történő malware-telepítésben megnyilvánuló, böngészőalapú támadás, miután a felhasználó ellátogatott egy fertőzött weboldalra.
Nézzük meg, hogy egy védtelen végpont mit tehet lehetővé az agresszor számára:
Az ábrán látható, hogy a végpontok gyakorlatilag virtuális átjárók a felhasználói rendszerben található alkalmazásokhoz, szolgáltatásokhoz és adatokhoz. Az illetéktelen személy ez úton hozzáférhet a többi munkaállomáshoz, sőt a szervezeten belüli kiváltságos szerverekhez és felhasználókhoz is.
Nézzünk meg néhány olyan végpont-fenyegetési forgatókönyvet, amely egész hálózatot érintő biztonsági incidenseket okozhat.
1. Végponthoz való hozzáférés megszerzése
A világjárvány sokunkat kényszerített távolról dolgozni. Bár a home office üzemmód számos előnnyel jár az alkalmazottak és a szervezetek számára, a hálózati biztonságot tekintve egy egész sor kockázatot jelent. Az adminisztrátorok kénytelenek voltak számos korlátozást enyhíteni, hogy lehetővé tegyék a WFH-rendszerre való átállást. Az alábbiakban bemutatok egy példát arra, ahogy a támadó célba veszi a 3389-es portot, melyet a távoli csatlakozásokhoz általában használunk.
Egyes szervezetek, a biztonságos távoli viszonylatok beállításához, VPN-hálózatot használnak. Számos hackercsoport több tucatnyi malware-változata azonban rávilágít a kommunikáció ezen formáját kezelő alkalmazások sebezhetőségére.
Szóval figyeli a VPN-en keresztül érkező forgalmat? A konfigurációiban megjelenő változásokat? A bejelentkezési forrásokat? Amennyiben nem, javaslom ellenőrizni a Firewall Analyzert. Lehetővé teszi a virtuális magánhálózat-felhasználók valós idejű figyelését, aktivitásuk szokatlan viselkedés szempontjából történő nyomon követését, de – a jelentési szekció révén – az infrastruktúrában bekövetkezett biztonsági incidensekről is szerezhet adatokat.
Egy másik aggasztó trendet napjainkban a malwareket tartalmazó Microsoft 365 dokumentumok felhasználásával végrehajtott makró-támadások jelentenek. A támadó a saját szerverébe épített eszközzel, mint a PowerShell vagy a Linuxban található Terminal, olyan kódot tartalmazó makrókat hozhat létre az Office számára, amelyek kárt okoznak a számítógépes rendszerben, és phishing-támadásokon keresztül ráveheti a felhasználókat azok megnyitására. Az ilyen melléklet tartalmazhat például olyan programot, amely rögzíti a felhasználói jelszavak hash-jét és elküldi azokat egy távoli szerverre.
Hogyan lehet ezt megelőzni? Használhatja az M365 Manager Plus alkalmazást, és a jelentés szekció segítségével elemezheti a környezetet, többek között malware előfordulás szempontjából, és a megfelelő értesítési profilok konfigurálása után e-mailben vagy SMS-ben kaphat figyelmeztetéseket.
Amennyiben konkrét felhasználók szerinti bontásban szeretne áttekintést kapni a legkockázatosabb forrásokról és a súlyos zavarok számáról, érdemes megfontolnia a DataSecurity Plus rendszert. A termék nemcsak a végpontokról történő adatszivárgást akadályozza meg, a környezet valós idejű megfigyelése révén. Képes ezenkívül fájlszerver-auditálásra és kontextuális elemzéssel történő tartalomellenőrzésre is.
Szervezete végfelhasználóinak jelenleg nem kell jelszavakat használniuk az általuk használt hálózati eszközökhöz való hozzáféréshez. A PAM360 vagy a Password Manager Pro alkalmazás használatakor konkrét helyeknek adhat jogosultságot, anélkül, hogy azoknak azonosító adatokat kellene megadnia. Meghatározhatja továbbá a konkrét időt, amikor a források rendelkezésre fognak állni, és konfigurálhatja a hozzáférési kérelmek jelentését, hogy a cég számára kulcsfontosságú forrásokat megvédje.
Most, hogy van némi elképzelésünk arról, hogy a kiberbűnözők hogyan törnek be a végpontokra, nézzük meg, hogyan tudnak tartós sebezhetőséget létrehozni azokban, vagy akár utat törni további végpontok vagy kiváltságos szerverek és felhasználók felé.
2.Kritikus alkalmazásokon és szolgáltatásokon keresztül történő jogosultság-eszkalálás
A Windows rendszer végpontjain futó szolgáltatások többsége egy előre meghatározott helyi rendszerfiókot használ. Amennyiben a támadó a fenti fiókon keresztül hozzáférést nyer a végponthoz, a helyi rendszerjogosultságokkal futó kulcsfontosságú szolgáltatások ellenőrzéséhez és módosításához szükséges jogosultságokat is megszerzi, hogy hozzáférjen a vállalat számára kiemelkedően fontos adatokhoz.
Bizonyos esetekben a támadók hivatkozhatnak olyan bináris szolgáltatásfájlra, szkriptre vagy alkalmazásra is, amelyet helyi rendszerjogokkal akarnak indítani.
A sebezhető szolgáltatásokat azonban nem mindig a helyi felhasználói fiókon keresztül támadják. Egy adott szolgáltatás indítására konfigurált szolgáltatásfiók rendelkezhet néha nem kívánatos jogosultságokkal, amelyeket a támadó bizonyára kihasznál. Ez a Linux rendszerekre is vonatkozik.
Az egyik lehetőség, a rosszul konfigurált alkalmazások és szolgáltatások kihasználása, de a kiberbűnözők olyan, kártékony programokat is be tudnak vinni, amelyek a telepítést követően kártevő kódot indítanak. Ezeket a tevékenységeket azonban a cikk második részében fogjuk megvizsgálni, melynek elolvasására természetesen meghívom Önöket.
