hu 
Kaotikus és zavaró lehet annak megértése, hogy mit kell ellenőrizni a hálózatban. A teljes hálózati biztonsági ellenőrzőlista elkészítése elengedhetetlen azoknak a szervezeteknek, amelyeknek számítógépe van az internethez vagy egymáshoz csatlakoztatva. Gondoljon rá, mint egy víruskereső program, amelyet a számítógépén futtathat, hogy trójaiakat vagy rosszindulatú programokat találjon, a teljes hálózatát átvizsgálva, hogy eltávolítson bármi olyat ami megbéníthatja.
Ennek a blognak az a célja, hogy elegendő betekintést nyújtson a hálózatbiztonság kritikus szempontjait felölelő alapvető ellenőrzőlista elkészítéséhez. A hálózaton ellenőrizni kívánt összetevők alapján módosíthatja. Van már ellenőrzőlistája? Nagyszerű! Vessen egy pillantást erre – soha nem tudja, mi hiányzik.
Az ellenőrzőlista hatókörének meghatározása
Kezdje egyszerűen. Íme három egyszerű kérdés, amelyet fel kell tennie magának, mielőtt megkezdené az ellenőrzőlista tervezését:
- Hol vannak a hálózatban tárolt kritikus adatok?
- Mely felhasználók férhetnek hozzá az adatokhoz?
- Melyik konfigurációk, azaz a szerverkonfigurációk vagy a biztonsági házirendek határozzák meg közvetlenül az adatok biztonságát?
Minden belső vagy külső biztonsági támadás célja az üzleti bizalmas adatokhoz való hozzáférés. Minden hálózati téves konfiguráció, minden nem megfelelő engedély, amelyet egy felhasználónak adtak – ezek mind ugródeszkák a koronaékszerekhez: az adatokhoz.
Rájönni, hol vannak az adatok
Lehet, hogy már tudja, hol vannak tárolva az adatai, de mindenképpen bontsuk le azokat.
Az adatokat fájlszervereken, például Windows Serveren vagy Cluster-ben tárolhatja; adatbázisok, mint az SQL vagy az Oracle; a felhőben az Azure storage-fiókokon vagy az Amazon Web Services (AWS) S3 tárolókban; tagkiszolgálókon és munkaállomásokon a felhasználók; vagy más adattároló adathordozó, például NetApp, EMC vagy NAS.
Most, hogy ismeri az összes helyet, ahol adatait tárolhatja, vizsgáljuk meg, hogy a végfelhasználók hogyan férhetnek hozzá ezekhez az adatokhoz.
Kinek vannak a széf kulcsai?
Gondoljon az adataira, mint a széfben tárolt értéktárgyakra, és az engedélyekre, mint azok kulcsaira. A felhasználók az adatokhoz való hozzáférés leggyakoribb módja a rosszul konfigurált engedélyek. A fájlkiszolgálókon és más adattároló eszközökön kifejezetten kiosztott engedélyeken kívül a következő dolgok rosszul történhetnek:
- Hozzáférés beágyazott csoportengedélyeken keresztül: Olyan véletlenszerű felhasználó, aki hozzáférést kap egy mappához, észreveheti. Azonban egy névtelen felhasználót, aki egy mappához való hozzáféréssel biztonsági csoportba kerül, valószínűleg nem fog elkapni.
- Kitett felhasználói hitelesítő adatok: A távoli felhasználó VPN-hitelesítő adatait egy webhely megsértése teszi közzé. A támadó ezeket a hitelesítő adatokat használja a hálózatba való bejelentkezéshez, és most már jogosult felhasználóként férhet hozzá a fájlokhoz. Az ilyen támadási kísérletek észlelésének egyetlen módja az ismeretlen forrásokból származó gazember bejelentkezések és fájlhozzáférések figyelése.
- Szivárgott felhőadatok: Az Azure-al dolgozó fejlesztő véletlenül beágyazza a tárfiók kulcsait egy nyilvános GitHub-tárba feltöltött kriptfájlba. A jelszavak és kulcsok tárolása felhőalapú platformokon gyakoribb, mint gondolná, ezért ellenőrizze, hogy azok nincsenek-e még az adatok nyilvánosságra kerülése előtt. Előfordulhat, hogy a felhőben történő tárolásra felesleges széles körű engedélyek vonatkoznak. Például: Az AWS S3 tárolóban a „nyilvános hozzáférés blokkolása” paraméter le van tiltva.
- Helytelenül konfigurált csoportházirendek: A felhasználók vagy a biztonsági csoportok jogosultságot kapnak a fájlok és mappák tulajdonjogának átvételére. Ez alapvetően egy olyan kiváltság, amely megakadályozhatja a nem tényleges tulajdonos hozzáférését a mappához, ezért gondosan vegye figyelembe ezeket az engedélyeket.
- Helytelen szerepkörök vannak hozzárendelve a felhasználókhoz: A végfelhasználónak szerepet kap az SQL szerveren, ami új, jogosulatlan bejelentkezéshez vezet.
Rosszul kiosztott vagy nem engedélyezett hozzáférések. Amint egy támadó felfedez egy sérülékeny engedélyt egy felhasználói fiókban vagy egy kiszolgálón, oldalirányú mozgásokkal igyekszik az adatokat megszerzni.
Ennek megakadályozása érdekében figyelje a hálózat különböző erőforrásait, a felhasználói fiókokhoz rendelt vagy módosított engedélyekkel együtt 24/7-ben. Az engedély módosítása lehet eredeti, rosszindulatú, vagy folyamathiba miatti. Akárhogy is, az engedélymódosításokat rögzíteni és megvizsgálni kell.
A széf még zárva is van?
Bár a széf kulcsainak elvesztése biztonsági kockázatot jelent, a széfnek elég erősnek kell lennie ahhoz, hogy ellenálljon a külső erőnek. Ehhez képest ekkor döntő szerepet játszik a hálózathoz csatlakoztatott eszközök konfigurálása.
Egyszerű szavakkal: a felhasználók megfelelő szintű hozzáférése és a biztonságos hálózati konfiguráció együttesen alkotják a hálózat biztonságát. Nézzünk meg néhány példát:
Változások operációs rendszer szinten:
- Lehetséges, hogy a kulcsfontosságú Windows-szolgáltatások, a biztonsági mentési folyamatok, az eseménynaplózási folyamatok stb. Leálltak. Alternatív megoldásként új folyamatokat és szolgáltatásokat indítottak el
- A tűzfal szabályait vagy a rendszerleíró kulcsokat módosították; A Windows rendszereket egy régebbi verzióra állították vissza
- Új csomagokat telepítettek a Linux rendszerekre a SUDO vagy a Yum parancs futtatásával
- Konfigurációs változtatásokat hajtottak végre a rendszer biztonsági fájljain, például a Program fájlokon (x86)
A hálózathoz csatlakoztatott eszközök konfigurációs változásai:
- A hálózatán futó VPN-szolgáltatások konfigurációs változásai
- A tűzfal forgalom figyelése segíthet a behatolási kísérletek felderítésében
- Adatbázis-változások, például a táblák törlése, vagy parancsok vagy lekérdezések végrehajtása valamilyen meglévő adatbázis lekérdezéséhez
- A webkiszolgálókon, például a Microsoft Internet Information Services (IIS) vagy az Apache konfigurációs változásai
- Átkonfigurált virtuális gépek megváltozott eszköz IP-címmel vagy módosított adattárakkal és Clusterekkel
A fenti példák ötleteket adhatnak a hálózati beállításokhoz. Ezeknek a hálózati változásoknak a figyelése segíthet a potenciális biztonsági támadások észlelésében és megelőzésében, még mielőtt azok széleskörű károkat okoznának.
Az ilyen intenzív figyelés azonban félelmetesnek tűnhet, különösen, ha függ az operációs rendszer vagy az alkalmazás natív képességeitől. A legtöbb natív megfigyelő eszköz hasonló korlátokkal rendelkezik; lásd az alábbi képet.
Ha olyan eszközt szeretne, amely leküzdheti ezeket a korlátozásokat, és segít a biztonsági ellenőrzőlista kidolgozásában, tekintse meg az integrált biztonsági információs és eseménykezelési (SIEM) megoldást, a Log360-at. A Log360 segítségével egyetlen képernyőn vizsgálhatja meg a hálózathoz csatlakoztatott eszközök által létrehozott különféle biztonsági és konfigurációs naplókat. Részletes keresési lehetőségeket kínál bármely érzékeny, gyanús vagy rosszindulatú tevékenység azonnali megtalálásához. Azonnal értesíti a felhatalmazott személyzetet erről a tevékenységről, és segítséget nyújt a biztonsági események kezelésének enyhítésére.
Szeretné meggyőződni arról, hogy a fent tárgyalt biztonsági változások miként vezethetnek teljes körű biztonság megteremtéséhez? Látogasson el informatikai biztonságunk támadás alatt oldalunkra, hogy megtekinthesse az IT-környezetek, például az Active Directory (AD), az Azure és az AWS, valamint az operációs rendszerek, például a Windows és a Linux elleni támadások élő bemutatóit, és a Log360-mal teljes védelmi stratégiát építsen ki.
