Сетевая инфраструктура является основой функционирования предприятий в большинстве отраслей. Ее можно считать нервным центром всей ИТ-организации, поскольку она централизует данные, упрощает обмен ими и облегчает коммуникацию между сотрудниками.
Поэтому она является важнейшим инструментом для бесперебойной работы компаний, который требует постоянного внимания с точки зрения безопасности. Это необходимо для защиты от растущего числа и изощренности внешних и внутренних атак.
Сетевая инфраструктура — конечная цель кибератак
Единственная проблема заключается в том, что частота, масштабы и последствия кибератак на сетевую инфраструктуру продолжают расти. Внешние и внутренние серверы, сетевые устройства и оборудование, рабочие станции и т. д. становятся мишенью для начинающих и опытных злоумышленников, потому что все эти объекты по-прежнему имеют слишком много уязвимостей: большая площадь атаки, недостаточная осведомленность сотрудников, недостатки безопасности, плохое проектирование, конфигурация и внедрение, рудиментарные меры безопасности и т. д. Ни один сектор не остается в стороне.
Инциденты безопасности не обходят стороной ни один сектор, даже если у злоумышленников есть свои излюбленные цели. Это особенно характерно для здравоохранения, финансового сектора и розничной торговли, независимо от размера организаций, работающих в этих сферах.
Чтобы гарантировать безопасность сетевой инфраструктуры от этих атак, необходимы конкретные меры безопасности: уменьшение поверхности атаки, сегментация сети, шифрование коммуникаций, осведомленность пользователей об атаках социальной инженерии, принцип наименьших привилегий, мониторинг журналов и т.д. Аудит безопасности или тесты на проникновение также являются хорошим способом выявления существующих недостатков в вашей компьютерной сети и их устранения.
В этой статье мы сосредоточимся на общих уязвимостях (технических и организационных), наиболее часто используемых во время внутренних и внешних атак на сетевую инфраструктуру. Мы также подробно расскажем о лучших практиках и мерах, которые следует применять для снижения риска или противодействия этим атакам.
Управление поверхностью атаки и степенью риска
Все кибер-атаки обычно начинаются с этапа разведки для определения поверхности атаки целевой организации. Другими словами, злоумышленникам необходимо собрать как можно больше информации об информационной системе, прежде чем начинать атаки на потенциально уязвимые объекты.
Поверхность атаки — это совокупность элементов, открытых внутри или вне вашей сети, которые могут быть атакованы: серверы (внутренние и внешние), приложения, API, технологии, версии, компоненты, технические или персональные данные и т. д.
Все эти элементы потенциально представляют собой уязвимости, которые неавторизованное лицо может использовать для проникновения в вашу информационную систему после сканирования портов или тщательного поиска в Google или Dark Web.
Сокращение поверхности атак
Сокращение поверхности атаки является основополагающим принципом кибербезопасности для защиты от внутренних и внешних атак. Для этого необходимо предпринять два действия: с одной стороны, необходимо знать поверхность атаки и составить ее полную карту, которая должна постоянно обновляться, поскольку архитектура системы постоянно меняется. С другой стороны, необходимо реализовать меры по защите систем и сетей, чтобы уменьшить поверхность атаки.
Составление карты поверхности атаки означает ведение актуального списка всех ваших активов, их версий, реализаций и взаимосвязей во всей вашей информационной системе. Это действие не является очень сложным для выполнения. Такие инструменты, как shodan или censys, облегчают этот процесс. Только для элементов, которые не указаны в списке или неизвестны, таких как инструменты, используемые вашими сотрудниками, возможные утечки конфиденциальных документов или паролей и т. д., может быть целесообразно обратиться к специализированной третьей стороне для проведения разведывательного аудита, чтобы составить исчерпывающую карту вашей поверхности атаки с целью ее сокращения.
Чтобы уменьшить поверхность атаки после ее выявления, действия по укреплению ваших систем и сетей могут быть следующими (неисчерпывающий список):
- Изменение паролей по умолчанию всех ваших служб и устройств, подключенных к сети.
- Деинсталляция или удаление неиспользуемых приложений, служб и сред
- Технический и технологический мониторинг новых версий и уязвимостей, обнаруженных в используемых сторонних компонентах или сервисах.
- Реализация принципа наименьших привилегий при управлении правами доступа к серверам, приложениям, базам данных и т. д.
- Сегментация сети путем разделения критически важных систем и приложений.
- Внедрение системы многофакторной аутентификации на критически важных приложениях и системах.