Poprzednio, idąc za radą zajmującego się profesjonalnie bezpieczeństwem Rogera Grimesa, namawialiśmy do zmiany nazw wbudowanych kont, ograniczenia liczby uprzywilejowanych kont, zainteresowania się honeypotami, uruchamiania usług na innych portach niż domyślne oraz instalowanie systemów i aplikacji w niestandardowych lokalizacjach. Czas na kolejne pięć technik, często uznawanych za lekko szalone, ale, jak przekonuje ekspert, skutecznych.

Tarpit czyli celowo opóźniamy odpowiedzi na niechciane pytania

Pierwsze rozwiązanie typu tarpit, z jakim zetknął się nasz ekspert jest LaBrea Tarpit. Program powstał w czasie epidemii atakującego serwery IIS robaka Code Red (2001). Robal błyskawicznie replikował się między wszystkimi systemami podatnymi na atak. LaBrea odpowiadał na próby nawiązania połączenia nieprzypisane do żadnych komputerów. Przyjmował więc połączenia, a następnie maksymalnie opóźniał transmisję stosując wiele sztuczek TCP, takich jak długie opóźnienia (timeout), liczne retransmisje itp.

Zobacz również:

• Bezpieczeństwo w chmurze publicznej nadal priorytetowe

Polecamy Jeden prosty krok do lepszego bezpieczeństwa sieci

Obecnie wiele sieci (i honeypotów) ma funkcjonalność tarpitów, które odpowiadają na każdą nieautoryzowaną próbę połączenia. Gdy spróbujemy przeprowadzić testy penetracyjne w takiej sieci, okaże się, że "grzęzną", proste skanowanie portów ciągnie się w nieskończoność. Taki właśnie jest cel stosowania tarpitów. Mają jednak też i wadę - mogą pojawić się problemy z dostępem do usług sieci, jeśli zbyt wcześnie zaczną za nie odpowiadać tarpity. Aby stosowanie tarpitów przynosiło korzyści i nie zamieniło się we własnoręcznie przygotowany atak DoS, należy je bardzo starannie dostroić.

Analiza ruchu w sieci

Jedną z dobrych metod zorientowania się czy nie mamy w sieci nieproszonych gości jest analiza ruchu. Jest wiele bezpłatnych i komercyjnych narzędzi pozwalających na monitorowanie ruchu sieci, ustalanie standardowego jego poziomu i powiadamianie o anomaliach. Dzięki nim, jeśli nagle gigabajty danych zaczną nieoczekiwanie wędrować na zewnątrz, będziemy o tym wiedzieć. Większość ataków typu APT można namierzyć w dość wczesnym stadium (nawet miesiące o wcześniej), jeśli administrator orientuje się jakie wartości transferu danych w danym kierunku są typowe dla zarządzanej przez niego sieci, a jakie są anomalią i mogą oznaczać działania intruzów.

Polecamy Narzędzia do zarządzania i monitorowania sieci komputerowych

Wygaszacze ekranu

Chronione hasłem wygaszacze ekranu to bardzo prosta i skuteczna metoda minimalizowania ryzyka bezpieczeństwa. Blokada dostępu do konsoli po długim czasie nieaktywności powinno być standardem. Spotyka się to czasem z oporem użytkowników, którzy twierdzą, że to tylko spowalnia i utrudnia im pracę, wydaje się jednak, że kluczem do sukcesu jest to by czas, po którym dostęp jest blokowany, był rozsądnie dobrany. Pamiętajmy, że w obecnych czasach dostęp do danych zapewniają nie tylko komputery, ale też wszelkiej maści urządzenia mobilne - i one powinny być blokowane hasłem, po pewnym czasie nieaktywności użytkownika. Powinno to być jednym z warunków podłączenia własnych urządzeń (BYOD) do firmowej sieci (ustalanym w politykach narzędzia MDM czy np. serwera Exchange).Tym bardziej, że są smartfony czy tablety podatniejsze na kradzież czy zgubienie niż komputery.