Niedawny wyciek danych T-Mobile, za którym podobno stali hakerzy, którzy uzyskali dostęp do niezabezpieczonego routera, a stamtąd do sieci, mógł zostać uniemożliwiony dzięki zastosowaniu automatyzacji sieci.

IDS, IPS, SASE i inne nowoczesne technologie cieszą się dużo większą uwagą, ale automatyzacja jest kluczowa dla nowoczesnego bezpieczeństwa sieciowego. Podpowiadamy, w jaki sposób automatyzacja powinna być wykorzystywana w celu zwiększenia bezpieczeństwa sieci.

Zobacz również:

• Amazon do pracowników: roboty was nie zastąpią
• Dlaczego warto korzystać z VPN w 2024 roku?

Solidne praktyki w zakresie bezpieczeństwa urządzeń sieciowych

Skuteczne operacje sieciowe zależą od 3 kluczowych czynników: ludzi, procesów i technologii. Potrzeba właściwych ludzi z odpowiednimi umiejętnościami i zdolnością do efektywnej pracy, dobrych procedur i procesów oraz odpowiedniej technologii. Taką technologią jest automatyzacja, która pozwala na budowanie powtarzalnych procesów walidacji i egzekwowania zasad sieciowych.

Automatyzacja procesów wykrywania urządzeń i walidacji konfiguracji pozwala na egzekwowanie bezpieczeństwa sieci poprzez upewnienie się, że urządzenia i konfiguracje nie pozostawiają przypadkowo otwartych luk w zabezpieczeniach. Innymi słowy, celem automatyzacji jest zagwarantowanie, że polityki sieciowe są konsekwentnie stosowane w całej sieci. Zapomniany i niezabezpieczony router może być furtką do ataku.

Po wykryciu każdego urządzenia w sieci, system automatyzacji pobiera jego konfigurację i sprawdza ją z regułami konfiguracyjnymi, które wdrażają polityki sieciowe. Zasady te obejmują zarówno proste rzeczy, które nie są związane z bezpieczeństwem (takie jak standardy nazewnictwa urządzeń), jak i podstawowe zasady bezpieczeństwa, takie jak kontrola uwierzytelniania i listy kontroli dostępu. System automatyzacji pomaga wdrażać i utrzymywać konfiguracje odzwierciedlające te procedury (w konfiguracjach urządzeń nie ma jednak minimalizowania różnic w projektowaniu sieci). Na przykład, wdrożenie sieci oddziałów będzie określone przez pojedynczy projekt sieci, który zawiera szczegóły, takie jak sprzęt, systemy operacyjne i interfejsy są używane dla każdego łącza sieciowego. Takie podejście znacznie upraszcza ich automatyzację, ułatwiając egzekwowanie dobrego bezpieczeństwa sieci.

Jak zautomatyzować sieć?

Przed przystąpieniem do automacji należy koniecznie zidentyfikować każde urządzenie we własnej sieci. Chociaż zespół ds. bezpieczeństwa może nie chcieć skanowania sieci ze względu na generowany przez nie ruch alarmowy, to naprawdę jedyny sposób na zidentyfikowanie wszystkiego nawet w najgłębszych zakamarkach sieci.

Systemy skanujące powinny sprawdzać, czy dane uwierzytelniające są łatwe do odgadnięcia i domyślne. Do skanowania sieci można użyć metody brute-force ping sweeps, ale lepszym podejściem jest wykorzystanie tablic sąsiedztwa, tworzonych przez wiele protokołów. Tablice sąsiedztwa routingu są używane do znajdowania innych podsieci, podczas gdy tablice ARP i tablice adresów MAC przełączników informują o sąsiadach łącza danych warstwy 2. Automatyzacja tego mapowania sieci jest możliwa z użyciem narzędzi open-source, takich jak Nmap (nmap.org) lub wielu komercyjnych. Można rozpocząć inne fazy automatyzacji już w trakcie odkrywania sieci, podczas trwającego procesu identyfikacji urządzeń.

System zarządzania zmianami i konfiguracją sieci (NCCM) może wykorzystać inwentaryzację sieci do zautomatyzowania tworzenia kopii zapasowych konfiguracji urządzeń sieciowych w centralnym repozytorium. System NCCM powinien zawierać zautomatyzowane mechanizmy sprawdzające zmiany konfiguracji, zwane czasem dryfem konfiguracji.

Następnie dla każdego typu urządzenia należy stworzyć złote konfiguracje, które zapewnią egzekwowanie polityk sieciowych. Potrzebny będzie zautomatyzowany system audytu konfiguracji, aby zidentyfikować konfiguracje, które nie pasują do zdefiniowanych procedur.

Oczywiście, trzeba będzie naprawić konfiguracje niezgodne ze zdefiniowanymi zasadami, i to jest miejsce, w którym dobrze rozważyć użycie zaawansowanych technologii. Poszukaj produktów, które potrafią inteligentnie usuwać, jak również dodawać nowe elementy konfiguracji. Na przykład, zmiana listy kontroli dostępu w niektórych produktach wymaga wykonania określonego zestawu kroków, aby osiągnąć pożądany rezultat. Należy również szukać produktów, które nie ograniczają się tylko do zarządzania całą konfiguracją, leczy wybranymi przez administratora sekcjami konfiguracji. To bardzo ważna funkcjonalność.

Wraz z postępem automatyzacji nadchodzi moment wyeliminowania manualnych zmian konfiguracji i scedowania wszystkiego na automat. Znacząco poprawia to bezpieczeństwo infrastruktury sieciowej.

Walidacja sieci

Skąd wiedzieć, że wdrożenie automatyzacji sieci zakończyło się sukcesem i że nowa zautomatyzowana sieć jest tak bezpieczna, jak tego potrzebujemy? Pora na przeprowadzenie testów walidacyjnych. Przeprowadzamy je poprze przeskanowanie naszej sieci za pomocą narzędzi z internetu w poszukiwaniu luk w zabezpieczeniach sieci i systemów IT. Można to nazwać „automatyzacją zlecaną na zewnątrz”.

W obrębie sieci należy używać automatyzacji do sprawdzania poprawności stanu sieci. Różni się to od audytów konfiguracji, które sprawdzają jedynie, czy wdrożone konfiguracje są tym, co chcieliśmy wdrożyć, np. czy zestaw sąsiednich BGP jest poprawny i czy są w stanie, w jakim powinny być? Czy główny przełącznik drzewa spinającego został poprawnie umieszczony w topologii? Czy protokół czasu sieciowego działa poprawnie z właściwym zestawem urządzeń? Czy systemy wewnętrzne mogą dotrzeć do internetu, gdy powinny być odizolowane, co jest rodzajem testu inside-out?

Warto rozważyć okresowe przeprowadzanie oceny stanu sieci.

Ile kosztuje automatyzacja sieci?

Koszt systemów automatyzacji sieci zależy od wielu czynników, takich jak wielkość sieci, jej złożoność, umiejętności personelu i wdrażanych produktów. Trudno jest przedstawiać menedżerom biznesowym zakup produktów i subskrypcji wartych setki tysięcy dolarów rocznie, ale na drugiej szali znajduje się borykanie się ze skutkami naruszenia. Przydatne może okazać się mówienie o kosztach w przeliczeniu na ekwiwalenty pełnego czasu pracy i wskazywanie na oszczędności wynikające z braku konieczności zajmowania się ransomware lub kradzieżą danych. Można również zauważyć, że automatyzacja sprawia, że operacje biznesowe są bardziej stabilne poprzez zmniejszenie liczby przestojów i bardziej zwinne dzięki możliwości dostosowania do zmieniających się środowisk biznesowych.

Innym potencjalnie użytecznym podejściem jest omówienie automatyzacji w kontekście zarządzania ryzykiem biznesowym. Często nie trzeba wiele wysiłku, aby użyć zewnętrznego skanera bezpieczeństwa do identyfikacji luk w zabezpieczeniach lub narzędzia do wykrywania sieci w celu znalezienia niezarządzanych urządzeń, które stanowią zagrożenie dla firmy. Automatyzacja może łatwo przełożyć się na przewagę konkurencyjną, która jest warta dużej inwestycji.

Żródło How and why automation can improve network device security

Tłumaczenie: Anna Ładan