Jak rozpoznać włamanie do sieci firmowej - zły sen admina

Dopasowanie do środowiska

Typ użytego systemu detekcji włamań powinien być dopasowany do rodzaju sieci, wielkości chronionych zasobów, rodzaju infrastruktury oraz możliwości ekonomicznych zabezpieczanej organizacji. W przypadku bardzo małych firm sensownym rozwiązaniem jest stosowanie systemów typu HIDS (Host-based IDS), czyli po prostu aplikacji ochronnych zainstalowanych na poszczególnych stacjach roboczych. W praktyce sprowadza się często do stosowania kompleksowych pakietów zabezpieczających zawierających w sobie moduł ochrony antywirusowej, zaporę sieciową dla każdego stanowiska oraz właśnie moduł IDS. Zwracamy uwagę, że pod pojęciem „stacja robocza” należy uwzględnić również smartfony, tablety i innego typu sprzęt mobilny, jeżeli jest on wykorzystywany do przetwarzania firmowych danych (choćby odbioru/wysyłki firmowej korespondencji).

Duże sieci korporacyjne często są chronione z wykorzystaniem dedykowanych sprzętowych komponentów sieciowych, takich jak np. fizyczne urządzenia pełniące rolę zaawansowanych zapór sieciowych zintegrowanych z modułem IDS typu NIDS (Network IDS). Zastosowanie sprzętu jest w przypadku dużych sieci o tyle uzasadnione, że ilość przetwarzanych danych wymaga wydzielonej mocy obliczeniowej. Odrębny sprzęt ochronny to również znacznie prostsze zarządzanie rozwiązaniami ochronnymi niż w przypadku elementów systemu zabezpieczeń „rozrzuconych” na poszczególne stacje robocze. Oczywiście rozwiązania sprzętowe to znacznie większa cena w stosunku do IDS-ów wyłącznie software’owych. W zależności od modelu, funkcjonalności i możliwości profesjonalny sprzętowy firewall z systemem IDS i dodatkowymi funkcjami ochronnymi może kosztować kilkadziesiąt tysięcy złotych, ale tego typu urządzenia stosowane są w sieciach, w których pracuje znaczna liczba urządzeń i stacji roboczych. Z drugiej strony korzystanie z sieciowego systemu detekcji/prewencji włamań nie zawsze musi oznaczać duży wydatek i konieczność zakupu sprzętu. Dowodem na to może być popularny opensource’owy projekt Snort, będący najpopularniejszym IDS-em o otwartym kodzie na świecie. Z innych rozwiązań można wymienić choćby Bro NIDS, Suricata, czy OSSEC HIDS.

Zobacz również:

  • Microsoft przejął sieć serwerów należących do chińskich hakerów
  • Premiera systemu Red Hat Enterprise Linux 8.5
  • Instancje serwerów skonfigurowanych w chmurach padają zbyt często ofiarą hakerów

Aktualizacja

Niezwykle ważną kwestią decydującą o skuteczności wszelkich rozwiązań służących poprawie bezpieczeństwa sieci jest aktualizacja zarówno oprogramowania (dotyczy to również wewnętrznego oprogramowania sprzętowego w przypadku fizycznych urządzeń ochronnych funkcjonujących w korporacyjnej sieci), jak i sygnatur umożliwiających wykrywanie różnego typu ataków. Nieaktualizowany element struktury zabezpieczeń to element nieskuteczny, a fałszywe poczucie bezpieczeństwa jest gorsze od świadomości potencjalnych luk w zarządzanym systemie sieciowym. Należy również pamiętać o aktualizacji oprogramowania użytkowego. Luki w aplikacjach użytkowych korzystających z sieci mogą być wykorzystane przez agresorów do infiltracji zasobów sieci firmowej.

Analiza logów i zarządzanie raportami

W wykryciu wszelkich nieprawidłowości w funkcjonowaniu sieci firmowej mogą bardzo pomóc raporty tworzone automatycznie praktycznie przez każdy element infrastruktury sieciowej począwszy od oprogramowania serwerowego, poprzez systemy operacyjne na stacjach roboczych, kończąc na elementach odpowiedzialnych za bezpieczeństwo. Jednym z częściej popełnianych błędów przez niedoświadczonych administratorów jest nieprawidłowo skonfigurowane raportowanie. Sam fakt generowania logów przez sprzęt i oprogramowanie odpowiedzialne za funkcje sieciowe nie wystarcza do ewentualnego wykrycia włamania. Efektywne wykorzystanie tych danych pozwoli natomiast na automatyczne powiadamianie osób odpowiedzialnych w razie wystąpienia jakichkolwiek odstępstw od normy. Np. włączenie się stacji roboczej poza godzinami pracy biura, przekroczenie liczby prób logowania na konkretnym komputerze, zwiększony przesył danych z określonych jednostek, próba nieautoryzowanego dostępu do jakiegokolwiek chronionego zasobu, to wszystko są przykłady zdarzeń automatycznie monitorowanych i rejestrowanych przez infrastrukturę informatyczną, warto z tych danych skorzystać, a administrator będzie mógł spać spokojnie.


TOP 200