Jak rozpoznać włamanie do sieci firmowej - zły sen admina

Szpiegostwo przemysłowe, złośliwy pracownik, sieciowy wandal, ukierunkowany atak na konkretny cel, blokada serwera atakiem DDoS – to tylko niektóre z zagrożeń spędzających sen z powiek administratorów sieci firmowych. Jak rozpoznać, że nastąpiło naruszenie integralności sieci korporacyjnej i jak reagować po wykryciu zagrożenia?

Stwierdzenie, że rynek IT i technologie związane z przetwarzaniem danych rozwijają się dynamicznie tchnie w pewnym sensie banałem, w końcu „każdy to wie”. Rozwój technologii informatycznych obserwujemy przecież niemal w każdej dziedzinie naszego życia. Jednak sama wiedza o rozwoju to za mało, by skutecznie przeciwstawić się wynikającej z tego lawinie potencjalnych niebezpieczeństw grożących wszelkiego typu sieciom firmowym.

Sieć, czyli co?

Sieć firmowa jeszcze nie tak dawno stanowiła pojęcie odnoszące się do wydzielonej, zamkniętej struktury informatycznej, z jasno określonymi i na ogół niezbyt licznymi punktami połączeń ze światem zewnętrznym zarówno w sensie fizycznym jak i logicznym. Dziś pod tym samym pojęciem należy rozumieć zupełnie odmienny twór. O ile sama logika sieci firmowych nie uległa być może znaczącym zmianom, wciąż najpopularniejszą strukturą sieci korporacyjnych są rozwiązania typu klient-serwer ze ściśle sprecyzowanym podziałem kompetencji i ról zarówno w odniesieniu do maszyn jak i użytkowników, to jednak fizyczna strona infrastruktury sieciowej uległa znacznym przeobrażeniom. Olbrzymia popularność urządzeń mobilnych i wynikające z ich stosowania zróżnicowanie interfejsów komunikacyjnych wykorzystywanych w sieci stwarza duże wyzwanie dla komórek odpowiedzialnych za bezpieczeństwo danych przetwarzanych w korporacyjnym środowisku. Chcąc uzyskać przybliżony obraz rodzaju zagrożeń, skali ich oddziaływania oraz celów przeprowadzanych ataków warto sięgnąć do raportów publikowanych przez firmy z branży bezpieczeństwa danych i organizacje specjalizujące się w ochronie informacji, informacje pochodzące z jednego z takich raportów publikujemy w ramce.

Zobacz również:

Rozpoznać zagrożenie

Nie sposób mówić o rozpoznaniu symptomów ataku na sieć korporacyjną w oderwaniu od analizy potencjalnych źródeł ataku i rodzaju zagrożenia. W ramce „Popularne typy ataków sieciowych” przedstawiamy charakterystyczne cechy określonych typów zagrożeń. Z racji objętościowych ograniczeń artykułu nie będziemy tu opisywać wszelkich możliwych typów ataków sieciowych, tego typu zagadnienie jest szeroko opisane w literaturze dotyczącej poruszanych zagadnień. Skupimy się przede wszystkim na najpopularniejszych zagrożeniach i konkretnych przykładach z wyjaśnieniem, w jaki sposób reagować w danych przypadkach.

Atak z zewnątrz

Jakich ataków z zewnątrz może się spodziewać administrator sieci firmowych i jak rozpoznawać ich oznaki? Zagrożenia z tej grupy stanowią bardzo szeroką grupę zagrożeń, wspólną ich cechą jest to, że atak inicjowany jest poza siecią stanowiącą jego cel. Przede wszystkim należałoby tu rozróżnić ataki pasywne od aktywnych. Te pierwsze to przede wszystkim nieautoryzowany monitoring sieci firmowej. W przypadku infrastruktury przewodowej z zewnątrz jest trudny do zrealizowania, ale sytuacja zmienia się, gdy firma korzysta z interfejsów bezprzewodowych (a tak jest w przypadku, gdy urządzeniami wykorzystywanymi w firmowej sieci jest sprzęt mobilny).

Z kolei przykładem ataku aktywnego jest próba infiltracji sieci za pomocą złośliwego oprogramowania. Oczywiście, aby taki atak okazał się skuteczny malware musi trafić do atakowanego środowiska. Ze względu na fakt, że niestandardowe porty i protokoły są obecnie zazwyczaj blokowane przy standardowych konfiguracjach zapór sieciowych, cyberprzestępcy wykorzystują do propagacji złośliwego kodu nieblokowane kanały komunikacji, jak np. pocztę elektroniczną rozsyłając korespondencję zawierającą link prowadzący do złośliwego kodu.


TOP 200