2019/12/10 13:48:56

На какие ошибки сетевой безопасности в компаниях нужно обратить внимание и как их можно исправить?
TADетали

Как показывает практика компании Positive Technologies, ошибки сетевой безопасности встречаются в 90% организаций. Перечислим наиболее популярные промахи и способы их исправления.

Автор статьи: Алексей Леднев, старший специалист экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Содержание

Ошибки сетевой безопасности встречаются у большинства компаний

Семь распространенных проблем сетевой безопасности

Передача учетных данных в открытом виде

Многие компании до сих пор используют сетевые протоколы (HTTP, почтовые протоколы с отсутствием шифрования, LDAP и Telnet), в которых в открытом виде передаются учетные данные пользователей. Хранение важной информации в открытом виде на сетевых ресурсах специалисты Positive Technologies встречали в 44% организаций, информационные системы которых ими были проанализированы в 2018 году. Проникнув в сеть, злоумышленник может перехватить важные учетные записи (например, бухгалтерии) или повысить свои привилегии для продолжения атаки.

Используя средства класса NTA (в частности, PT Network Attack Discovery (PT NAD)), можно проверить, передаются ли по сети учетные данные в открытом виде.

Виджет в PT Network Attack Discovery с учетными записями в открытом виде

Устранить передачу учетных данных в открытом виде можно несколькими способами: в веб-серверах перейти с HTTP на HTTPS, в протоколе LDAP настроить клиенты на использование аутентификации через Kerberos или защищенной версии протокола LDAPS, в почтовых клиентах и серверах включить TLS. Также надо отказаться от протокола Telnet в пользу SSH и применять защищенные версии FTPSFTP или FTPS.

Отправка нешифрованных почтовых сообщений

Следующая типичная ошибка — использование открытых почтовых протоколов на пути от сервера организации к внешнему почтовому серверу. Письма, циркулирующие в защищенном виде внутри сети, оказываются в интернете в открытом виде, и их может прочитать злоумышленник, имея доступ к внешнему сетевому трафику (например, через интернет-провайдера).

Для поиска незащищенной исходящей почты, которая передается во внешнюю сеть, можно воспользоваться в решении PT NAD фильтрами по протоколу SMTP, адресу источника и получателя. Для того, чтобы исключить зашифрованные соединения, необходимо добавить фильтр по команде STARTTLS. В результате могут быть обнаружены письма, переданные в открытом виде. Российский рынок ERP-систем сократился, но приготовился к росту. Обзор и рейтинг TAdviser 250 т

Возможные варианты устранения ошибки: настроить сервер на принудительное использование TLS, применять S/MIME и PGP.

Использование утилит для удаленного доступа

Сотрудники часто применяют утилиты для удаленного доступа (remote access tools, RAT), например, TeamViewer, Ammyy Admin, RMS. Если это разрешено внутренними политиками ИБ, то в случае, когда злоумышленник воспользуется этими же инструментами, отличить нелегитимное их использование от легитимного будет сложно.

Обнаружить подключения через TeamViewer также можно с помощью PT NAD. Для этого необходимо воспользоваться фильтром по одноименному протоколу, который позволит выявить такие сетевые сессии. Еще один механизм выявления случаев использования RAT — предустановленные правила.

Если в организации запрещено использование утилит удаленного управления, то в случае обнаружения подобных подключений специалисту по ИБ стоит провести расследование, чтобы установить источник активности.

Рекомендации по устранению нарушения: контролировать использование утилит удаленного управления, разграничить права локальных пользователей на рабочих станциях, ввести политику белых списков для ПО.

Применение широковещательных протоколов LLMNR и NetBIOS

Еще одна проблема настроек сетей организаций — использование подверженных спуфингу протоколов LLMNR и NetBIOS. Данные протоколы позволяют за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS-сервера. Эти протоколы также автоматически используются при недоступности DNS. В случае проникновения злоумышленника во внутреннюю сеть компании, он сможет провести атаку типа «человек посередине» (англ. man in the middle, MITM). Злоумышленник может ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный злоумышленнику сервер. Проведение данной атаки позволит перехватить аутентификационные данные.

Чтобы выявить использование данных протоколов необходимо в PT NAD воспользоваться виджетом «Прикладные протоколы». С его помощью можно обнаружить использование LLMNR и NBNS. Добавив их к фильтру, можно найти всех клиентов, которые отправляли по ним запросы.

Как устранить подобную ошибку? Это можно сделать за счет отключения LLMNR и NetBIOS. Однако если в инфраструктуре имеются узлы под управлением Windows XP или Windows 2000, то отключение NetBIOS может сказаться на их работоспособности.

Неверное конфигурирование сетей

Перечислим наиболее частые ошибки, связанные с неверным конфигурированием работы сети:

1. Излишне доверительные отношения между подсетями. Сюда относятся проблемы разграничения доступа между подсетями, при которых становится возможен несанкционированный сетевой доступ между внутренними подсетями организации. В результате злоумышленник при компрометации небольшой части сети может беспрепятственно взять под контроль ключевые узлы всей сети.

2. Доступ узлов инфраструктуры ко внешним DNS-серверам. При использовании внутренней системы доменных имен DNS-запросы должны обрабатываться только на собственных DNS-серверах организации. Если DNS на клиентах сконфигурирован неверно, то в случае запроса к публичному DNS-серверу существует риск утечки внутренних доменных имен, а также обход фильтрации известных адресов командных серверов вредоносного ПО.

3. Без необходимости открытые для внешней сети сетевые порты и сервисы (например, базы данных). В этом случае у злоумышленника появляются большие возможности для проведения атаки. Так, например, из-за хранения сведений в незащищенной базе данных, в сеть утекли данные пациентов скорой помощи из Подмосковья[1].

Чтобы выявить такие ошибки, нужно воспользоваться вкладкой PT NAD «Сетевые связи» и попробовать найти соединения из подсети DMZ (сегмент сети, содержащий общедоступные сервисы) в пользовательскую подсеть. Для этого необходимо настроить фильтр по подсетям. В результате можно обнаружить нежелательную сетевую связь и сканирование утилитой nmap, что служит индикатором проводившейся сетевой разведки.

В ходе проведения одной из таких проверок специалисты Positive Technologies также увидели активное использование служебных протоколов, попытку эксплуатации уязвимости EternalBlue, ставшей причиной нашумевшей эпидемии WannaCry, и DNS-запросы к серверам Google, исходящие от сегмента пользователей.

Устранить ошибки можно следующим образом: настроить access control list (ACL) на сетевом оборудовании для корректного разграничения прав доступа между подсетями, сконфигурировать межсетевой экраны (они должны работать не только на границе с внешней сетью, но и между внутренними подсетями организации), а также запретить изменения сетевых настроек пользователей.

Неконтролируемое применение инструментов сокрытия трафика

Инструментами сокрытия трафика могут быть VPN, Tor, шифрующие proxy и другие зашифрованные туннели. Их неконтролируемое использование может привести к потере контроля за контентом, передаваемым в туннелированном трафике. А в случае компрометации домашнего компьютера сотрудника злоумышленник может получить зашифрованный туннель во внутреннюю сеть организации.

В выявлении использования этих средств с помощью PT NAD также помогут фильтры: по репутационному списку tor-relays, который содержит актуальные адреса узлов сети Tor, и фильтром по протоколу TLS, так как Tor маскируется под него. Использованный в подозрительной сессии TLS-сертификат автоматически сгенерирован, что является индикатором соединения сети Tor.

Для обнаружения VPN и других туннелей можно воспользоваться фильтром по ключевому слову PPTP (Point-to-Point Protocol), а для обнаружения SOCKS5-трафика — уже знакомым фильтром по протоколу. Так, например, можно найти VPN-сессию с внешним хостом и множество подключений по SOCKS5.

Методы решения данной проблемы были уже рассмотрены ранее. Справиться поможет:

1. разграничение прав локальных пользователей,

2. политика белых списков для ПО,

3. настройка сетевого экрана,

4. закрытие сетевых портов.

Нецелевое использование систем

Нецелевое использование систем увеличивает нагрузку на вычислительные системы и каналы передачи информации, а также влечет за собой риск установки вредоносного ПО.

Выявить майнеры пользователям PT NAD поможет репутационный список miners, в который попадают адреса известных майнинг-пулов, а также узлов блокчейна различных криптовалют. В результате можно увидеть большое количество DNS-запросов, что свидетельствует о работе криптомайнера. Еще одним индикатором его работы могут служить сработавшие правила.

С BitTorrent и онлайн-играми все еще проще — для поиска торрент-трафика нужно воспользоваться фильтром по протоколу BitTorrent, а для онлайн-игр — по серверам популярных онлайн-игр. Это помогает вычислить сотрудников, использующих свое рабочее время не так, как хотелось бы работодателю.

Средства противодействия почти те же, что и в пунктах выше:

1. разграничение прав локальных пользователей,

2. политика белых списков для ПО,

3. обновление антивируса и его базы.

Вывод

Подводя итог, можно назвать три главные рекомендации, позволяющие избежать ошибок сетевой безопасности:

1. минимизировать использование открытых протоколов,

2. контролировать разграничение сетевого доступа,

3. разграничивать права пользователей.

Также следует напомнить, что на рынке уже есть инструменты, позволяющие отслеживать сетевую активность внутри организации, обнаруживать ошибки настроек и деятельность злоумышленников.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT