Poznaj 15 najważniejszych produktów do ochrony Twojej sieci – Twoich serwerów, komputerów i urządzeń użytkowników końcowych.
wstęp
Poznaj 15 najważniejszych produktów do ochrony Twojej sieci – Twoich serwerów, komputerów i urządzeń użytkowników końcowych.
Piotr Ksieniewicz oraz Piotr Szafran opowiadają o portfolio narzędzi do zarządzania cybersecurity.
Z tego odcinka dowiesz się czego możesz oczekiwać po szkoleniu, jakie tematy będziemy (a jakich nie będziemy) poruszać i co ono może Ci ono dać w praktyce.
Zapraszamy!
Wstęp – Portfolio produktów security
odcinek 1 – Brzeg sieci: NGW
odcinek 2 – Antywirus, antimalware, EDR, sandbox
odcinek 3 – Ochrona dedykowana konkretnej aplikacji
odcinek 4 – Zarządzanie dostępem do sieci LAN
odcinek 5 – Bezpieczeństwo WLAN
odcinek 6 – Bezpieczeństwo DNS
odcinek 7 – Ochrona urządzeń mobilnych
odcinek 8 – Ochrona końcówek
odcinek 9 – Ochrona przed denial of service
odcinek 10 – Szyfrowanie
odcinek 11 – Ochrona chmury i data center
odcinek 12 – Systemy uwierzytelniające MFA
odcinek 13 – Audyt / Narzędzia audytujące,Cyklicznie sprawdzaj swoje cyberbezpieczeństwo – dlaczego warto?
odcinek 1
Brzeg sieci: NGFW
Piotr Szafran opowie o brzegu sieci, Firewall i Next Generation Firewall oraz o UTMach. Czym jest brzeg sieci i dlaczego dotyczy to każdej firmy?
Dzięki nagraniu dowiesz się co oznaczają te nazwy, jak działają zarówno firewalle, jak i UTMy oraz dowiesz się jak to kiedyś wyglądało i jak ewoluowało i jak wygląda obecnie. Zależy Ci na bezpiecznym ruchu w Twojej sieci firmowej? Chcesz wiedzieć co robią i co pobierają z sieci Twoi pracownicy? W takim razie to nagranie jest ważne dla Ciebie, dowiesz się dlaczego warto rozszywać SSL, jak zabezpieczyć się przed malware i dlaczego warto inwestować w firewalle nowej generacji.
Witam serdecznie, Piotr Szafran.
W dzisiejszym odcinku opowiemy o brzegu sieci, Next Generation Firewallach czy UTM-ach: co to jest, jak ewoluowało i jak wygląda obecnie rynek.
Firewall – taka dość podstawowa sprawa. Coś, co występowało w sieciach od bardzo, bardzo wielu lat. Kiedyś był to po prostu prosty mechanizm filtrowania, jakaś forma packet filtra, który miał najprostszy mechanizm filtrowania, czyli patrzył na dany pakiet.
Przychodził jakiś pakiet do naszej sieci i ten firewall zastanawiał się, czy ten pakiet jest dobry czy zły, podejmował decyzję, patrząc na ten pakiet, na każdy pakiet z osobna, czy on wygląda poprawnie.
Oczywiście kolejnym krokiem było przejście do stateful firewalli, bardzo duża zmiana, dlatego bo kiedyś, jak patrzyliśmy tylko na jeden pakiet, tak naprawdę te firewalle nie rozumiały tego, co się dzieje w tej sesji. A stateful firewall właśnie pilnuje wszystkie sesje, tylko są to sesje TCP, UDP, ewentualnie sesje jakichś podstawowych protokołów i patrzy, jak te sesje się zachowują, jakie pakiety teraz przyszły, jakie były i może stwierdzić na tej podstawie, czy ten pakiet jest poprawny czy on powinien się teraz pojawić, bo może akurat taki pakiet TCP z takimi flagami czy jakimś stanie jest po prostu jakimś atakiem. Więc to są podstawowe stateful firewalle.
No i potem przechodzimy do ery UTM-u / Next Generation Firewalli – dwa trochę zamienne sformułowania. Wiele osób ich używa zamiennie. Branża się często spiera, co jest czym. Natomiast możemy generalnie powiedzieć, że UTM-y to są urządzenia, które… Takie wszystko zintegrowane, takie all in one box. Czyli mamy tam firewalla, IPS-a, url-filtering, antispam i wiele innych rzeczy, ale one wszystkie
działają w niezależnych procesach. I ten pakiet, każdy proces po kolei sprawdza ten pakiet, jeżeli on przychodzi do naszej sieci, czy on jest poprawny czy nie.
Natomiast w Next Generation Firewallach wszystkie te ich mechanizmy mamy takie same, ale mówi się, że tutaj pakiet jest równolegle analizowany przez przez wszystkie te procesy, jest wyższa wydajność, czyli takie bardziej wydajne platformy.
Ale generalnie można powiedzieć, że UTM-y i Next Generation Firewalle to troszeczkę to samo. No właśnie, główne cechy funkcjonalności Next Generation Firewalla, które będziemy potrzebować, to oczywiście pełną widoczność do warstwy siódmej modelu OSI ISO. Tak to ładnie brzmi. A tak naprawdę o co chodzi? Chodzi o prostą rzecz, bo do tej pory firewalle, stateful firewalle widziały sesje TCP, UDP i tak naprawdę widziały, że to jest TCP port 443, czyli dobrze znany port dla SSL-a, dla https-a. No i co, to chyba https, tak? Ale już minęło 15 lat od czasów, kiedy mogliśmy portami rozróżnić aplikacje. Obecnie większość aplikacji używa https-a, znaczy udaje https-a. Najprostszy przykład: Tviewer. Tviewer, czyli zdalne udostępnianie pulpitu, gdzie pracownik może zostawić sobie włączonego TViewera i podłączyć się potem z domu zdalnie do komputera i coś robić, pobierać jakieś dane. Może niekoniecznie jest to zgodne z naszą polityką działania, ale tak naprawdę dla stateful firewalla na ten ruch wygląda jak https. A jeśli chcemy go blokować to musimy mieć widoczność właśnie warstwy siódmej i koncentrować się na rozpoznawaniu aplikacji, bo to jest tutaj kluczowe.
My już w Next Generation Firewallu nie blokujemy portów, tylko blokujemy aplikacje, które wszystkie często wyglądają jak https. Mamy jeszcze kategoryzację URL-i, czyli sprawdzanie, rozpoznawanie konkretnych URL-i, nie tyle blokowanie URL-i, ale całych kategorii. Czyli jeśli chcemy zablokować strony game’ingowe, społeczne, to jak najbardziej robimy to tym mechanizmem.
Rozpoznawanie aplikacji – to już wspominałem.
Rozszywanie SSL-a, bardzo ważna funkcjonalność.
Jeżeli większość obecnie ruchu przechodzi po SSL-u, jeżeli chcemy zajrzeć, co jest w tym tunelu, to musimy mieć jeszcze ruch rozszyfrowany. Jak ktoś wejdzie no jakieś dziwne forum i pobierze jakiś dziwny plik, to jak to będzie po https-ie, to nasz firewall jeżeli zabroni im dostępu do tej strony, to on tego nie zobaczy. Dlatego jest ważne rozszywanie SSL-a. Wtedy to jeden tunel SSL-owy jest od użytkownika do firewalla. On sobie to ogląda i rozpoczyna drugą sesję, firewall nawiązuje bezpośrednio z tą stroną. Trochę jest tam kwestii z certyfikatami, żeby to zrobić. Nie zawsze się niestety udaje, w związku z HSTS-em, ale jak najbardziej dobra praktyka. No i antimalware, czyli sprawdzanie plików pobieranych w chmurze, czy jest to plik z jakimś malware’m. Bardzo ważna funkcjonalność. To nie jest antywirus, tylko to jest bardziej oparte na zero-day’ach. Jak pobieramy plik, firewalle wysyłają hashe do chmury i pytają się, czy już ktoś to widział, czy to jest zły plik, czy to jest dobry plik.
No i oczywiście budowanie w oparciu o użytkowników, bo mamy mobilność hostów i ciężko tutaj stwierdzić, że to jest, nie wiem, jakieś IP. To jest użytkownik, to jest Kowalski. Jak Kowalski należy do grupy „Marketing”, to tak, ma mieć dostęp do społecznościówki, do tego i do tamtego. A jak Kowalski pracuje gdzieś na magazynie, to może ma mieć dużo większe ograniczenia.
I teraz jeszcze kilka kwestii, których nie da nam Next Generation Firewall. Wiadomo, on jest na brzegu sieci, więc nie będzie tej ochrony przed atakiem z wewnątrz bądź na LAN. Z wewnątrz jakbyśmy atakowali, to może jeszcze by coś zauważył, ale jak ten ruch nie przechodzi przez firewall i coś się dzieje w LAN-ie, to absolutnie nie ma szans, żeby on cokolwiek z tym zrobił. Również ataki na pocztę. Firewalle próbują coś robić, ale w jakimś procencie może im się udać. Tak naprawdę jak chcę mieć ochronę poczty, to należy tutaj się cofnąć do e-mail security, do innego odcinka, w którym też będziemy mówili, jak to dobrze zrobić, bo to powinno być dedykowane urządzenie – taki a’la serwer pocztowy, który będzie analizował naszą pocztę. Jest to ochrona tylko i wyłącznie stacjonarna. No właśnie, jak to jest z tym firewallem? Oczywiście to już chyba każdy wie, że to jest absolutny must have, priorytet nr 1. Od tego w ogóle zaczynamy naszą przygodę z security i rzeczywiście większość firm tak zaczyna. I co powinniśmy robić? Podajmy sobie takie przykłady takiego wdrożenia.
I dlaczego to robić?
Tutaj mówiłem wcześniej o teorii, a teraz o tym, jak to zrobić
Przede wszystkim powinniśmy włączyć kategoryzację URL-i, tak żeby wyłączyć przeglądanie niebezpiecznych stron. Jak coś jest uznawane za stronę, która ma prawie że zerową reputację, tam są wyłudzenia, dziwne rzeczy, malware’y, to oczywiście zablokujmy to na dzień dobry. Tak samo pozwoli nam to uniknąć na klikanie linków phishingowych. Tak jak ktoś dostanie maila, to jest duża szansa, że zablokujemy te linki właśnie z phishingiem. Czyli to jest pierwsza rzecz, którą robimy.
Potem rozpoznawanie aplikacji oczywiście dobrze włączyć i ewentualnie pozbyć się jakiegoś tunelowania, np. reverse shelli, żeby się zabezpieczyć, ewentualnie rozpoznawać i zabronić aplikacje, o których wiemy, że są biznesowo wręcz niebezpieczne, szczególnie przy wycieku danych. To jest taka pierwsza rzecz.
Ok. Co dobrze jeszcze zrobić, to oczywiście rozszywać SSL-a, o tym mówiłem. To nie jest takie trudne, jest to wydajnościowo dość stresujące dla firewalla, można powiedzieć. Trzeba dobrać odpowiedni model pod tym kątem, ale jak będziemy rozszywać SSL-a, to będziemy oglądali, co tak naprawdę ci biedni nasi użytkownicy pobierają. No i oczywiście antimalware to jest must have. Po prostu sprawdzanie wszystkich plików pobieranych pod kątem malware’u jest bardzo ważne. Przykład z życia wzięty: już pięć lat temu włączyliśmy u klienta właśnie taką funkcjonalność antimalware’u i kilka dni później się pojawiło. Prosta rzecz. Ktoś wszedł na stronę, szukał campingu nad morzem. Strona campingu wyglądała całkiem dobrze, niewinnie. Okazało się, że co się stało? Oczywiście stoi na starym wordpressie, już dawno przejętym i zhakowanym. Banner był podmieniony i był tam flash. Podmieniony flash, który atakował wtyczki również, które były zaktualizowane, więc otwierając ten plik, okazało się że w sieci korporacyjnej nie wyświetla się ten malware, dlatego bo jest to po prostu przesyłany plik, który jest dobrze znanym plikiem malware’owym, który próbuje coś zrobić z naszymi końcówkami. Blokuje to, jest alarm i dobrze jest taką stronę zablokować, więc bardzo, bardzo ważna funkcjonalność.
Ok, a teraz chwila o Next Generation Firewallach w Cisco, bo dużo się pozmieniało. Były kiedyś czasy, kiedy były sobie ASA-y. Czyli PIX-y ASA to są takie firewalle bardzo fajne, warstwy właśnie od drugiej do czwartej. Myśmy wiele lat je implementowali, bardzo stabilna była do tego platforma, ale troszeczkę już ta starsza. Więc mamy teraz nowe Firepowery od serii 1010, poprzez 1100, 2100, 4100, aż do 9300. Więc mamy pełny przekrój wydajności i ceny. My na przykład korzystamy u siebie z Firepowera 1010. To naprawdę dla kilkunastu czy kilkudziesięciu osób… Pytanie oczywiście, jak jest intensywny ruch serwera, ale to jak najbardziej w wielu firmach może to wystarczyć. To jest małe i tanie urządzenie.
I można dobrać tutaj idealne urządzenie dla każdej firmy. Rynek polski to 9300 raczej nie. To są gigantyczne przepustowości setek gigabitów, czyli około Firepower 9300. My najczęściej jednak obracamy się właśnie od serii 1000 do 4000, ale seria 4000 już jest bardzo wydajna, bo chyba największe modele obsługują do 40 giga ruchu. Więc to jest naprawdę bardzo już potężny firewall, jak na środowiska polskie, więc najczęściej te. Ważna rzecz jedna, jeśli chodzi o platformę Cisco, o czym trzeba wspomnieć, to jest to, że… No właśnie. Jak dobrać tego firewalla, który jest dla mnie? Bo to pierwsze pytanie, które pada. U każdego vendora jest takie samo.
Mamy modele od najmniejszych do największych. Wiadomo, pieniążki się liczą. Natomiast nie chcemy kupić takiego urządzenia, które postawimy w naszej sieci, włączymy wszystkie feature’y – IPS-y, url-filtering i się rano okaże, wszyscy przyjdą do biura, że to urządzenie po prostu DMI i trzeba wyłączać funkcjonalności security.
Więc trzeba to dobrać. Cisco ma bardzo fajny kalkulator. Tutaj prosimy serdecznie o kontakt, bo mamy dostęp do takiego kalkulatora, gdzie można wbić ilość ruchu, typ ruchu – bardzo ważna rzecz – ile małych pakietów, ile dużych, ile średnich pakietów.
I włączamy sobie w tym kalkulatorze funkcjonalności, czy chcemy ten ruch szyfrować, na przykład IPsec-iem czy SSM-em, czy chcemy rozszywać SSL-a, czy chcemy robić Next Generation Firewalla, NAT-a i tak dalej. Więc wyklikujemy te funkcjonalności i dajemy „kalkuluj”. I on nam pokazuje, jaka platforma jest optymalna i jakie jest szacowane obciążenie procesora przy danych feature’ach. I proszę uwierzyć mi. To jest bardzo, bardzo ważne, bo jak ktoś ma 500 mega ruchu i to jest taki chwilowy ruch, to naprawdę seria 1000 czy 1120 absolutnie może w takiej firmie wystarczyć. Natomiast jak ktoś nam powie… Mieliśmy takiego klienta, że on ma datacenter i ma 500 mega, ale bardzo małych pakietów i wszystkie są szyfrowane, to nagle się okazuje, że już zupełnie nie ta platforma, ale wyższa jest wymagana.
Więc można to wszystko policzyć. To się bardzo dobrze sprawdza w życiu. Więc zachęcam do kontaktu po to, żeby po prostu wrzucić w kalkulator i dobrać odpowiedni model.
Ok, ale skąd się wziął Next Generation Firewall by Cisco, czyli tak zwany Firepower Threat Defence? Była sobie z jednej strony ASA, czyli ten stary, dobry firewall od kilkunastu lat na rynku i z drugiej strony był FirePOWER, czyli Sourcefire kupiony przez Cisco jako jeden z najlepszych IPS-ów od rynku wtedy, oparty na Snort-cie i posiadający wszystkie funkcjonalności Next Generation Firewalla. Więc to były dwie takie platformy. I Cisco stwierdziło, że weźmie co najlepsze z lewej, co najlepsze z prawej i te nie setki, a miliony linii kodu po prostu połączy w jeden bardzo dobry system, biorąc po prostu wszystko co najlepsze z każdego. I stąd się zrodził właśnie FTD, który obecnie jest na wszystkich platformach.
Ok. Co jeśli chodzi o zarządzanie? Mamy kilka opcji. Pierwsza, podstawowa, bardzo dobra i sprawdzona, to jest oczywiście FMC, czyli wirtualka Firepower Management Center – zdecentralizowane zarządzanie, które zarządza wszystkimi platformami.
Można zrobić przez to wszystko. Jest jedno GUI, mamy jedną politykę. Jak mamy 40 oddziałów, to wysyłamy tę politykę i aktualizujemy na wszystkie 40 oddziałów. Nie logujemy się zupełnie na urządzenia, one nawet nie mają takiej opcji. Wszystko robimy właśnie z centralnej platformy zarządzania, raportowanie wszystko. Mamy taką jedną ładną stronę i wszystko jest. Potem mamy jeszcze zarządzanie. jak ktoś ma jedno urządzenie czy dwa, to może niekoniecznie to FMC ma zawsze sens dla takich małych rozwiązań. Oczywiście mamy zarządzanie www on the box, czyli FDM – Firepower Device Manager. Odpalamy, wchodzimy na stronę [niezrozumiałe]
GUI HTML5 klikamy i robimy. Może nie zrobimy tak dużo tych wszystkich zaawansowanych funkcjonalności jak przez FMC, ale naprawdę ja to odpalałem w jakichś tam małych firmach. Wszystko, co tam potrzebujemy, to tam jest. No i mamy jeszcze zarządzanie z chmury przez Orchestrator SDN-owy, CDO. I wtedy już mamy zupełnie takie chmurowe zarządzanie wspólnej polityki dla starych AS, dla FTD, dla Meraki i on nam wirtualizuje ten sprzęt i po prostu zajmujemy się tylko bezpieczeństwem u góry. Więc sposobów, jak widać, jest kilka.
Dlaczego Cisco? I słów kilka o kosztach. Cisco Talos to jest olbrzymia baza typu threat intelligence. W Talosie siedzą setki czy tysiące nawet inżynierów security i analizują cały czas to, co się dzieje w internecie i kwalifikują dane zagrożenia, analizują to. Też oczywiście bardzo, bardzo dużo pieniążków za tym stoi, więc ta jakość jest dobra. A jeśli chodzi o jakość, to wiadomo. Jak ocenić jakość firewalla?To jest przede wszystkim wielkość bazy zagrożeń, bo większość tych funkcjonalności: czy url-filtering, którym się odpytuje chmurę, czy malware – to jest wszystko pytanie o jakość tego, o co pytamy. Tutaj mamy rzeczywiście bardzo duży
team i nieustanne aktualizowanie. To jest zaleta dużego vendora, który przychodzi i robi coś bardzo dobrze. Jakie są zalety? Na pewno świetny Anyconnect, czyli remote VPN, klient do zdalnego pracowania, super stabilny bogaty w funkcjonalności. To akurat jest naprawdę bardzo… Chyba jeden z najlepszych produktów, jeśli chodzi o remote VPN na rynku. Bardzo dużo możliwości konfiguracji. Nie tylko połączenie, ale integracje z ISE, z ADE, dynamiczne ACL-ki, wszystko na tym można zrobić. Co więcej, poprzez Anyconnecta możemy integrować się z innymi rozwiązaniami. A jak o integracji mowa, to oczywiście Cisco postawiło na taki model integracji security z wszystkimi produktami. Bo rzeczywiście jest tak, że ten firewall na przykład pokaże nam tak naprawdę jeden aspekt security. On coś zauważy, potem AMP, który jest końcówką antimalware’ową na końcówkach zobaczy jakiś inny problem, że coś się dzieje na końcówce. Może rozwiązanie oparte o NetFlow jeszcze zauważy inny ruch i tak naprawdę najważniejsza jest integracja, bo widząc poszczególne alerty, może nie widzimy, że coś się tak naprawdę dzieje. Dopiero łącząc te wszystkie informacje, widzimy pełny obraz ataku, czy ktoś coś próbuje rzeczywiście zrobić, to jest false positive. Tak więc Cisco postawiło na integrację, te wszystkie systemy się absolutnie integrują przez SecureX albo przez inne metody. Wszystkie ze sobą rozmawiają,
wymieniają dane, tak żeby mieć pełen obraz bezpieczeństwa. Oczywiście kosztuje niezależny jest od ilości użytkowników, raczej od ilości i – tak jak wspominałem – od typu ruchu. Płatne mamy subskrypcje, nie tylko na aktualenienia, ale wszystkie. To już jest akurat standard, czyli wszystkie te subskypcyjne rzeczy, o które się pytają: chmury, url-filteringi, IPS-y czy antimalware to są subskrypcje. Koszty, tutaj na slajdzie napisałem 1500 dolarów, ale zaczyna się to raczej niżej, więc mamy pełen dobór. De facto jest to ta sama platforma, te same możliwości, tylko musimy dobrać do wydajności. No właśnie i kończąc ten pierwszy odcinek, pamiętajmy o tym, jak to jest z tymi stacjami mobilnymi i stacjonarnymi. No właśnie, bo mówiliśmy o brzegu sieci, brzegu sieci korporacyjnej. Troszeczkę tak po staremu przedpandemiczna sytuacja, że tam sieć była bezpieczna i mieliśmy brzeg sieci, zabezpieczenie i było super. Tyle że teraz tak naprawdę brzeg sieci zaczyna być wszędzie, nawet w domu użytkownika. Dużo jest pracy zdalnej, więc ten firewall może stanowić tylko część zabezpieczeń. Ale o całej reszcie, jak ten mobilny brzeg sieci zabezpieczyć i co z tym zrobić, to już w kolejnych odcinkach.
Ja państwu serdecznie dziękuję. Nazywam się Piotr Szafran, firma Network Expert i zapraszam do kontaktu. Dziękuję.
odcinek 2
Antywirus, antimalware, EDR, sandbox
Aby infrastruktura teleinformatyczna była względnie zabezpieczona musi być wyposażona w odpowiednio dobrane oprogramowanie, a jest nim antwirus, antimalware, narzędzie EDR oraz sandbox. Czym są te tajemniczo brzmiące narzędzia i jakie mają zastosowanie? Odsłuchaj nagrania, aby dowiedzieć się więcej o tym jak mogą Ci pomóc dbać o bezpieczeństwo Twojej sieci.
Dzień dobry, kolejny odcinek naszego kursu poświęconego przeglądowi rozwiązań bezpieczeństwa teleinformatycznego.
Witam, ja się nazywam Piotr Ksieniewicz reprezentuję firmę Network Expert. Chciałem powiedzieć o rozwiązaniach Antywirus, antimalwere, Endpoint Detection and Respons i sandbox, czyli kolejnym must have, czymś, co musimy mieć w naszej infrastrukturze, żeby być zabezpieczonym, żeby mówić, że jesteśmy względnie bezpieczni w dzisiejszych czasach, w obliczu wielu zagrożeń z zakresu cyberbezpieczeństwa.
Czym tak naprawdę te systemy się od siebie różnią?
Możemy powiedzieć, że w zasadzie mamy. Każdy z nas ma antywirusa, ten antiwirus może być bardzo trywialny, bo tym antiwirusem może być Defender, tak Microsoftowy, który już w jakimś stopniu ochroni was przed zagrożeniami, które czają się na wasz komputer. […] […] Pojedynczej stacji roboczej. W przypadku, kiedy mamy tych stacji roboczych pod naszą kontrolą więcej oczekiwalibyśmy zapewne, żeby po pierwsze informacje z tych systemów, które chronią nasze rozwiązania były w jakiś sposób centralizowane, logowane, żebyśmy mieli centralny punkt zarządzania, niekoniecznie te darmowe systemy dadzą nam takie możliwości. Po drugie w pewnym stopniu zaczyna się ten rynek, zaczyna się również dywersyfikować. Są dostępne takie bazowe systemy ochrony, czyli działające na poziomie czystych sygnatur, czyli porównujące to, co sobie pobraliśmy i to, co na komputerze funkcjonuje. Próbujemy uruchamiać po prostu podpis takiego pliku z podpisami znanych nam plików, które stanowią zagrożenie. Jest to bezpieczeństwo, które zadziała w 90% przypadków. Natomiast są tematy, które wymagają troszkę szerszego spektrum działań, a mianowicie zagrożenia typu […] Mamy zagrożenia typu Files, czyli bezplikowe, tak naprawdę atakujące w pewnym stopniu pamięć operacyjną i odbywające się gdzieś tam w pamięci operacyjnej komputera. Mamy zagrożenia polimorficzne, czyli ewoluujące w każdym wypadku. I tego wszystkiego możemy nie osiągnąć za pomocą takiego… Takiego bezpieczeństwa możemy nie osiągnąć za pomocą klasycznego antywirusa.
My oferujemy rozwiązanie Cisco AMP, czyli Advanced Malware Protection. I tu chciałem krótko powiedzieć, czym ten AMP różni się od takich klasycznych zabezpieczeń. Co on tak naprawdę robi po kolei, on oczywiście posługuje się również tym podpisem, czyli prostą, sygnaturową, pierwszą warstwą ochrony, sprawdza sobie taki tak naprawdę kryptograficzny podpis tego pliku, który właśnie chcemy otwierać, chcemy uruchamiać z bazą znanych zagrożeń. Po drugie patrzy w nagłówki Portable Executable plików PE, wszystkie .exe, .dll, itd mają taki nagłówek, który pozwala w jakiś tam magiczny sposób załadować odpowiednie biblioteki i powiedzieć co się z tym plikiem będzie działo podczas uruchamiania, jak go uruchomić, jak uruchomić go ma system Windows, mówimy oczywiście o systemie Windows, czyli możemy sobie tutaj na podstawie tego PE stwierdzić coś, co nasz plik wykonywalny będzie robił już na podstawie nawet samych DLL-i, które będzie pobierał.
Oczywiście ta Umbrella, przepraszam oczywiście ten AMP, czyli Advanced Malwere Protection korzysta również z sandboxa, czyli w momencie, kiedy nie potrafi samodzielnie wyestymować czy nasze… Nasz plik jest zagrożeniem czy nie, odpala pliki uruchamia w takim środowisku testowym, czyli od razu poruszamy temat sanboxingu. Ten sanboxing jest nam również potrzebny w sytuacjach, kiedy chcemy się sprawdzić, zrobić analizę, co plik potencjalnie niebezpieczny czy też podejrzany robi w środowisku testowym zupełnie bezpiecznym i ta analiza sprowadza się do wielu, wielu czynników. Oczywiście ten AMP korzysta z bazy Security Cisco Talos, czyli to gigantyczna baza Fred Intelligence, czyli tak naprawdę wszystkich zagrożeń, informacji o zagrożeniach. AMP robi jeszcze troszeczkę więcej, a mianowicie m.in. pozwala na jeszcze dodatkową randomizację struktury pamięci, bo systemy operacyjne już prowadzą randomizację pamięci, przynajmniej nowoczesne, nowożytne systemy, która utrudnia np. pełnienie stosu, przeskoczenie za pomocą sprytnych operacji do jakiś konkretnych instrukcji do obszarów pamięci, których nie powinniśmy dotykać, których, w których znajdują się zasoby, które mogą pozwolić atakującemu na przejęcie kontroli nad rozwiązaniem, nad systemem operacyjnym. I Cisco AMP dodatkowo randomizuje, czyli utrudnia. Jeżeli jakiś sprytny programista wie, że jest w stanie program tak zmodyfikować, żeby przeskoczył do obszaru pamięci, który np. zawiera no powiedzmy sobie hasło ruta to byłoby pewnie bardzo trudne, ale jakąś instrukcję, która np. pozwoli na podniesienie uprawnień, to ta dodatkowa randomizacja również nas chroni.
Co jeszcze? Jest również analiza systemów polimorficznych, czyli plików które się odrobinę zmieniają. Jeżeli plik zostanie poddany np. innemu spakowaniu czy też rozszerzony, odrobinkę zmieniony, taki klasyczny Antywirus może go nie złapać. Stwierdzi, że nie jest to plik, który zawiera w sobie zagrożenie. Natomiast my tutaj jakby poddając ten plik jakiemuś… Kolejnym obróbkom, pakowaniu, przepakowywaniu, dodawaniu fragmentów, rozszerzaniu stwierdzamy, że ten plik może być dla niej zagrożeniem. Obserwujemy również w Cisco AMP-ie Indications of Compromise, czyli tak naprawdę sposób zachowania się tego konkretnego systemu, który uruchamia plik, czyli czy łączy się z jakimiś niebezpiecznymi adresami, czy uruchamia dużo procesów, czy przeprowadza wiele operacji na dysku. Takie operacje również są istotne i my na to patrzymy. To tak jak powiedzieliśmy, sygnaturki – podstawowy temat, na podstawie hashy plików. Te hashe plików, jeżeli wejdziemy na taką stronę, która zresztą skądinąd jest darmowa, virustotal. Virustotal możemy podrzucić dowolny plik, hash tego pliku i sprawdzić czy jest to zagrożenie, czyli tak naprawdę takie bazy są darmowe i ten pierwszy sposób na eliminację zagrożeń, czyli na to wyłapanie tego, co uruchamiamy, co może być potencjalnym zagrożeniem, może być nawet darmowe i tak jak mówię, to nie stanowi pełnego bezpieczeństwa i nie jest pełnym bezpiecznym systemem Antywirus. Analiza ostateczna, tak jak powiedziałem, możemy sobie z nagłówka pliku… Tutaj pokazane tak naprawdę kilka rozwiązań Linuxowych, które pozwalają na analizę statyczną, czyli na właśnie przejrzenie tego, co jest w nagłówku PE. Po drugie nawet wyciągnięcie komunikatów jakimi program posługuje się do użytkownika, jeżeli jakiekolwiek są. I na tej podstawie ocena również tego, jak bezpieczny jest dany program. Analiza wykorzystywanych DLL-i, czyli bibliotek, z których dany program będzie korzystał. To również ciekawy temat i w zasadzie powinno się przy ocenie bezpieczeństwa konkretnego pliku takie czynności podejmować. Natomiast to wszystko automatycznie robi… Jak widać można to robić różnymi ciekawymi narzędziami, czy to Windowsowymi, czy to tak jak tutaj Pestudio, czy Linuxowymi, natomiast za nas robi to, powinien to robić automatycznie system Anty Malware Protection, czyli innymi słowy Endpoint Detection and Response, czyli coś, co jest szerszym rozwinięciem Firewalla, nie Firewalla tylko… Tylko systemu antywirusowego.
Wreszcie zabezpieczenia polimorficzne, czyli pod kątem podobieństwa.
Dwa odrobinę różniące się pliki będą już generowały różny podpis. W związku z tym w zasadzie ktoś, kto dopisze odrobinę dodatkowego kodu do naszego zagrożenia ominie ten jego wirus totala, czyli, czyli proste zabezpieczenie bazujące na podstawie haseł. Importowane biblioteki to również jest istotne dla nas.
Kilka słów o sandboxingu
bo to jest w pewnym stopniu bardzo ciekawy i osobny temat. Sandoxa nie muszę mieć w swojej infrastrukturze, nie jest rozwiązaniem typu must have. Natomiast ten sandbox jest czymś, co jest absolutnie pożądane w sytuacjach, kiedy już mam dobre rozwiązanie antimalwere czy też EDR. Warto byłoby je doposażyć w tego sandboxa. Sandboxa Cisco daje niejako za darmo do rozwiązania Cisco AMP. Ten sandbox nazywa się Threat Grid i Threat Grid pozwala na uruchomienie pliku i analizę tego, co dany plik wykonuje, czyli procesy, które uruchamia, co zmienia w rejestrach, jakie klucze rejestru pisze czy też czyta, co zmienia na dysku, jakie operacje plikowe podejmuje, jak komunikuje się z siecią i na podstawie tego, co ten dany plik nam wykonuje sandbox ocenia jak bezpieczny bądź też niebezpieczny jest dany plik. Co jeszcze fajne dla dobrego systemu Endpoin Detection and Response, coś, co ma Cisco AMP to trajektoria pliku, czyli ocena, gdzie dany plik się tak naprawdę nam multiplikował, gdzie ewoluował, gdzie zmieniał się, gdzie przemieszczał się w naszej sieci, czyli jeżeli mamy zagrożenie, możemy to zagrożenie śledzić i tutaj bardzo fajne rozwiązanie Cisco również dodaje takie coś za darmo. Cisco Threat Response. Threat Response jest czymś, co pozwala po wpisaniu konkretnej nazwy pliku zobaczyć czy też po wpisaniu hasha pliku, czy też po wpisaniu nawet url, na którym coś się komunikowało, zobaczyć, gdzie takie wystąpienie konkretnego zdarzenia miało miejsce u nas w sieci, gdzie ono się tak naprawdę przemieszczało i jak się zachowywało u nas w systemach. I na tej podstawie możemy później eliminować te zagrożenia oczywiście. Czy to ręcznie, czy jakoś dynamicznie, automatycznie. Chodząc po naszych urządzeniach
eliminować.
Czyli czego oczekujemy od takiego dobrego systemu antywirusowego?
W zasadzie oczekujemy od niego, żeby był już systemem Endpoint Detection and Response, czyli czymś, co jest, za czym w zasadzie jest Cisco AMP, czyli nie chroni tylko pojedynczej maszyny. Oczywiście kwestie zarządzania związane z zarządzaniem, całym rozwiązaniem antywirusowym to oczywiste, że chcemy, żeby było to scentralizowane. Ale to rozwiązanie ma chronić naszą całą infrastrukturę, czyli ma pozwalać na zapobieganie propagacji tego zagrożenia przez sieć, ma chronić przed plikami, zagrożeniami typu fileless, przed zagrożeniami polimorficznymi, ma automatycznie uczyć się zagrożeń nowych, które np. na podstawie sandboxowania, czyli wysłania do naszej piaskownicy z czymś, co pozwala nam ocenić, że jednak ten plik był zagrożeniem. Nauczymy się tego zagrożenia i przeskalujemy już funkcjonującą infrastrukturę, pozwoli śledzić to zagrożenie, działa na wszystkich platformach i oczywiście ma sandbox, czyli to, tego oczekujemy od EDR.
Dziękuję bardzo. To tyle w kwestii EDR-ów, Antywirusa, AMPa.
Zapraszam na kolejne odcinki.
Podkreślam, że te rozwiązania, o którym rozmawiamy w tej chwili to absolutny must have, czyli musimy to mieć.
odcinek 3
Ochrona dedykowana konkretnej aplikacji
Z tego odcinka dowiesz się, co możesz zrobić, aby zabezpieczyć m.in. pocztę email, dostęp do internetu, aplikacje webowe – jakie czyhają niebezpieczeństwa oraz w jaki sposób możesz się uchronić przed nimi, np. czym są SPF i DKIM, w jaki sposób możesz wykrywać zagrożenia na podstawie analizy ruchu przesyłanego przez sieć, czym jest Anti phishing oraz systemy IPS/IDS, jakie mozliwości daje web proxy!
Dzień dobry. Piotr Ksieniewicz, firma Network Expert. Kontynuując nasz cykl poświęcony portfolio produktów security, czyli tak naprawdę temu, co można kupić i co można zastosować w zakresie produktów bezpieczeństwa teleinformatycznego – dział poświęcony ochronie dedykowanej konkretnej aplikacji, czyli tak naprawdę wąskiej specjalizacji tego, co możemy zastosować. O czym powiemy?
Powiemy o ochronie poczty, ochronie weba, ochronie kierowanej również na aplikację webowe, aczkolwiek w drugim kierunku, czyli Web Application Firewallach. Powiemy o systemach IPS, IDS, a także o systemach WIPS, powiemy o ochronie DNS.
Pierwszy temat: ochrona poczty.
Kiedy my tego tak naprawdę potrzebujemy?
W większości przypadków w tej chwili spotykamy się z tym, że serwery pocztowe jednak są hostowane przez operatorów telekomunikacyjnych, takich, którzy jakby zajmują się tym zasadniczo profesjonalnie. I oni zapewniają takie systemy – natywnie, inhousowo – z różną jakością. Jakość tych systemów na pewno należałoby przetestować. Natomiast w momencie, kiedy korzystamy z takiego operatora, który zapewnia cloudowo dobrą jakość ochrony poczty może nasz system nie jest niezbędny, nie jest priorytetowy w zakresie zakupów i planowania bezpieczeństwa naszej infrastruktury. Natomiast kiedy ten serwer stoi u nas – serwer pocztowy, czyli serwer SMTP odbierający połączenia z innych serwerów jest u nas – zdaje się to być kluczowe. Mamy przypadki klientów, którzy bez takiego zabezpieczenia po pierwsze walczą ze spamem, czyli z napływem informacji było nie było niechcianych, zaśmiecających pocztę, zajmujących czas pracownikom, administratorom, zajmujących zasoby, w sensie nawet dyskowe. Tak że taka ochrona pod kątem spamu jest niezbędna. Niezbędna jest ochrona pod kątem oczywiście również malware’u – złego, złośliwego oprogramowania a także pod kątem phishingu, czyli próby wyciągnięcia od nas najczęściej ostatnio haseł, czyli przekierowania nas do jakiejś strony, która w jakiś sposób będzie podszywała się pod inną stronę i próbowała od nas uzyskać hasło stosowne, czy to do banku, czy do jakiegoś innego systemu, który może mieć jakąś wartość, jakieś znaczenie. W ochronie przed phishingiem, jeśli mamy system bazujący na serwerach chmurowych, to wypadałoby zweryfikować, czy tak naprawdę chroni nas przed tymi zagrożeniami. My dysponujemy metodami weryfikacji, mechanizmami, które pozwolą ocenić, czy taki mechanizm chmurowy bazujący na serwerze poczty, który stoi gdzieś w chmurze, jest dobrze odporniony na mechanizmy związane z zagrożeniami. Natomiast wracając troszeczkę do tego Email Security Appliance’a, czyli do tego produktu i trochę potraktowawszy go jako coś, co może stanowić dla nas wzorzec, jak taka ochrona poczty jest zbudowana. W pierwszym etapie budowana jest na podstawie reputacji, czyli tak naprawdę bierzemy sobie taką listę serwerów pocztowych wraz z ich reputacją, czyli poziomem zaufania, jaki mamy do tejże konkretnej organizacji przesyłającej nam pocztę. I taką listę reputacyjną utrzymuje za nas procudent, bazując na swoim Cisco Talos, czyli na swoim Threat Intelligence. na tych 600-700 inżynierach, którzy siedzą i żmudnie analizują wszelkie zdarzenia związane z bezpieczeństwem i wiedzą, że jeżeli ktoś wysyła jakąś masową pocztę na temat wygranej w lotto czy też ewentualnie przedłużeniu swojego penisa, no to jest to prawdopodobnie serwer który należy zaklasyfikować jako serwer spamowy. Czyli pierwszy filtr, który blokuje jakby znakomitą większość, to reputacja, czyli po prostu lista, którą sporządza za nas Talos. Później mamy takie mechanizmy SPF, DKIM i DMARC. O nich za momencik powiemy sobie. Później mamy tak naprawdę taki mechanizm troszkę opierający się na sztucznej inteligencji. Później możemy mieć skanowanie plików, załączników pod kątem antywirusowym. Możemy pod kątem podpisu związanego z tym plikiem, czyli tak naprawdę bierzemy sobie plik i – trochę jak opowiadaliśmy w części poświęconej antywirusom – robimy na nim taką operację binarną, matematyczną, kryptologiczną, która tworzy podpis z tego pliku. I w znakomitej większości w ten sposób jesteśmy w stanie wyblokować zagrożenia, patrz na przykład wirus Total czyli taka strzałka, która publikuje wszem i wobec te podpisy SHA plików, które są zagrożeniami. Patrzymy, jak zachowuje się tenże plik w warunkach tak naprawdę sandboxa. Za pomocą wyrażeń regularnych odfiltrowujemy również zagrożenia związane z social marketingiem, tak zwanego graymaila. Możemy tworzyć również regułki biznesowe, czyli czy ten mail jest po przeczytaniu… Bo pamiętajmy [błąd dźwięku] ona tak naprawdę automatycznie czyta sobie wszystkie te maile, czy ten mail ma charakter biznesowy, czy też nie. No i wreszcie możemy popatrzeć na linki, które są w tych plikach, URL-e: czy one są związane z phishingiem, czy też nie. Co ciekawe, możemy analizować również obrazki, możemy rozszywać komunikaty zaszyfrowane. To dzieje się w kierunku wejściowym. Natomiast w kierunku wyjściowym? Z tego kierunku wyjściowego dla nas najważniejsze tak naprawdę zdaje się być… Oczywiście ważny jest antywirus, natomiast ważna jest ochrona informacji, które my tak naprawdę wysyłamy, czyli Data Link Protection, czyli ochrona przed wyprowadzeniem ważnych informacji z firmy.
I teraz uwaga. Zasadniczo większość tych systemów, z którymi się zetknąłem jednak w zakresie DLP wbudowanego w Email Security jest bardziej dedykowana rynkom amerykańskim. Są zdecydowanie filtry podefiniowane, na przykład Insurance Policy, Insurance Number – coś, co generalnie nie przystaje do rynku polskiego. Oczywiście tak naprawdę producenci dają mechanizmy, które pozwalają tworzyć własne regułki. I mamy takie regułki, natomiast należy pamiętać o tym, że te regułki grepowania, czyli przechwytywania tego tekstu i kontroli, co w tym tekście jest, należy potworzyć
odpowiednio na rynek polski tak żeby złapać ten tekst, który nas interesuje przy komunikacji wychodzącej z naszej poczty. No i oczywiście trzeba pamiętać że za tą naszą ESA, czyli Email Security Appliance, tak jak zwykle w przypadku produktów Cisco, stoi Cisco Talos, czyli generalnie bardzo, bardzo duża baza Threat Intelligence czyli zagrożeń, tej inteligencji związanej z tymi zagrożeniami, tłumacząc to w taki sposób bardzo dosłowny. Ale jest to po prostu olbrzymia baza, która gromadzi informacje z wszystkich produktów Cisco dedykowanych security i propaguje te wszystkie odkrycia, które dokonał często ktoś za nas w Singapurze na urządzenia innych użytkowników, tak żeby później podzielić się tą mądrością, która spłynęła do centrum Threat Intelligence Cisco.
A teraz pokrótce o tych mechanizmach, które są bardzo dedykowane. Dlaczego o nich mówię? Dlatego, że warto pamiętać, że ten mechanizm ochronny poczty w przypadku Email Security Appliance odbiera zasadniczo za nas tę pocztę. Trzeba pamiętać, że część vendorów, część producentów ten Email Security zaszywa w urządzeniach typu Next Generation Firewall. I nie jest w tym nic złego, natomiast należy się zawsze stanowić, czy one jakby posiadają wszystkie te metody, które dedykowany system ma, posiada. Czyli należy podejrzewać, że nie. Natomiast oczywiście nie będę posługiwał się przykładami. Znam mnóstwo takich systemów, które posiadają jakąś bazowąochronę poczty wbudowną w NGF-a, czyli Next Generation Firewalla. Ale zasadniczo jeżeli zerkniemy głębiej, no to już takich zaawansowanych mechanizmów, jak tutaj na slajdzie, nie ma. Dlatego te mechanizmy są fajne i zaawansowane? Jest na przykład Sender Policy Framework, czyli coś, co w waliduje, czy serwer mailowy, który przysyła nam maila, w zasadzie jest autoryzowany dla konkretnej domeny, z której mówi, że przesyła maila, do wysłania maila. Czyli taki sprytny mechanizm, który mówi „przesyłasz mi maila z domeny cisco.com albo z domeny networkexpert.pl, czy naprawdę możesz z tej domeny mi tego maila wysłać?”. Super sprawa, fajnie jakby pozwala nam na to pytanie odpowiedzieć.
Drugi, DKIM, czyli tak naprawdę protokół który pozwoli nam podpisać niejako za pomocą DKIM komunikację, czyli SPF w zasadzie bazuje na zwykłych rekordach tekstowych, a DKIM bazuje na podpisie cyfrowym, czyli podpisuje tę komunikację i możemy w ten sposób stwierdzić, czy rzeczywiście ten nadawca jest uprawniony do bycia nadawcą dla tej konkretnej domeny. Nad tym wszystkim jeszcze może stać sobie protokół DMARC, który jakby integruje w sobie DKIM-a i SPF-a, dodatkowo zapewniając im ekstra bezpieczeństwo. Tak że warto zerknąć, czy system ochrony poczty ma te wszystkie mechanizmy wbudowane. O antiphishingu troszeczkę już powiedzieliśmy, czyli Email Security w oczywisty sposób również zerka w tego maila i pod kątem analizy, ochrony phishingowej stwierdzam URL-e zawarte w moim linku, czyli jeżeli ktoś mi wysyła jakiś odnośnik, czy ten odnośnik jest bezpieczny do kliknięcia. Bo jeżeli nie jest, to wtedy możemy go usunąć.
No i tyle o poczcie. Poczta pamiętajmy, że jest takim systemem dodatkowym. Nie należy jej kupować od razu, od strzału, w pierwszym wypadku. Nie jest to priorytet, no chyba że mamy swoje serwery SMTP i one są utrzymywane u nas, na naszych zasobach z jakichś takich konkretnych względów, które na nas to wymuszają. Wtedy ten system ochrony poczty jest nam zdecydowanie potrzebny i radzę nie zastępować go NGF-em, czyli czymś, co jest do wszystkiego. Next Generation Firewall jest dobry, ale w momencie kiedy jest raczej do ruchu użytkowników, tak bym powiedział.
Systemy IPS/IDS. Troszeczkę gdzieś wchodzimy od poczty do sieci znowuż, bo IPSy, IDSy- to są systemy, które są aplikowane w sieci, czyli coś, co na podstawie ruchu sieciowego wsadzone niejako w sieć pozwoli wysłać informację o tym, że coś było zagrożeniem, czy też nie było. Jak to się aplikuje? Bardzo często po prostu aplikuje się na przykład w ścieżce ruchu, czyli jeżeli mamy przejście od jakiegoś VLAN-u użytkownikowego do datacenter, jest to połączenie między switchami, to możemy tam wstawić IPS-a i ten IPS, czyli Intrustion Prevention jest systemem inline’owym, czyli wsadzamy niejako w ścieżkę, co powoduje, że ruch przechodzi przez ten system i można za pomocą IPS-a zablokować ruch. IDS natomiast, Intrusion Detection System, jest czymś, co dostaje kopie ruchu, tak jak tutaj widać na rysunku. Mamy IPS-a, który jest w ścieżce i IDS-a, który jest gdzieś z boku. IDS dostaje kopie ruchu i może w zasadzie ale prostować o tym, że widział coś niebezpiecznego. A co on widzi niebezpiecznego? No widzi niebezpiecznego w sytuacji, kiedy zobaczy na przykład jakiś atak na serwer webowy, na przykład cross-site scripting. O tym, co to jest cross-site scripting za chwilę sobie też oczywiście w bardzo dużym skrócie powiemy. I wtedy on podnosi alert, ewentualnie blokuje taki ruch. Są Network IDS-y, są Host IDS-y, czyli możemy takiego IDS-a postawić w zasadzie na konkretnym serwerze. Są Wireless IPS-y. O tym wszystkim troszeczkę, o Wireless IPS-ie za moment. Natomiast generalna konkluzja: kiedy te IPS-y były takim produktem rzeczywiście wolnostojącym, czyli było to często sprzedawane właśnie w miejscach, w których trzeba było oglądać wewnętrzny ruch sieciowy, tak to nazwijmy. Bo znowuż IPS jest bardzo często ostatnio częścią Next Generation Firewalla, czyli systemu, który gdzieś tam na brzegu naszej sieci siedzi czy też między jakimiś ważnymi fragmentami tej sieci, szczególnie między czymś, co jest jakoś strasznie solidnie chronione, na przykład jakieś zasoby serwerowe albo zasoby serwerowe o bardzo dużym znaczeniu. Natomiast tego IPS-a, IDS-a gdzieś tam się wstawiało wewnątrz, czyli tam, gdzie poza tym może innego filtrowania nie było, ale chcieliśmy wykrywać zdarzenia niebezpieczne. No i konkluzja taka, że kiedyś był to produkt często odseparowany. Teraz jakby sprzedaż samych IPS-ów, IDS-ów jest mniejsza zdecydowanie. Natomiast one dalej mają silną rolę i trzeba z nich korzystać w momencie, gdy chcemy przynajmniej mieć świadomość monitorowania bezpieczeństwa naszej sieci, wewnętrznej sieci. No i wtedy na pewno w ramach jakiegoś systemu SIEM-owego, SOK-owego, w zasadzie jako pożywka dla SIEM-a, będzie występował gdzieś Network IDS. Do tego on się nam na pewno przyda. Natomiast rzeczywiście na brzegu często zintegrowane z Next Generation Firewallem. Kiedy niezintegrowane? Wtedy, kiedy na przykład mamy problemy wydajnościowe, czyli chcemy, żeby url-filter zajmował się url-filtrowaniem, natomiast IPS zajmował się IPS-owaniem, no i zakładając, że będzie to po prostu separacja zdarzeń, spowoduje większą wydajność całego systemu.
No i ciekawy przykład – Wireless IPS.
I to w zasadzie fajny temat, który powinien mieć każdy. Dlaczego? Dlatego, że wszyscy mają sieci bezprzewodowe. Natomiast rzadko kto je monitoruje na taki poważny sposób. A z sieciami bezprzewodowymi związane jest sporo zagrożeń, naprawdę realnych, naprawdę prawdziwych, jak na przykład pojawianie się AP-ków, które próbują się podszywać pod naszą sieć po to, żeby zachęcić naszych użytkowników do połączenia, przedstawić im na przykład nieprawidłowe okno do zalogowania, poczekać, może któryś z nich wpisze hasło. Czyli taka możliwość jak najbardziej jest. Są ataki polegające na tym, że gdzieś będziemy próbowali naszych użytkowników deautentykować, będziemy podsłuchiwać jak oni się z powrotem uwierzytelniają, a później za pomocą na przykład metod kryptografii, w zasadzie pewnie kart graficznych, ich mocy obliczeniowych, będzie próba odzyskania tegoż hasła do naszej sieci WiFi na podstawie obliczeń, żmudnych obliczeń kryptograficznych. I właśnie ten WIPS to tak naprawdę jest taki IPS/IDS dedykowany sieci bezprzewodowej. u on, co ciekawe, nie ma dziesiątek, setek tysięcy sygnatur, tak jak w przypadku IPS-a, IDS-a, tylko ma tych sygnatur zazwyczaj koło kilkudziesięciu, dwustu. Bo to są sygnaturki dedykowane tylko systemom bezprzewodowym. To, co właśnie pojawia się… Tak jak mówiliśmy, może się pojawić ten AP-ek, który na przykład będzie się pod nas podszywał. Taki, który spróbuje od nas wyciągnąć hasło. Może się pojawić jakiś jammer, który będzie zakłócał naszą sieć. Może się pojawić coś, co będzie próbowało za pomocą podszywania się pod ramki kontrolne na przykład deautentykować użytkowników. I to wszystko IPS zobaczy. Co warto pamiętać? Warto pamiętać o tym, że trzeba oczywiście pamiętać o odpowiednim zaprojektowaniu naszej sieci bezprzewodowej, tak żeby ona miała widoczność tego, co w tej sieci bezprzewodowej się dzieje. Czyli żeby na przykład obserwowała czasami nieużywane przez nas kanały bezprzewodowe, ale o tym może powiem w osobnej sekcji – o całej sieci bezprzewodowej. Ochrona dedykowana webowi, czyli Web Proxy. Co to tak naprawdę jest i czy ja tego potrzebuję? Web Proxy to jest najczęściej teraz tak naprawdę element w zasadzie prawie, bo to nie do końca, jest to samo, ale bardzo zbliżony do tego, co znajduje się w Next Generation Firewallach. Next Generation Firewall nie jest serwerem proxy dla ruchu webowego. Natomiast może zobaczmy, czym ten serwer proxy jest. Znowu podobnie jak w tym temacie związanym z SMTP, czyli z pocztą, serwer proxy jest czymś, co pośredniczy w naszej komunikacji webowej. Czyli jeżeli ja mam klienta siedzącego gdzieś na swoim komputerze, to on wychodząc do internetu, oprócz tego że pewnie gdzieś będzie musiał przejść przez jakiś firewall, [błąd dźwięku] ten człowiek musi się połączyć tak naprawdę z serwerem proxy, który za niego zrobi dalej robotę. Czyli ten serwer proxy będzie się łączył już do konkretnego serwera w internecie, jak na to popatrzymy. Komputer w środku sieci nie łączy się bezpośrednio do internetu, tylko łączy się z użyciem serwera proxy. To oczywiście powoduje [niezrozumiałe], bo on ma inne regułki. Wystarczy wypuścić ten serwer proxy, a on dla nas staje się takim elementem bezpieczeństwa webowego, czyli może dla nas zrobić podobną operację jak robi Next Generation Firewall. Czyli może blokować bądź też zezwalać ruch na podstawie kategoryzacji URL-i, rozszywać SSL-a, zaglądać co tam w środku, przeględać czy przypadkiem w ramach jakiegoś ruchu webowego nie jest przesyłany jakiś plik z zagrożeniem. Czyli w zasadzie to samo, co dla NGF-a, ale ukierunkowuje nasz HTTP. I dodatkowo ukierunkowane na to, że ta komunikacja jest niejako dwupołączeniowa. Czyli z jednej strony mamy połączenie od serwera proxy do klienta, a drugie od proxy do serwera docelowego. Jest to całkiem fajne rozwiązanie. Jest to rzadziej spotykane obecnie, natomiast ono jest bardzo dobre, jeśli chodzi o wydajność, no bo jest to dedykowane tejże komunikacji webowej, zatem takie rozwiązanie Web Proxy może znacząco odciążyć nasz firewall, który może zajmować się dużą ilością innych zadań. Tak że kiedy ja tego potrzebuję? Potrzebuję tego wtedy, kiedy nie mam Next Generation Firewalla i chciałbym nie zmieniać samego firewalla, pozostawić go, natomiast chciałbym mieć funkcjonalność filtrowania URL-i, bezpieczeństwo komunikacji webowej od klienta do internetu. Ewentualnie wtedy, kiedy mam tego Next Generation Firewalla, ale on zaczyna niedomagać pod względem wydajności. No i może wtedy warto na przykład go nie wymieniać w całości, tylko zainteresować się takim systemem proxy, czyli odciążyć go troszeczkę od ruchu. I teraz trochę temat w inną stronę, czyli Web Application Firewall, czyli coś, co jest też ukierunkowane na ochronę webowego ruchu, natomiast jest to ruch przychodzący. Czyli chronimy teraz nasze serwery, czyli coś, co mamy w naszych zasobach. Zatem od razu nasuwa się: kiedy tego potrzebuję? Kiedy udostępniam jakieś istotne, ważne serwery webowe. I po co mi taki WAF? Tak na to można powiedzieć. Wtedy, kiedy chcę się ochronić przed atakami typu cross-site scripting, directory traversal, SQL Injection i tak dalej, i tak dalej. Całą listę tych ataków publikuje taki fajny projekt, który się nazywa OWASP. I ten OWASP ma nawet listę top ten, czyli w ostatnim roku które zagrożenia webowe były najbardziej popularne. Można sobie to przejrzeć, przeczytać i się nad tym dobrze zastanowić. Czyli ten WAF to jest z kolei ochrona trochę podobna IPS-owi, ale dedykowanemu dla weba przy ruchu przychodzącym. IPS oczywiście jest szerszy, bo IPS oprócz tego weba zadziała też dla baz danych, zadziała dla ataków związanych ze skanowaniem i tak dalej, i tak dalej, a WAF niekoniecznie. Natomiast co ten WAF może zrobić jeszcze? Oczywiście może zrobić taką funkcję, że jest on też serwerem pewnego rodzaju proxy, natomiast tym razem reverse proxy. On po prostu może dla nas odbierać, terminować ruch od klientów i na przykład rozrzucać go na różne serwery wewnętrzne. Czyli będzie tak naprawdę load-balansował. Może robić SSL ofloading, czyli ściągać szyfrowanie SSL-owe na poziomie reverse proxy. To też nie jest bez znaczenia bo może też ściągać jakby obciążenie z naszych serwerów. Tu dosłownie w dwóch słowach takie najpopularniejsze ataki, przed którymi ten WAF nas ochroni, czyli cross-site scripting. I cross-site scripting polega ni mniej ni więcej, jeżeli mamy błędnie zaprojektowaną i wykonaną stronę webową, która pozwala [błąd dźwięku, niezrozumiałe]. Kiedyś były modne takie fora internetowe, które, powiedzmy sobie, pozwalały użytkownikowi coś tam wpisać. I dopóki naród wszem i wobec, w postaci programistów, nie doszedł do tego, że jednak trzeba by było sprawdzać, co ten użytkownik tam wpisuje, to niektórzy pisali znacznik scirpt, domykali ten script. To co między, to już pozwalało im, jeżeli mieli jakąś znajomość programistyczną, wprowadzić tam w zasadzie wszystko, czyli teraz jak ktoś odwiedzał tę stronę, to automatycznie odpalał mu się skrypt, którego wcale nie zaszył tam administrator tej strony. No słabe, czyli pozwalało zrobić całkiem sporo. Oczywiście dzięki OWASP-owi już znakomita większość z tych stron, która miała taką podatność, jest wyeliminowana i absolutnie nie funkcjonuje. Natomiast jeżeli nie ufamy naszym deweloperom, postawmy sobie WAF, a on za was takie problemy rozwiąże. SQL Injection, czyli drugi rodzaj ataku – znowuż jeżeli czegoś wyszukujemy, czyli z bazy danych jakiegoś produktu i chcemy ten produkt sobie z tej bazy danych wyciągnąć, to jeżeli nie zrobimy walidacji tego, co wprowadza nasz użytkownik, to on może na przykład zadać nam takie zapytanie, które zamiast produktu 999 spróbuje zrobić wyrażenie regularne, które zawsze jest true i tym samym wyciągnie na przykład wszystkie produkty. Może też zakończyć na przykład zapytanie średniczkiem, dalej sobie cokolwiek wpisać. Jeżeli nie mamy zabezpieczonej naszej bazy SQL-owej, może nawet usunąć rekordy z naszej bazy chociażby. Czyli konkluzja: WAF traci, jak mamy ważne serwery i do końca nie wierzymy naszym programistom, chociaż nawet jak im wierzymy, to lepiej takiego WAF-a postawić, bo on za nas troszeczkę zrobi dobrej roboty. Oczywiście może również rozrzucać ruch, czyli load-balansować, zrobić ofloading SSL-a. Całkiem fajne rzeczy, jeżeli mamy dużo ruchu przychodzącego od klientów z internetu do naszego serwera webowego. I ciekawy temat, który bardzo często jest pomijany, czyli ochrona DNS-a. Trzeba powiedzieć, że DNS, czyli Domain Name System nie był projektowany z myślą o bezpieczeństwie. Jest to tekstowy w zasadzie sposób do zmiany czegoś, co użytkownikowi human being, czyli człowiekowi jest bliskie, czyli nazwy na adres IP, który bliski mu nie jest. Jeszcze w warstwie IPv4 on może być bliski komuś, kto siedzi w tej branży, ale w modelu IPv6 na pewno bliski już prędko nie będzie. Zatem zamiana nazwy na adres IP odbywa się w taki sposób, jak tu jest pokazane na rysuneczku, czyli ktoś pyta nam o stronę www.cisco.com. Nasz resolwer rekursywny pyta kolejne serwery, w zasadzie zaczynając od rootowego, czyli tego, który odpowiada za… Jest jakby górą drzewa DNS-owego, odpowiada za kierowanie dalej. On mówi, że domena .com znajduje się na takim serwerze. To on grzecznie pyta tego, który odpowiada za domenę .com, gdzie znajduje się www.cisco.com. Mówi nam: cisco to jest taki serwer. I na tym ostatnim serwerze w rezultacie znajduje prawdopodobnie odpowiedź na temat DNS-a. A co się stanie, jeżeli gdzieś ktoś będzie nas próbował oszukać? A możliwości oszukania jest całkiem sporo. Serwery te gdzieś tam pośrodku, czyli gdzieś w naszych na przykład ISP jeszcze jakiś czas temu jeszcze były nieodporne na cache poisoning. Czyli ktoś mógł sam zapytać o adres lub samemu podesłać adres, który był adresem błędnym. Serwery cache’owały go i odpowiadały wszystkim innym błędnie na takie zapytania. To zostało wyeliminowane w 2008 roku. Natomiast cały czas tu mówimy o komunikacji nieszyfrowanej. Jeżeli ktoś w jakiś sposób przechwyci nasz ruch, to może na przykład próbować podszyć się pod DNS-a, czyli odesłać odpowiedź, która będzie zupełnie błędna. I to spowoduje, że my wylądujemy na innej stronie niż byśmy tak naprawdę chcieli. A co to znaczy, jak my wylądujemy na tej innej stronie? Wtedy może to być strona, która na przykład udaje stronę naszego banku. Oczywiście do tego dochodzą certyfikaty, SSL-e, możemy to sprawdzić. Ale co, jeżeli tego nie sprawdzimy? Albo jeżeli ktoś to zrobił bardzo sprytnie i w nazwie zmienił tylko jedną literkę, która wygląda bardzo, bardzo podobnie i wszystko się zgadza, bo certyfikat też jest odpowiedni dla tejże jednej literki. Mamy ataki typu Denial of Service. Mamy ataki, w zasadzie nie ataki, tylko kwestie związane z prywatnością, związane z tym, że każdy może sobie obejrzeć to, co my wysyłamy w naszych zapytaniach DNS-owych. No właśnie, czyli mamy możliwość dokładnego spoofowania. Ktoś może, czy to lokalnie, za pomocą ataków na warstwę drugą, nam podesłać, czy też na nasz router. Nasze routerki też często są niezbyt zabezpieczone. Mamy w przypadku public resolverów cache poisoning. I mamy tu wszędzie na tym etapie widoczność, czyli można zbierać informacje o naszych zapytaniach DNS. No i te tematy ochrony DNS-owej adresują protokoły DNSSEC, DNS over TLS, DNS over HTTPS. Który wybrać, który jest najlepszy?
One są w zasadzie do czego innego, bo DNS over TLS i DNS over HTTPS to są protokły, które chronią tę ostatnią linę, czyli nasze zapytanie do pierwszego naszego serwera DNS-owego. Czyli powiedzmy sobie gdzieś do serwera, który jest sobie, nie wiem, w ISP albo jest naszym serwerem DNS-owym, w naszych zasobach. Czyli warto DNS over TLS bądź też DNS over HTTPS zaimplementować. Chyba wygląda, że będzie warto zaimplementować DNS over HTTPS, ale o tym za moment. I DNSSEC. Ten DNSSEC jest ciekawym rozwiązaniem, bo on również na podstawie kryptografii, czyli PKI, pozwala nam powiedzieć, kto może udzielić zapytania na temat konkretnej domeny. Czyli podpis PKI również jest jakby zawarty w odpowiedzi, co powoduje, że nie może nikt, kto podszywa się pod konkretną domenę, wysłać nam odpowiedzi, która będzie autorytatywna. Czyli odpowiedź jest integralna i pewna, poświadczona, że dotyczy tejże domeny, DNSSEC jest czymś, co bardziej powinni implementować użytkownicy czy właściwie administratorzy serwerów DNS-owych. Natomiast my w ramach naszej infrastruktury powinniśmy zaimplementować
czy to DNS over TLS. Jest to normalne mechanizm TLS-owy, który szyfruje nam komunikację DNS-ową. Czyli jesteśmy pewni wszystkiego: prywatności, integralności i poświadczenia, że komunikujemy się z odpowiednim serwerem. Natomiast adopcja na przykład na serwerach to stan z 2020, chyba nadal utrzymany. Na komputerach z systemem Windows nie jest ten produkt jeszcze cały czas dostępny. I DNS over HTTPS, czyli przesyłamy po prostu 443. Tak naprawdę generalnie zajmuje się tym przeglądarka. Czyli wypadałoby i fajnie przyjrzeć się ochronie DNS-owej w zakresie komunikacji.
I to tyle. Dzisiaj chciałem powiedzieć o takim zróżnicowanym temacie ochrony dedykowanej konkretnym aplikacjom.
Dziękuję. Do zobaczenia w kolejnych odcinkach.
odcinek 4
Zarządzanie dostępem do sieci LAN
802.1x czyli brzeg jest też w LAN
Witam serdecznie. Piotr Szafran Network Eksperts. W dzisiejszym odcinku opowiem o 802.11 czyli zabezpieczeniem dostępu do sieci LAN.
Co to jest 802 X i owe zabezpieczenie.
No właśnie chroni nas przed połączeniem nieuprawnionego tudzież wrogiego urządzenia. Mianowicie wprowadza obowiązek uwierzytelniania przy podłącza się do sieci No może może nazwijmy to takim prostym przykładem. Jeżeli weźmiemy nasz komputer i weźmiemy pod uczymy się kablem do gniazdka to wyskoczy nam okienko logowania telegraf w skrócie bodaj najmniej hasło. I jak znamy nasze to hasło Czy na to dostajemy dostęp do sieci. Jeżeli nie to nie mamy dostępu absolutnie do niczego. Nasza stacja jest tak jak nie podłączona do sieci. Oczywiście to nie jest takie proste że to jest tylko najmniej hasło o tym lepsze są certyfikaty i inne metody ale w skrócie tak można to nazwać. Czyli logowanie się do sieci LAN albo w ogóle co to nam daje.
Eliminuje masę zagrożeń związanych z atakami na warstwę drugą czyli czyli to są takie podstawowe ataki które dają bardzo duże możliwości czyli wszystkie ataki typu tak jak chcesz z przez swoją stację przepuścić czyjś ruch no to fajnie mieć dostęp do sieci. Natomiast pamiętajmy że 802.11 nie analizujemy czy ktoś się co on tam robi potem tak to jest tylko moment podłączenia czy on może czy nie może czyli chronimy właśnie brzeg sieci. Dlatego bo dlaczego to wprowadzono. Tak bo kiedyś to uznawano że internet to jest bezpieczny przecież to jest proszę to jest bezpieczne. I tak było kiedyś natomiast należy przyjąć iż w obecnych czasach że jest to równie niebezpieczna strefa no bo jeżeli jeżeli jest duża firma o kilkanaście kilkadziesiąt czy kilkaset gwiazdek to one nie są pilnowany często są po prostu na korytarzu są skasowane. Można się potknąć i w atakach hakerskich takich Target gdzie trzeba wykazać zero jakiejś firmy może być po prostu dużo prostsze zanim zamiast walczyć z firewall em atakami z zewnątrz po prostu przynieść ze sobą jakieś urządzenie z modelem 4G podłączyć do gniazdka wrzucić to pod podłogę albo sufit i wręcz latami można zdalnie siedzieć w sieci i tak naprawdę robić wszystko próbować przeniknąć głębiej i dostać się do serwerów bo już praktycznie wtedy jesteśmy w środku takim przykładem tutaj systemu do realizującego 802 1 Mix jest Cisco ISE 4. Wiele funkcjonalności bo tak naprawdę to podstawową funkcjonalnością czyli kontrolą dostępu takim znakiem może być tak naprawdę serwer USA zwykły serwer Janus. Może być to funkcjonalność na Windowsie ale to są wszystko systemy które są dość słabo skanuje nie ma tylu możliwości dlatego jest to dużo więcej niż prosty 802.11 bo łączy w sobie cechy kontroli dostępu kontroli tożsamości analizy stacji monitoringu i tak naprawdę zarządzaniem całym systemem gościny. I kilka słów o ISE jaką to robi.
Więc przede wszystkim funkcjonalność ta postawa Rady USA czyli Unix autoryzacja do sieci bezprzewodowej bezprzewodowej i uwierzytelniania klientów VPN czyli tak można to nazwać że w środku mamy tą naszą bezpieczną sieć i wszystko co z zewnątrz się próbuje podłączyć. Nieważne jaką metodą będzie autoryzowany przez przez ISA. Oczywiście integruje się zz a d z etapem jest takim tworem który pozwoli nam utworzyć pewne polityki i po prostu reagować czy to sprawdzić coś także wadę czy sprawdzić certyfikację w innym miejscu czy w lokalnej bazie danych użytkowników. I tak możemy dzięki politykom i elastyczności możemy regulować dostęp do sieci ale oprócz tego że wiemy że Kowalski nie jest to dobre hasło to dobrze ale jest druga sprawa czyli autoryzacja drugie a czyli co może Kowalski. Najczęstszymi metodami jakie stosujemy to przydzielania im dachu jakiejś możliwości. Może być to dynamiczny film po prostu dostał jakiś film bo gdziekolwiek on wchodził to ile za nim krąży ten sam adres IP. Może dostać filtry Access listy Report. Bardzo często stosowana metoda jak się nie chce w korze szczególnie przy mobilność użytkowników bo po prostu jakąś polityka zabezpieczeń która jest na smyczy porcie końcowym tego użytkownika. Może tylko np. do dobrej części do budżetu czy do internetu i tancerka wziął się niechętnie za nim krąży bo ona jest dynamicznie przesyłane z US do ustawienia IP. I wiele innych dodatkowych opcji a to gówno. No właśnie co możemy jeszcze robić. Możemy analizę wykonywać analizę stanu czyli mamy. Ktoś się podłącza i musi mieć agenta. To jest jakiś moduł kiedykolwiek ciek który będzie analizował co ta stacja podłącza. Może i potrafi zrobić na przykład może sprawdzić czy ma aktualnego wirusa. Czy były jakieś wpisy w rejestrze czy czy stan jest zgodny z Z. Czy to nie jest komputer wyjęty sprzed roku z szuflady który jest nieaktualny może być przyniesione z domu nie patrzą wody więc przerzucić może do kwarantanny musimy się zaktualizować i dopiero potem dostaniemy dostęp do sieci czyli po szczur tzw. dalej czyli analiza właśnie tego ktoś podłączył. Z ciekawych rzeczy mamy też profilowane czyli klasyfikację urządzeń.
Bo jakby to było tak proste że wszyscy mieli dobrego działającego agenta. 1 X tak jakby to były komputery z Windowsem 10 to naprawdę to nie stanowi problemu. Natomiast jeżeli są to różne dziwne urządzenia szczególnie w środowisku fabrycznym są różne typy różne urządzenia i nie chcemy stosować uwierzytelniania Maków bo to już jest trochę rzeczywiście słabo chore chcemy go sfilmować i może podjąć decyzję polityk na podstawie właśnie profilu stacji czyli musi myśleć czy to jest rzeczywiście drukarka HP albo czy to jest taki a nie inny telefon. Na jakiej podstawie to robibierze. Wiele czynników bierze sobie Maka i de. Jak wygląda jakie. Jak się odczytuje nazwy. Może go nawet mapę i zobaczyć co to jest za host. Dzięki tym wszystkim akcjom podejmie jakąś decyzję z dużym prawdopodobieństwem. To taka taka końcówka i możemy zastosować taką politykę. Bardzo ciekawa rzecz jeśli chodzi o dynamice polityki. I troszeczkę machając 802 X a co jeszcze robi i Ice Cube stosujemy w naszej implementacji jak i co nasi klienci lubią stosować. To jest gest. No bo ISA jest w sobie budowanych ileś tam serwerów WWW możemy. To jest taki pełen gest portal z obsługą dla recepcji i drukowanie kartek. Możemy ustawić się dowolnie. Czy to będzie Steel Register że ktoś przychodzi sam się rejestruje czy drukuje te karteczki. Ta recepcja czy to jest sponsorowane czyli ktoś przychodzi podaje maila osoby do której przychodzi ta osoba dostaje maila i akceptuje dostęp do sieci bo tak też można zrobić.
Sposobów jest tutaj dużo. Mamy piękne portale budowane Wise możemy Custom bazować dowolnie grać w taki portal w wielu językach i po prostu taki dostęp będzie działał.
No i dodatkowo słów kilka o tajemniczej Bring Your Own Device. Takie mądre sformułowanie kiedy osoby przychodzą przynoszą swoje własne urządzenia i in it. Nie ma to niech zainstaluje tam jakiś certyfikatów dostępu do sieci ale chcemy działać bez klucza więc może sam zarejestrować swoje urządzenie i dostać dostęp do sieci korporacyjnej. Troszeczkę może ale na innych zasadach ale przychodzi prezes i ja chce ze swojego iPada sprawdzać pocztę. I może to zrobić. Okay to finiszu jeśli chodzi o ISE S i 802 X priorytet jak już Exploration firewall to taki priorytet numer dwa może półtora tak żeby jak się zabezpieczyliśmy z jednej strony to zrobić to też od środka. I ten system będzie chronił przed nieuprawnionym dostępem do sieci.
Dziękuję serdecznie.
odcinek 5
Systemy uwierzytelniające MFA
W tym odcinku Piotr Szafran opowiada o systemach uwierzytelniających oraz MFA.
Systemy centralizacji uwierzytelniania dostępu do zasobów są naturalną rzeczą w organizacji. Zamiast mieć niezależne hasła, to wygodniej jest to wszystko mieć spięte w jeden system. Najczęściej nasi klienci korzystają z Active Directory, czyli wszystkie aplikacje odwołują się do tego centralnego punktu uwierzytelniania i tam są przechowywane użytkownicy i hasła, tam mamy polityki haseł, zmiany haseł. Dzięki temu, że mamy Active Directory, to możemy rozbudowywać narzędzie poprzez tworzenie polityk, czyli określenie kto i gdzie może się dostać na podstawie przynależności np. do określonej grupy. Co możemy uwierzytelniać? Jaki możemy dać dostęp? Tego wszystkiego dowiesz się z 5 odcinka o systemach uwierzytelniających MFA.
W tym odcinku będę opowiadał o systemach uwierzytelniających oraz MFA.
Systemy centralizacji uwierzytelniania dostępu do zasobów, to jest naturalna rzecz w organizacji. Większość firm to robi. Zamiast mieć wszędzie niezależne hasła. Fajnie jest mieć wszystko spięte w jeden system. Najczęściej nasi klienci korzystają z Active Directory, czyli wszystkie aplikacje odwołują się do tego centralnego punktu uwierzytelniania i tam są przechowywane tylko użytkownicy i hasła, tam mamy polityki haseł, zmiany haseł. I to jest takie jedno miejsce uwierzytelniania. Dzięki temu, że mamy AD, możemy rozbudowywać to poprzez tworzenie polityk. Kto, gdzie może dostać się na podstawie przynależności chociażby do grupy. Co możemy uwierzytelniać? Jaki dostęp? Oczywiście dostęp do LAN-u do WLAN-u, do VPN-a, urządzeń sieciowych i aplikacji. Ale jest to z natury jednoskładnikowe. Czyli podajemy username i hasło. Natomiast MFA – Multi Factor Autentication czyli po polsku uwierzytelnianie dwuskładnikowe ma na celu bronić nas przed atakami słownikowymi, Brute Force’m tudzież po prostu zwykłym phishingiem – wykradaniem haseł. Więc jak ogólnie aplikacje… Może zaczynając od strony aplikacyjnej: jak ktoś może nas zaatakować? Dlaczego? Dlaczego może ktoś dostać się do naszych zasobów?
Może przede wszystkim próbować robić Brute Force’a na naszą aplikację czy na zdalny dostęp, czy na dowolną rzecz, która wymaga username i hasła. Automatywalny słownik Brute Force słownikiem. Ala ma kota. Ala ma kota 1. Ala ma kota 2, itd. Możemy się tym oczywiście zabezpieczyć, chociażby poprzez wydłużenie czasu pomiędzy kolejnymi logowaniami, żeby to niebyło tak że możemy 100 razy na sekundę spróbować wywołać próbne logowanie, ale np. raz na trzy sekundy. Ewentualnie po pięciu błędnych logowaniach może wyskakiwać informacja, że trzeba poczekać kilka minut. To jest normalne w systemach, więc ten Brut Forceowanie haseł tym sposobem nie jest wcale proste. Natomiast są czasami systemy, które nie tyle przesyłają hasło, co przesyłają tylko i wyłącznie hash tego hasła. Przechowują ten hash. Ale to również. Jak przechwyciły ten hash, to oczywiście posiadając bardzo dużo kart graficznych, tak jak na rysunku, możemy próbować policzyć z jakiego hasła jest hash. Bo przypomnę to jest jednostronna funkcja generująca długi ciąg znaków. Jednostronna funkcja, czyli z „Ala ma kota” powstaje 128-bitowyciąg pseudolosowych znaków i tylko z „Ala ma kota” taki ciąg się wytwarza. Natomiast mając ten ciąg bardzo trudno jest policzyć z czego to wynika. A wręcz nie da.To taka jednostronna funkcje matematyczna. Lepiej jest po prostu brać sobie „aaa” hashować: Jakie mamy aab? Jaki jest hash? I porównywać z tym, który mamy przechwycony. Tak możemy to próbować łamać. Oczywiście to nie jest tylko tak, że musimy te hashe Brute Forsować. Jak mamy skomplikowane hasła kilkunastoznakowe to rzeczywiście trzeba jechać tutaj. Można próbować jechać takim Brute Forcem. Natomiast w internecie znajduje się bardzo dużo baz danych, haseł które już kiedyś wyciekły i hashy, które już wyciekły. To jest bardzo ważne, bo jeżeli nasza księgowa używa tego samego hasła, co na komputerze firmy, używa jeszcze w jakimś sklepie internetowym, który nie jest bezpieczny. I jeżeli taki sklep będzie zhakowany, to z dużym prawdopodobieństwem ten hash już wycieknie i będzie gdzieś w bazach jako znaleziony. Już wcale nie szukamy Brut Forcem, tylko wystarczy znaleźć tego samego hasha i zobaczyć, gdzie on się znajduje. No właśnie, bo ataki na hasła to jest najpowszechniejsza metoda ataków na firmy. Bo naprawdę szukanie day zero czy walczenie z firewallem, z IPS-ami jest dużo bardziej skomplikowane. Łatwiej jest zaatakować hasło, mieć hasło, username’a, po prostu zalogować się do jakichś zasobów, jako ktoś inny. I to jest główne ryzyko. Jest bardzo dużo, teraz wszystko przenosi się do internetu. Rokrocznie wyciekają miliony danych z różnych sklepów internetowych, a nie tylko. Nawet z bardzo dużych firm wyciekają te dane. Te hasła wyciekają. Hasła, a potem tworzone są hashe tych haseł. Jak ktoś przechwycił gdzieś hash, to o to dużo łatwiej trafić i spróbować się zalogować. Chociażby jeden ze sposobów Brute Force’a to jest przejechanie całej bazy 2 tysięcy najpopularniejszych haseł. I próbujemy się logować na jedną osobę. Albo całą bazą. Będzie to na pewno szybciej niż randomowo zmienianie liter. Więc tak: większość ataków to rzeczywiście ataki na hasła. Ataki na wykradanie i ich podstawianie i logowanie się jako ktoś.
Jak można temu zapobiec?
Mianowicie tutaj mamy tylko Cisco Duo, czyli właśnie chmurowe rozwiązanie Multi Factor Autentication uwierzytelniania 2-składnikowego wieloskładnikowego. Tak jak podobnie jest to znane z banków to co już mamy wszyscy, widzimy jak się logujemy albo jak wysyłamy przelewy. To wyskakuje czy sms czy Push z aplikacji. Jest próba logowania. Przepisz, podaj to hasło. Wtedy nawet jak coś wykradli, nasze hasło albo zgadli hasło, to musimy to potwierdzić niezależnym kanałem komunikacji, więc Dostanie się do takiej aplikacji nagle się staje nieskończenie bardziej trudne. I co robi DUO? DUO generuje, tak jak większość systemów, działa dość podobnie, bo one wszystkie opierają się na tym, że mamy jakiś klucz. Pomiędzy dwoma stronami jest jakiś zapisany klucz i mamy czynnik zmienny. Najczęściej jest to czas. I połączenie tych dwóch czynników daje nam wygenerowany jakiś one time password. I dwie strony porównują czy w tej chwili, o tej godzinie to się zgadza z obu stron. Ten one time password. Więc nie wymaga to często bycia online, synchronizacji wzajemnej. Jest to dobrze przemyślane, dobrze zrobione i bardzo wzmacnia bezpieczeństwo. Jedyny problemy z takimi systemami jest to wtedy, kiedy gdzieś tam się czas rozjeżdża. Jeśli czas nie jest pilnowany nie jest synchronizowany, to rzeczywiście w systemach wieloskładnikowych problemy mogą występować. No właśnie, ale powiedzmy kilka słów o DUO. Tak jak mówiłem, chmurowa i tylko chmurowa aplikacja, która ma na celu zabezpieczyć 2-składnikowo jakąkolwiek aplikację korporacyjną. To jest bardzo ważna rzecz o licencjonowaniu. Bo kupujemy licencjonowanie użytkownika. Jako inżynier będę podawał przykłady, które mi są dobrze znane, czyli zabezpieczenie VPN-ów. Natomiast kupując licencję na pięciu użytkowników to nie znaczy, że możemy zabezpieczyć użytkowników VPN. My możemy mieć pięciu użytkowników, których każdy ma 10, 50 albo 200 aplikacji zabezpieczonych w ten sam sposób. A ilość integracji jest niesamowita. Na stronie DUO jest to bardzo przejrzyście przygotowane. Wybieramy aplikacje, możemy sobie oczywiście wszystkie VPN-y. Możemy sobie zabezpieczyć dostęp do Claude’a, web aplikacji i wszystko co (niezrozumiałe) Edup-em czy innymi metodami. Łącznie z tym, że możemy zabezpieczyć SS hammer serwera. Więc wszystko możemy zabezpieczyć i dostać jak się logujemy, dostać powiadomienie na aplikacji. To jest takie domyślne, wyskakuje. Zresztą my to stosujemy w firmie. Jak ja się loguję do VPN-a, podaje login i hasło wyskakuje w telefonie: „Jest próba logowania taka i taka. Potwierdzasz?” Bardzo proste, do szybkiego wdrożenia. Możemy też używać SMS-ów a nawet połączeń telefonicznych. To jest po prostu odrobinę droższe. Przykład integracji z AnyConnectem. Poniżej 30 minut rzeczywiście szybko to zajmuje, a zajmuje kilka sekund. Tak jak mówiłem, AnyConnect to zależy czy na ASA czy na FTD, bo integruje się z jednym i drugim. Można przepisywać te kody jednorazowe tokeny, które generujemy przy autoryzacji albo po prostu wbijamy username i hasło to wyskakuje nam push. Łatwe, proste i przyjemne. Co jest najważniejsze? Jeżeli mamy dobrze znane hasło albo wiele osób się loguje, no to nikt nam nie będzie się próbował zalogować jako my. Musimy to potwierdzić na tym jednym konkretnym telefonie. Nawet mieliśmy taką sytuację, że jakaś grupa serwisowa używała. zbiorczego loginu i hasła ale aplikacja mogą być tylko na jednym telefonie. I to jest też dodatkowe zabezpieczenie, żeby ktoś nie próbował logować zamiast nas.
Dlaczego zabezpieczamy AnyConnecta i zdalny dostęp?
Oczywiście uodparniamy się w naturalny sposób na ataki słownikowe, na hasła użytkowników. To jest mniej istotne. Chyba ważniejsze, że uodporniamy się na ataki typu phishing. Każda próba wydobycia z naszych userów hasła, loginu czy próby podszycia się pod niego, będą zabezpieczone. Bo jeśli ktoś siedzi w domu, czyta książkę i dostaje nagle powiadomienie na telefonie, że próbuje się logować do VPN, to już widać, że coś jest coś nie tak. Inne ciekawe integracje. Mnie jako inżyniera sieciowego będzie na pewno interesował TACACS dostęp do urządzeń sieciowych. Tak, jak ktoś się loguje, administrator to loguje się do jakiegoś routera czy firewalla, może potwierdzić swoje credentiale właśnie dodatkowym składnikiem. Co jeszcze?
Z takich ciekawostek. Taka mała ciekawostka: integracja tak jak mówiliśmy Cisco integruje się, stara się integrować wszystko ze wszystkim. DUO ostatnio zostało zintegrowane z AMPEM mianowicie jak człowiek ma te swoje aplikacje i loguje się do nich a jednocześnie anty maleware zainstalowane na swoim komputerze, czyli taki lepszy Antivirus, możemy powiedzieć. Trochę nieprawdę mówię. Jeżeli ten AM wykryje u nas jakieś złośliwe oprogramowanie, to poinformuje DUO, żeby zablokować dostęp do wszystkiego. Tak żeby nie móc się logować z zawirusowaną stacją. To jest taki przykład jednej z integracji.
Kiedy potrzebujemy Multi Factory Autentication?
Szkoląc z Duo, to chłopaki mówili, że oczywiście idealistycznie zawsze potrzebujemy, ale nikt tego nie potrzebuje przeważnie na początku, bo biznes się rozwija, nikt o tym nie myśli. A potem przychodzi kompromitacja haseł. I oni mówią że to jest najczęstsze, że ktoś próbuje logować, że te credentiale wyciekły, ktoś siedzi u nas w sieci. Wtedy jest panika. Wtedy jest panika bo mamy masę aplikacji, biznes i tak naprawdę zmieniamy te hasła, nie wiemy komu zmienić: czy wszystkim? A i się okazuje, że ktoś już siedzi w środku, więc wtedy najczęściej bardzo szybko jest niestety wdrażane MFA. Ten inżynier opowiada, że w firmie, która zatrudnia tysiące osób są w stanie zrobić integrację z dziesięcioma podstawowymi aplikacjami np. w ciągu dwóch godzin. Bo wszystko jest dobrze opisane, wszystko jest przygotowane właśnie na stronach DUO i można bardzo szybko dodatkowo zabezpieczyć swoją sieć, żeby nikt nie chodził po naszej sieci.
Ale kiedy potrzebujemy?
Oczywiście wtedy, kiedy wystawiamy interfejs do logowania na świat. (niezrozumiałe) VPN daje nam dostęp do całej sieci zewnętrznej. Ale moim zdaniem tak naprawdę do wszystkich zasobów, które są na świecie wystawione na świat, chociażby przez stronę webową, bo takie systemy też możemy zabezpieczyć. A są tam istotne dane, bo jeżeli wystawimy naszego CRM-a do chmury i tam będą informacje o wszystkich zamówieniach, wszystkich fakturach, wszystkich klientach i zabezpieczymy to prostym hasłem, nie będzi nad tym kontroli i ktoś będzie mógł tam słownikiem przez dwa tygodnie próbować się do niego zalogować i w końcu mu się uda. Możemy mieć biznesowy bardzo duży problem.
To chyba tyle w tym odcinku.
Dziękuję państwu serdecznie i do usłyszenia.
odcinek 6
Bezpieczeństwo WLAN
Bezpieczeństwo sieci bezprzewodowej bywa często zaniedbywane. Wydaje Ci się, że jeżeli do Twojej (firmowej) sieci potrzeba loginu i hasła, to jest to wystarczające zabezpieczenie? Niestety nic bardziej mylnego. Dzięki temu odcinkowi dowiesz się jakie zagrożenia czyhają na Twoją sieć i co możesz zrobić, aby zminimalizować ryzyko włamania oraz m.in. jak dowiedzieć się kto przeprowadza atak, jeżeli takowy wystąpił, a także dowiesz się, jakie dokładnie zabezpieczenia możesz wprowadzić, aby zabezpieczyć swoją sieć bezprzewodową, tak aby nikt niepowołany nie mógł się do niej dostać.
W tym odcinku będę opowiadał o systemach uwierzytelniających oraz MFA.
Systemy centralizacji uwierzytelniania dostępu do zasobów, to jest naturalna rzecz w organizacji. Większość firm to robi. Zamiast mieć wszędzie niezależne hasła. Fajnie jest mieć wszystko spięte w jeden system. Najczęściej nasi klienci korzystają z Active Directory, czyli wszystkie aplikacje odwołują się do tego centralnego punktu uwierzytelniania i tam są przechowywane tylko użytkownicy i hasła, tam mamy polityki haseł, zmiany haseł. I to jest takie jedno miejsce uwierzytelniania. Dzięki temu, że mamy AD, możemy rozbudowywać to poprzez tworzenie polityk. Kto, gdzie może dostać się na podstawie przynależności chociażby do grupy. Co możemy uwierzytelniać? Jaki dostęp? Oczywiście dostęp do LAN-u do WLAN-u, do VPN-a, urządzeń sieciowych i aplikacji. Ale jest to z natury jednoskładnikowe. Czyli podajemy username i hasło. Natomiast MFA – Multi Factor Autentication czyli po polsku uwierzytelnianie dwuskładnikowe ma na celu bronić nas przed atakami słownikowymi, Brute Force’m tudzież po prostu zwykłym phishingiem – wykradaniem haseł. Więc jak ogólnie aplikacje… Może zaczynając od strony aplikacyjnej: jak ktoś może nas zaatakować? Dlaczego? Dlaczego może ktoś dostać się do naszych zasobów?
Może przede wszystkim próbować robić Brute Force’a na naszą aplikację czy na zdalny dostęp, czy na dowolną rzecz, która wymaga username i hasła. Automatywalny słownik Brute Force słownikiem. Ala ma kota. Ala ma kota 1. Ala ma kota 2, itd. Możemy się tym oczywiście zabezpieczyć, chociażby poprzez wydłużenie czasu pomiędzy kolejnymi logowaniami, żeby to niebyło tak że możemy 100 razy na sekundę spróbować wywołać próbne logowanie, ale np. raz na trzy sekundy. Ewentualnie po pięciu błędnych logowaniach może wyskakiwać informacja, że trzeba poczekać kilka minut. To jest normalne w systemach, więc ten Brut Forceowanie haseł tym sposobem nie jest wcale proste. Natomiast są czasami systemy, które nie tyle przesyłają hasło, co przesyłają tylko i wyłącznie hash tego hasła. Przechowują ten hash. Ale to również. Jak przechwyciły ten hash, to oczywiście posiadając bardzo dużo kart graficznych, tak jak na rysunku, możemy próbować policzyć z jakiego hasła jest hash. Bo przypomnę to jest jednostronna funkcja generująca długi ciąg znaków. Jednostronna funkcja, czyli z „Ala ma kota” powstaje 128-bitowyciąg pseudolosowych znaków i tylko z „Ala ma kota” taki ciąg się wytwarza. Natomiast mając ten ciąg bardzo trudno jest policzyć z czego to wynika. A wręcz nie da.To taka jednostronna funkcje matematyczna. Lepiej jest po prostu brać sobie „aaa” hashować: Jakie mamy aab? Jaki jest hash? I porównywać z tym, który mamy przechwycony. Tak możemy to próbować łamać. Oczywiście to nie jest tylko tak, że musimy te hashe Brute Forsować. Jak mamy skomplikowane hasła kilkunastoznakowe to rzeczywiście trzeba jechać tutaj. Można próbować jechać takim Brute Forcem. Natomiast w internecie znajduje się bardzo dużo baz danych, haseł które już kiedyś wyciekły i hashy, które już wyciekły. To jest bardzo ważne, bo jeżeli nasza księgowa używa tego samego hasła, co na komputerze firmy, używa jeszcze w jakimś sklepie internetowym, który nie jest bezpieczny. I jeżeli taki sklep będzie zhakowany, to z dużym prawdopodobieństwem ten hash już wycieknie i będzie gdzieś w bazach jako znaleziony. Już wcale nie szukamy Brut Forcem, tylko wystarczy znaleźć tego samego hasha i zobaczyć, gdzie on się znajduje. No właśnie, bo ataki na hasła to jest najpowszechniejsza metoda ataków na firmy. Bo naprawdę szukanie day zero czy walczenie z firewallem, z IPS-ami jest dużo bardziej skomplikowane. Łatwiej jest zaatakować hasło, mieć hasło, username’a, po prostu zalogować się do jakichś zasobów, jako ktoś inny. I to jest główne ryzyko. Jest bardzo dużo, teraz wszystko przenosi się do internetu. Rokrocznie wyciekają miliony danych z różnych sklepów internetowych, a nie tylko. Nawet z bardzo dużych firm wyciekają te dane. Te hasła wyciekają. Hasła, a potem tworzone są hashe tych haseł. Jak ktoś przechwycił gdzieś hash, to o to dużo łatwiej trafić i spróbować się zalogować. Chociażby jeden ze sposobów Brute Force’a to jest przejechanie całej bazy 2 tysięcy najpopularniejszych haseł. I próbujemy się logować na jedną osobę. Albo całą bazą. Będzie to na pewno szybciej niż randomowo zmienianie liter. Więc tak: większość ataków to rzeczywiście ataki na hasła. Ataki na wykradanie i ich podstawianie i logowanie się jako ktoś.
Jak można temu zapobiec?
Mianowicie tutaj mamy tylko Cisco Duo, czyli właśnie chmurowe rozwiązanie Multi Factor Autentication uwierzytelniania 2-składnikowego wieloskładnikowego. Tak jak podobnie jest to znane z banków to co już mamy wszyscy, widzimy jak się logujemy albo jak wysyłamy przelewy. To wyskakuje czy sms czy Push z aplikacji. Jest próba logowania. Przepisz, podaj to hasło. Wtedy nawet jak coś wykradli, nasze hasło albo zgadli hasło, to musimy to potwierdzić niezależnym kanałem komunikacji, więc Dostanie się do takiej aplikacji nagle się staje nieskończenie bardziej trudne. I co robi DUO? DUO generuje, tak jak większość systemów, działa dość podobnie, bo one wszystkie opierają się na tym, że mamy jakiś klucz. Pomiędzy dwoma stronami jest jakiś zapisany klucz i mamy czynnik zmienny. Najczęściej jest to czas. I połączenie tych dwóch czynników daje nam wygenerowany jakiś one time password. I dwie strony porównują czy w tej chwili, o tej godzinie to się zgadza z obu stron. Ten one time password. Więc nie wymaga to często bycia online, synchronizacji wzajemnej. Jest to dobrze przemyślane, dobrze zrobione i bardzo wzmacnia bezpieczeństwo. Jedyny problemy z takimi systemami jest to wtedy, kiedy gdzieś tam się czas rozjeżdża. Jeśli czas nie jest pilnowany nie jest synchronizowany, to rzeczywiście w systemach wieloskładnikowych problemy mogą występować. No właśnie, ale powiedzmy kilka słów o DUO. Tak jak mówiłem, chmurowa i tylko chmurowa aplikacja, która ma na celu zabezpieczyć 2-składnikowo jakąkolwiek aplikację korporacyjną. To jest bardzo ważna rzecz o licencjonowaniu. Bo kupujemy licencjonowanie użytkownika. Jako inżynier będę podawał przykłady, które mi są dobrze znane, czyli zabezpieczenie VPN-ów. Natomiast kupując licencję na pięciu użytkowników to nie znaczy, że możemy zabezpieczyć użytkowników VPN. My możemy mieć pięciu użytkowników, których każdy ma 10, 50 albo 200 aplikacji zabezpieczonych w ten sam sposób. A ilość integracji jest niesamowita. Na stronie DUO jest to bardzo przejrzyście przygotowane. Wybieramy aplikacje, możemy sobie oczywiście wszystkie VPN-y. Możemy sobie zabezpieczyć dostęp do Claude’a, web aplikacji i wszystko co (niezrozumiałe) Edup-em czy innymi metodami. Łącznie z tym, że możemy zabezpieczyć SS hammer serwera. Więc wszystko możemy zabezpieczyć i dostać jak się logujemy, dostać powiadomienie na aplikacji. To jest takie domyślne, wyskakuje. Zresztą my to stosujemy w firmie. Jak ja się loguję do VPN-a, podaje login i hasło wyskakuje w telefonie: „Jest próba logowania taka i taka. Potwierdzasz?” Bardzo proste, do szybkiego wdrożenia. Możemy też używać SMS-ów a nawet połączeń telefonicznych. To jest po prostu odrobinę droższe. Przykład integracji z AnyConnectem. Poniżej 30 minut rzeczywiście szybko to zajmuje, a zajmuje kilka sekund. Tak jak mówiłem, AnyConnect to zależy czy na ASA czy na FTD, bo integruje się z jednym i drugim. Można przepisywać te kody jednorazowe tokeny, które generujemy przy autoryzacji albo po prostu wbijamy username i hasło to wyskakuje nam push. Łatwe, proste i przyjemne. Co jest najważniejsze? Jeżeli mamy dobrze znane hasło albo wiele osób się loguje, no to nikt nam nie będzie się próbował zalogować jako my. Musimy to potwierdzić na tym jednym konkretnym telefonie. Nawet mieliśmy taką sytuację, że jakaś grupa serwisowa używała. zbiorczego loginu i hasła ale aplikacja mogą być tylko na jednym telefonie. I to jest też dodatkowe zabezpieczenie, żeby ktoś nie próbował logować zamiast nas.
Dlaczego zabezpieczamy AnyConnecta i zdalny dostęp?
Oczywiście uodparniamy się w naturalny sposób na ataki słownikowe, na hasła użytkowników. To jest mniej istotne. Chyba ważniejsze, że uodporniamy się na ataki typu phishing. Każda próba wydobycia z naszych userów hasła, loginu czy próby podszycia się pod niego, będą zabezpieczone. Bo jeśli ktoś siedzi w domu, czyta książkę i dostaje nagle powiadomienie na telefonie, że próbuje się logować do VPN, to już widać, że coś jest coś nie tak. Inne ciekawe integracje. Mnie jako inżyniera sieciowego będzie na pewno interesował TACACS dostęp do urządzeń sieciowych. Tak, jak ktoś się loguje, administrator to loguje się do jakiegoś routera czy firewalla, może potwierdzić swoje credentiale właśnie dodatkowym składnikiem. Co jeszcze?
Z takich ciekawostek. Taka mała ciekawostka: integracja tak jak mówiliśmy Cisco integruje się, stara się integrować wszystko ze wszystkim. DUO ostatnio zostało zintegrowane z AMPEM mianowicie jak człowiek ma te swoje aplikacje i loguje się do nich a jednocześnie anty maleware zainstalowane na swoim komputerze, czyli taki lepszy Antivirus, możemy powiedzieć. Trochę nieprawdę mówię. Jeżeli ten AM wykryje u nas jakieś złośliwe oprogramowanie, to poinformuje DUO, żeby zablokować dostęp do wszystkiego. Tak żeby nie móc się logować z zawirusowaną stacją. To jest taki przykład jednej z integracji.
Kiedy potrzebujemy Multi Factory Autentication?
Szkoląc z Duo, to chłopaki mówili, że oczywiście idealistycznie zawsze potrzebujemy, ale nikt tego nie potrzebuje przeważnie na początku, bo biznes się rozwija, nikt o tym nie myśli. A potem przychodzi kompromitacja haseł. I oni mówią że to jest najczęstsze, że ktoś próbuje logować, że te credentiale wyciekły, ktoś siedzi u nas w sieci. Wtedy jest panika. Wtedy jest panika bo mamy masę aplikacji, biznes i tak naprawdę zmieniamy te hasła, nie wiemy komu zmienić: czy wszystkim? A i się okazuje, że ktoś już siedzi w środku, więc wtedy najczęściej bardzo szybko jest niestety wdrażane MFA. Ten inżynier opowiada, że w firmie, która zatrudnia tysiące osób są w stanie zrobić integrację z dziesięcioma podstawowymi aplikacjami np. w ciągu dwóch godzin. Bo wszystko jest dobrze opisane, wszystko jest przygotowane właśnie na stronach DUO i można bardzo szybko dodatkowo zabezpieczyć swoją sieć, żeby nikt nie chodził po naszej sieci.
Ale kiedy potrzebujemy?
Oczywiście wtedy, kiedy wystawiamy interfejs do logowania na świat. (niezrozumiałe) VPN daje nam dostęp do całej sieci zewnętrznej. Ale moim zdaniem tak naprawdę do wszystkich zasobów, które są na świecie wystawione na świat, chociażby przez stronę webową, bo takie systemy też możemy zabezpieczyć. A są tam istotne dane, bo jeżeli wystawimy naszego CRM-a do chmury i tam będą informacje o wszystkich zamówieniach, wszystkich fakturach, wszystkich klientach i zabezpieczymy to prostym hasłem, nie będzi nad tym kontroli i ktoś będzie mógł tam słownikiem przez dwa tygodnie próbować się do niego zalogować i w końcu mu się uda. Możemy mieć biznesowy bardzo duży problem.
To chyba tyle w tym odcinku.
Dziękuję państwu serdecznie i do usłyszenia.
odcinek 7
Bezpieczeństwo DNS
Czym są serwery DNS i jakie niebezpieczeństwa są związane z atakami na serwery DNS? Czy da się zablokować nasz internet?
W tym odcinku Piotr Ksieniewicz przedstawia w obrazowy i zrozumiały sposób jak poprawić bezpieczeństwo serwerów DNS, i dlaczego ten problem jest ważny dla każdego z nas!
Dzień dobry. Piotr Ksieniewicz, firma Network Expert. Chciałem w naszym cyklu poświęconym zagadnieniom bezpieczeństwa teleinformatycznego i portfolio urządzeń bezpieczeństwa teleinformatycznego powiedzieć o bezpieczeństwie DNS czyli Domain Name System, czyli systemu rozwiązywania nazw na adresy IP.
Tak jak widać tutaj na rysunku. Którym posługujemy się na co dzień, ale zapominamy o jego bezpieczeństwie.
Dlaczego to bezpieczeństwo jest dla nas bardzo ważne?
Wprowadzając adres strony internetowej, poczty, na której chcemy wysłać, do której chcemy wysłać mail posługujemy się w oczywisty sposób czymś, co jest zbliżone do naszej ludzkiej mowy, nie chcemy do końca posługiwać się adresami IP.
Oczywiście dla niektórych posługiwanie się adresami IP V4 pewnie nie byłoby niczym strasznym, taka mała dygresja, natomiast w momencie, kiedy przejdziemy na IP V6 jednak zapamiętanie tego wszystkiego, w tej formie nie jest łatwe i przejrzyste, dlatego od długiego czasu, od wielu lat systemy internetowe bazują na nazwach dla użytkowników, które są łatwe do zapamiętania i system w tle DNS odwzorowuje nam nazwy na adres IP. Robi to w sposób rekursywny, czyli jeśli zapytamy o cisco.com to najpierw pytany jest serwer odpowiedzialny za Root, czyli drzewo domenowe, wierzchołek tego drzewa, który mówi, gdzie jest obsługiwany subfragment tego drzewa w zakresie com, ten zakres com mówi, gdzie jest obsługiwane cisco.com i cisco.com mówi, gdzie dokładnie znajduje się serwer obsługujący www.cisco.com, prosty przykład. Dlaczego mówimy, że ten DNS jest dla nas ważny w zakresie bezpieczeństwa? Jest szereg ataków, które mogą być kierowane na system DNS.
Pierwszym rodzajem tych ataków to Cache Poisoning on wprawdzie tak naprawdę pojawił się w okolicach roku 2008 i szybko zostały dziury w serwerach DNS załatane. Ten atak polegał na tym, że w zasadzie było łatwo zmusić ten serwer DNS do scashowania, czyli zapamiętania nieprawidłowej odpowiedzi. Wystarczyło, że atakujący tak naprawdę zapytał ten serwer DNS o jakiś konkretny adres www.test.pl, po czym przysłał również z tego samego komputera niejako odpowiedź, która była przez serwer DNS, czyli nieautorytatywną odpowiedź, która była przez serwer DNS scashowana, czyli zapamiętywana. Tym samym kierował ruch do konkretnej domeny, do zasobu, który sam zaplanował. Dodatkowo istnieją możliwości spoofowania, porywania niejako zapytań DNSowych czy to na podstawie ataków np. na warstwę drugą, które pozwalają w momencie, kiedy ktoś wysyła zapytanie DNSowe, udzielić odpowiedzi zupełnie innej, niż udzielanej przez prawomyślny serwer DNSowy. Bądź też przechwycić tę odpowiedź w locie i podmienić ją w locie, tak żeby uzyskać, skierować ruch klienta do konkretnego zasobu.
Oczywiście jest również szereg ataków typu Denial of Service, czyli wykorzystanie serwerów DNS na przykład do zdosowania, czyli przeciążenia zasobów. Amplification attacks, czyli atak, który polega na tym, że tak naprawdę wysyłamy zapytania z różnych zasobów, z różnych IP-ów, z różnych komputerów o jakiś konkretny adres, ale spoofując, podstawiając niejako adres tego pytającego jako tenże atakowany adres tak, czyli w momencie, kiedy wiele komputerów np. taki botnet gdzieś w naszej sieci, naszej sieci Internet zapyta serwery DNS o konkretną nazwę udając, że są naszym adresem IP w naszej sieci, a ta cała komunikacja opiera się o UDP, czyli jest to w jakiś sposób możliwe, bo nie wymaga nawiązania sesji o serwer DNS. Serwery DNS odpowiedzą na nasz adres IP z dużo dłuższym pakietem niż pakiet zapytania. Jeżeli tych zapytań będzie bardzo, bardzo dużo to mogą serwery DNS przeciążyć naszą sieć, nasze zasoby. Oczywiście w DNS-ie każdy może, ponieważ jest to… Cała komunikacja wysyłana jest tekstem nieszyfrowanym, każdy może podsłuchać, zobaczyć o co my pytamy, wyciągnąć z tego rozmaite wnioski, mniej lub bardziej dla nas dobre. No właśnie, to tutaj na przykład, gdzie na rysunku jeżeli korzystamy z sieci np. publicznej, ktoś może nam tutaj podłożyć odpowiedź DNS-ową, powiedzieć jakby serwer, z którym chcemy się komunikować np. serwer naszego banku to jednak jest zupełnie inne IP niż naprawdę prawdziwy serwer banku i wysłać nas w to miejsce, podstawiając tam stronę, która będzie próbowała wyciągnąć od nas np. informacje o logowaniu. Oczywiście tu dalej wchodzą w grę jeszcze zabezpieczenia związane z SSL-em, https. Ale może już się jakoś uda również je pominąć. To jest temat na inne dywagacje. Później u ISP, czyli naszego Providera internetowego, te serwery DNS również mogą podmieniać, może zaufajmy temu naszemu Providerowi, że tego nie robi, aczkolwiek oczywiście tam również są ludzie i ktoś może taką akcję u nich również wykonać, ale przede wszystkim może sobie pozbierać informacje o tym, kto, gdzie, do czego wchodzi, również cenzurować nasz internet, czyli tak naprawdę teraz popularna metoda czy da się, czy da się nasz internet zablokować tak, żebyśmy nie mogli wchodzić na Facebooka tak jak np. chce nasz rząd. W ten sposób dla pewnych przypadków by się dało. Oczywiście są metody obejścia tego, ale przy dywagacji o czystym DNS-ie. Jest to jakaś metoda, że np. w tym miejscu możemy zastosować cenzurę. Co by nie powiedzieć również część metod, o których już mówiliśmy, czyli np. ochrona urządzeń mobilnych również korzysta z ochrony bazującej na DNS-ie, także tym DNS-em można zrobić całkiem sporo nawet o tym nie wiedząc. I później mamy już serwery Public Resolverów, które mogą byćatakowane właśnie Cache Poisoningiem, czyli zatruwaniem cache’a, a conto, tak jak mówiłem, spaczowane gdzieś w okolicach 2008, ale warto również mieć na uwadze czy na pewno serwery, z których korzystamy są w tym temacie bezpieczne.
Jak chronić ten nasz protokół DNS?
No jest kilka pomysłów na to, pierwszy krok to tak naprawdę taki pomysł, w którym mówi, że będziemy korzystać z […], czyli tak naprawdę to co serwer DNS-owy nam przysyła w odpowiedzi. Sprawdzimy za pomocą klucza prywatnego i publicznego czy jest prawidłowe, czyli odpowiedź DNS-owa będzie musiała być podpisana niejako, a ja z kolei będę w stanie, za pomocą klucza publicznego, sprawdzić, czy ten podpis jest prawdziwy, czyli czy nikt mnie nie oszukuje. Czyli ten DNS Sec tak naprawdę chroni nas przed zagrożeniami związanymi z integralnością odpowiedzi DNS-owej oraz z poświadczeniem czy jest ono autentyczne. Nie zapewnia prywatności, DNS Sec jest czymś, co w zasadzie powinni […] dostawcy naszych DNS-ów, czyli tutaj ISP i Public Resolvery. Czyli tymi na końcówce, na urządzeniach nie powinniśmy się przejmować, natomiast w momencie, kiedy korzystamy z ISP może warto się z nimi skontaktować i sprawdzić czy oni taki protokół mają wdrożony, jak oni zabezpieczają się przed zagrożeniami związanymi z obsługą DNS-a, warto o tym pamiętać. Natomiast w momencie, kiedy mówimy o tej komunikacji […] czyli ta nasza komunikacja z naszego komputera do naszego serwera DNS, również należy ją zabezpieczyć. Jak to zabezpieczyć? No należałoby go zabezpieczyć poprzez użycie np. protokołu DNS over TLS. To jest mechanizm, który w zasadzie pakuje zapytania DNS-owe do protokołu TLS. Działa to przy porcie 853 […] Zapewnia integralność i poświadczenie, że komunikujemy się z… Odpowiednim urządzeniem, natomiast uwaga, niestety jakby wspieramy to cały czas, ten protokół nie jest np. w systemach Windows, czyli adopcja protokołu postępuje, natomiast nie postępowała tak szybko i prawdopodobnie tenże pomysł zostanie zastąpiony przez DNS over HTTPS, czyli jak zaszycie tego protokołu zapytań DNS-owych w warstwie przeglądarki, czyli w ramach HTTP 2, czyli protokołu komunikacji związanej z Webem, czyli ustawienia de facto migrują do przeglądarki i w tej przeglądarce włączona jest obsługa DNS-a, który zapewnia zarówno prywatność, integralność komunikacji jak i oświadczenie, że komunikujemy się z odpowiednim serwerem. Tutaj należy wybrać w jaki sposób obsługiwać naszą ostatnią milę w komunikacji DNS-owej, tak żeby uodpornić się na zagrożenia związane z obsługiwaniem nieszyfrowanego i niepoświadczonego […] Fakt, że tutaj warto rozważyć zarówno temat prawidłowej obsługi i bezpieczeństwa DNS-owego […] Usługi internetowej i usług komunikacji jak i naruszał ostatnio Miller poprzez zastosowanie DNS jeśli taka możliwość lub DNS HTTPS, który prawdopodobnie zdaje się być tym rozwiązaniem, które wygra.
odcinek 8
Ochrona urządzeń mobilnych
W jaki sposób zabezpieczyć urządzenia mobilne, takie jak np. laptopy, tak aby nie stanowiły zagrożenia dla Twojej sieci?. W obecnych czasach, gdy wielu pracowników przeniosło się z biur do pracy w domu, ochrona urządzeń mobilnych stała się sprawą priorytetową i bezwzględnie konieczną. Dlaczego jest to tak istotne? jakie zagrożenia mogą wynikać ze źle zabezpieczonych urządzeń, mimo iż ktoś pracuje u siebie w domu? Zapraszamy do obejrzenia nagrania, w którym dowiesz się jakie narzędzia mogą wesprzeć Cię w ochronie i co możesz dzięki nim zrobić, aby zwiększyć bezpieczeństwo swojej sieci teleinformatycznej.
Dzień dobry! Piotr Ksieniewicz, firma Network Expert. Chciałem w naszym cyklu poświęconym różnorakim zabezpieczeniom sieci, tak naprawdę całej infrastruktury teleinformatycznej, powiedzieć trochę o ochronie urządzeń mobilnych, czyli w zasadzie o ruchomym brzegu sieci.
Można sobie wyobrazić, że tak naprawdę jeszcze jakiś czas temu, kiedy wszystkie komputery były mniej lub bardziej stacjonarne, tak jak widać to na tym slajdzie, tym brzegiem były firewalle czyli coś, o czym rozmawialiśmy w poprzednim, krótkim odcinku poświęconym Next Generation Firewall. Natomiast niestety teraz zwłaszcza warunki panndemiczne sprawiły, że trzeba ten komputer zabrać ze sobą do domu. I to stało się powszechne. Nikt nie robi tego w ten sposób, jak ten miły pan na slajdzie, który ten komputer trzyma w zasadzie tak, jak tragarze wody w Indiach. Są dużo bardziej przenośne urządzenia. Sprowadziło się to do tego, że jeżeli kiedyś mieliśmy takie rozwiązanie, które nasz brzeg sieci czyniło brzegiem rzeczywiście związanym z tym, że mieliśmy sieć firmową, składającą się więcej lub jednego LAN-u. I brzeg składający się zazwyczaj z firewalla oraz podłączenie do internetu, to pewnym problemem stało się to, że teraz komputery i urządzenia mobilne przeniosły się w znakomitej ilości do internetu, czyli to, co kiedyś zapewniało bezpieczeństwo, następnie czyli firewall, musi się pojawić również tutaj. To powoduje, że musimy porozmawiać i zastanowić się nad zagadnieniem bezpieczeństwa urządzeń mobilnych. To bezpieczeństwo urządzeń mobilnych adresują systemy takie filtrujące, czyli troszeczkę udające firewall. Najczęściej na bazie DNS-a. Tutaj proponujemy takie bardzo fajne rozwiązanie Cisco Umbrella.
Rozwiązanie Cisco Umbrella jest de facto rozwiązaniem Security i tak, jak powiedziałem bazującym na DNS-ie, który potrafi wyłapywać zagrożenia jeszcze zanim one tak naprawdę do naszego urządzenia się dostaną. Bardzo proste w implementacji. Pozwala na kategoryzację URL, czyli na blokowanie dostępu na
podstawie pewnej kategorii URL. W zasadzie w tej chwili stało się pewnego rodzaju, tak jak powiedziałem, priorytetem dla tych urządzeń, które sobie tutaj przebywają gdzieś w domach czy też poza firmą. Tak samo ważnym, jak rozwiązania z gatunku Next Generation Firewall.
Dlaczego jest to ważne?
Tak jak powiedziałem, Cisco Umbrella adresuje bezpieczeństwo poprzez warstwę DNS-a, czyli w momencie, kiedy wysyłamy zapytanie do rozwiązania adresu w formie przyswajalnej dla człowieka na adres IP, Cisco Umbrella, jako ten nasz serwer DNS, udziela nam odpowiedzi, częściowo pozwalając na blokowanie odpowiedzi i dostępu do niebezpiecznych miejsc. O czym mówimy jeżeli mówimy? O niebezpiecznych lokalizacjach, mówimy o lokalizacjach na przykład takich, które są pewnego rodzaju phishingiem. Takich, na których jest malware czyli jest obfita kategoria stron skategoryzowanych jako absolutnie niebezpieczne. Co więcej, potrafi również stać się deszyfratorem SSL-a, potrafi chronić i regulować dostęp do chmury.
A przede wszystkim ważne w nich jest to, że ona korzysta tak naprawdę z gigantycznego zbioru zagrożeń Fred Intelligence, zbierane go codziennie przez Cisco. Ten zbiór to Cisco Talos, czyli coś, co stanowi jakby serce i logikę całego rozwiązania.
Tak jak powiedziałem, Umbrella może pozwala nam na to, że urządzonka swobodnie migrują między dowolnym sieciami, zapewniając praktycznie taki sam poziom bezpieczeństwa, jak w przypadku przebywania w sieci LAN-owej. I co fajne jest w Umbrelli, ona chroni również w momencie, kiedy już doszło do ataku. Czyli jakieś inne zabezpieczenie typu Antivirus nam nie pomógł. I na przykład na naszym komputerze pojawił się jakiś ransomware, który próbuje wysyłać na przykład klucz do zaszyfrowania naszego dysku. Temu naszemu atakującemu, czyli komuś, kto później od nas zażąda okupu i ewentualnie udostępni nam ten klucz do odszyfrowania. W tym momencie wkracza Umbrella i Umbrella taki ruch blokuje. Czyli już na etapie, że w zasadzie jesteśmy pod wpływem jakiegoś niebezpiecznego oprogramowania, Umbrella potrafi sobie poradzić w tym momencie. Tak samo blokuje komunikację typu Command and Control i wszelkie niebezpieczne destynacje. I to, co powiedziałem. Dużą zaletą Umbrelli jest to, że za nią stoi Cisco Talos, czyli tak naprawdę zbierane z wszystkich rozwiązań Security Cisco informacje o zagrożeniach, czyli 1,9 Tb artefaktów mailowych, czyli artefaktów, czyli maili z rozmaitymi zagrożeniami. 2,2 tryliona artefaktów widzianych dziennie 200 bilionów zapytań DNS-owych.
To wszystko widzi Talos, to systemy częściowo zapewne również bazujące na sztucznej inteligencji, ale przede wszystkim to zespół kilkuset inżynierów Security Researches, którzy na bieżąco przeglądają ciekawe nowe zdarzenia, nowe strony z zagrożeniami. I to wszystko kategoryzują, opisują, próbują reagować na te zdarzenia, czyli tak naprawdę tutaj w grę wchodzi wręcz taki sok dla działań internetowych, tak można na to sobie popatrzeć.
Co warto nadmienić? Cisco Umbrella jest bardzo łatwe we wdrożeniu, bardzo tanie, ponieważ może kosztować rzędu 1-2 dolara. Jest to subskrypcja na użytkownika, na pojedynczego użytkownika. Jest to darmowe rozwiązanie na 30 dni. Można sobie przetestować. Zapraszamy. Wdrożymy coś takiego jak najbardziej i chętnie zapraszamy do kontaktu w tym zakresie.
Alternatywą dla tych ludzi, którzy przemieszczają się i wychodzą poza naszą sieć, jest potraktowanie w taki sposób, że nie ma (niezrozumiałe) aby ich zmusić do tego, żeby (niezrozumiałe) i ten tunel VPN-owy ma (niezrozumiałe) przed zalogowaniem, czyli zanim pojawi się tak naprawdę pytanie o użytkownika i hasło. Ten tunel mi tutaj powstanie i cały czyli wszystko, co będzie leciało do internetu będzie (niezrozumiałe) do internetu, czyli napiszemy koślawym pismem „internet”. (niezrozumiałe) to tak naprawdę Remote VPN który startuje mi, zanim zacznie się cała komunikacja. I on nie pozwala (nizezrozumiałe) z maszyną, która jest maszyną powiedzmy sobie zdalną, na komunikację bezpośrednio z Internetu. Zabronione jest wychodzenie, jeżeli ktoś by chciał, tak nie można, takie są możliwości. I co ciekawe, tak naprawdę to zabezpieczenie tych użytkowników mobilnych jest czymś absolutnie przymusowym. W tej chwili tak naprawdę musimy to zabezpieczyć, również na tym etapie. Dlaczego? Z bardzo prostej przyczyny: zabezpieczenia naszej infrastruktury teleinformatycznej są tak dobre, jak najsłabszy punkt tych zabezpieczeń. Jeżeli zezwolimy komputerom powiedzmy sobie firmowym, które przechowują względnie istotne informacje, mają dostęp do istotnych informacji na bezpośredni kontakt z internetem, to tak jak byśmy tak naprawdę poczynili wszystkie inwestycje (niezrozumiałe) infrastrukturę. W zasadzie mniej celowymi, bo olbrzymią dziurę stanowi to, czyli nasz brzeg sieci wyniesiony do lokalizacji, w których są użytkownicy.
Dziękuję bardzo. Zapraszam do oglądania kolejnych filmików.
odcinek 9
Narzędzia ochrony końcówek
Ochrona komputerów, urządzeń mobilnych i wszystkich urządzeń, którymi posługują się użytkownicy. Co im zagraża i jak je chronić?
Kontynuując nasz cykl portfolio produktów bezpieczeństwa, produktów security, przegląd rozwiązań dla narzędzia ochrony końcówek, czyli komputerów, urządzeń mobilnych, tak naprawdę tych urządzeń IT, którymi posługują się użytkownicy. W oczywisty sposób powiedzieliśmy już do tej pory o rozwiązaniach anti-malware, anti-virus na tych końcówkach. Natomiast nie zajęliśmy się do tej pory rozwiązaniami dbającymi o spójną konfigurację, o zabezpieczenie tych urządzeń pod względem konfiguracyjnym.
Tutaj co moge powiedzieć, pewną dobrą robotę zrobiła firma Microsoft. Działania tej firmy doprowadziły z czasem do powstania u większości firm podobnego sposobu zarządzania końcówkami, bazującego na Microsoft Active Directory i wykorzystującego Group Policy Object, czyli GPO. Gropu policies dają nam de facto możliwość uczynienia centralizowanych ustawień z perspektywy serwerów wymuszających te ustawienia na wszystkich komputerach będących członkami domeny. Można w ten sposób zarządzać wszelkimi ustawieniami, od ustawień wręcz
estetycznych, kończąc po aspekty związane z zarządzaniem software’m, definiowaniem, które i jakie aplikacje mogą być zainstalowane, definiowaniem update’ów, czyli tego kiedy pobieramy oprogramowanie aktualizacyjne, jak często, jak to jest robione. To wszystko można w zasadzie zrobić z poziomu GPO. Oczywiście są pewnego rodzaju ułatwiacze, które nad tym GPO potrafią fajnie dodatkowo zapanować. Natomiast rozsądne wykorzystanie GPO daje już bardzo fajne efekty i można w dużej mierze zabezpieczyć swoje komputery, użytkowników komputery końcowe w taki sposób, że ich konfiguracja będzie spójna i bezpieczna.
Oczywiście należałoby w pewnym stopniu powiedzieć, co znaczy bezpieczna. Dostaliśmy tylko i wyłącznie narzędzie, które pozwala tę konfigurację ustawiać. Natomiast Microsoft domyślnie nie aplikuje konfiguracji, którą uważa za bezpieczną na poziomie swojego GPO. I te GPO, które Microsoft sugeruje jako Security Baseline, są dostępne. Można sobie wyszukać takie hasło GPO Security Baseline. Pod tym adresem, który znajdziemy w dowolnej wyszukiwarce, znajdzie się taka strona, która tutaj jest podana w tymże miejscu, po to, żeby można było pobrać bazowe ustawienia GPO dla best security practice. Oczywiście warto przyjrzeć się tym ustawieniom, nie ma co robić na ślepo, gdyż mogą kolidować w pewnym stopniu z naszymi potrzebami, co nie zmienia faktu, że można i są narzędzia również z tej strony microsoftowej dostępne, które pozwalają porównywać nasze GPO z tymi rekomendowanymi przez Microsoft. To jest bardzo fajne rozwiązanie. Polecam to co pewien czas robić.
Są również ciekawe materiały ze strony Cisecurity, które pokazują, jak bezpiecznie skonfigurować swoje końcówki. I również warto by temu się przyjrzeć po to, żeby nasze komputery były maksymalnie, przynajmniej te wyposażone w system Microsoft, maksymalnie zabezpieczone. Co warto zauważyć, oczywiście za pomocą tego GPO z poziomu komputera z będącego członkiem domeny i będącego oczywiście systemem bazujących na Microsofcie, możemy uczynić w zasadzie nawet prawie stację terminalową, czyli ograniczyć prawa użytkownika do wszystkiego,
łącznie nawet z lokalnym dyskiem. Tak że to jest wszystko wykonalne, może niekoniecznie rekomendowane, ale warto na ten aspekt również zwrócić uwagę.
Natomiast powstaje problem: co z systemami niemicrosoftowymi? Tutaj rzeczywiście jest pewnego rodzaju niespójność, jeżeli pomyślimy sobie o zwykłych telefonach, które są telefonami Androida czy te bazujące na systemie Apple’a, czy też system Mac-os. Takiego gotowego rozwiązania, wszytego w już istniejące domeny, nie mamy. Musimy posłużyć i wręcz powinniśmy się posłużyć czymś, co pozwala na zarządzanie konfiguracją tych urządzeń w sposób centralny i takim systemem jest MDM, czyli Mobile Device Management. Co taki dobry Mobile Device Management powinien robić? Powinien zarządzać w oczywisty sposób politykami i konfiguracją
urządzeń – od bezpieczeństwa, tego, co kto może na tym urządzeniu zrobić, czy może korzystać z aparatu czy też nie może, albo czy aplikacja może korzystać z
aparatu. To jest wszystko, co powinniśmy mieć dostępne w takim Mobile Device
Managemencie. Powinniśmy mieć możliwość zdalnego instalowania, wymuszania instalacji czy też blokowania instalacji nieautoryzowanych programów. Powinno być wszyte i to też jest fajny temat, w zasadzie coś, co zahacza o nasz fragment poświęcony szyfrowaniu dysków, czyli powinniśmy szyfrować, mieć możliwość centralnego sterowania szyfrowaniem, czy to jakiegoś kontenera, folderu czy lokalizacji. Powinno być zarządzanie poprawkami, czyli pobieranie automatyczne aktualizacji, zdalne usuwanie konfiguracji danych w przypadku, kiedy urządzenie byłoby skradzione. Dobrze byłoby, żeby był to system również, który umożliwia backup, czyli tak fajnie, szeroko również możemy sobie na przykład wykopiować. Ważne jest również to, żeby można było zarządzać konfiguracją sieciową, czyli żeby na przykład można było ograniczyć, że dany czy to komputer, czy urządzenie mobilne jednak niekoniecznie w standardowym profilu może łączyć się z dowolną siecią.
O zagrożeniach związanych z łączeniem się z sieciami niekoniecznie bezpiecznymi: gościnnymi, hotelowymi, w kawiarniach można by nakręcić cały osobny odcinek i to staraliśmy się również omówić. Warto mieć nad tym kontrolę.
W ramach rozwiązań Cisco mamy całkiem fajne rozwiązanie MDM Cisco Meraki. Kupując rozwiązanie Meraki, dostajemy niejako w niektórych wypadkach w gratisie to rozwiązanie, natomiast można je również kupić osobno. To rozwiązanie pozwala na realizację większości tychże czynników, o których powiedziałem przed chwilką.
Są oczywiście rozwiązania również konkurencyjne. Tutaj, jak pokazałem, rozwiązanie, które Mobile Device Managementem dla rozwiązań Apple, czyli w pełni zarządza aplikacjami, urządzeniami, wszystko zbiera, zapewnia całkowite security.
Ciekawy temat przy zarządzaniu końcówkami, czyli tymi urządzeniami w jakiś sposób w posiadaniu użytkownika, czyli stanowiącymi dla nich interfejs, dla całej sieci i sposób wejścia danej sieci do rozwiązań teleinformatycznych, czy będą to komputery, czy będą to urządzenia mobilne, to kwestie związane z portami USB czy też w zasadzie wolnymi portami, które pozwalają nam na instalację oprogramowania, sterowników, dodatkowych urządzeń. Dlaczego o tym mówię? Jest taka specyficzna metoda phishingu, która nazywa się baiting. Jest to taka przynęta. Na przykład rozrzucone zostaną po firmie czy gdzieś pod firmą pendrive’y. Użytkownik zaciekawiony, co jest na tym pendriv’ie, wpina ten pendrive do komputera. Ten pendrive może mieć różne ciekawe rzeczy na sobie. Na przykład może urywać klawiaturę, czyli może zainstalować się jako klawiatura w naszym systemie i przesłać jakieś konkretne wymuszone ciągi znaków, na przykład disablując naszego antywirusa, pobierając coś z sieci, uruchamiając ten program. To w zasadzie zostanie jako skrypt zaszyte w tej klawiaturze. Oczywiście nie będzie to klawiatura, w której użytkownik prowadzi z nią jakąś interakcję, tylko klawiatura w której ktoś zapisał jakiś konkretny skrypt. Oczywiście może być tych przykładów znacznie więcej. To, co może się uruchamiać z tego USB-ka, może być zupełnie innym rozwiązaniem. Dlatego powinniśmy szczególną uwagę zwracać na to, co użytkownik może do swojego komputera, do swojego urządzenia dopiąć i to zabezpieczyć w taki sposób, żeby nie mógł dopinać. Po prostu. W oczywisty sposób to nie tylko możliwość zaszkodzenia nam w jakiś specyficzny sposób poprzez instalację, ściągnięcie, pobranie, modyfikację naszego komputera, ale też coś, co użytkownik może zrobić, podpinając dysk, eksportując na ten dysk, dajmy na to, jakąś bazę użytkowników. Czyli wtedy mówimy o tzw. Data Link Protection, czyli w zasadzie nasze porty i możliwość podpięcia się do dowolnego portu to również dziura, która pozwoli wyprowadzić dane poza naszą infrastrukturę. I niektóre rozwiązania MDM mają jak najbardziej taką kontrolę portów USB czy też instalowanego oprogramowania wbudowaną. Czyli możemy ograniczać działania użytkowników w tym zakresie.
Tak jak mówiłem, w innych odcinkach poruszone są rozwiązania typu antivirus czy też typu EDR, XDR. EDR to Endpoint Detection and Response. To już jest coś, co troszeczkę próbuje działać powyżej antywirusa, który działa niejako jednostkowo na jednostkowym komputerze, ale coś, co próbuje już korelować zdarzenia z wielu endpointów, czyli na przykład jakieś podobne pobrania plików zaczynają być traktowane jako coś podejrzanego. Extended Detection and Response to korelacja zdarzeń nie tylko z endpointów, ale też z logów systemowych, z Network Traffic Analysis, czyli z jakiś systemów bazujących na NetFlow i z SIEM-a, czyli narzędzia które zostało powołane niejako do tego, żeby korelować logi i zbierać wszystkie informacje. I takim XDR-em jest na przykład Cisco SecureX. Cisco SecureX – fajne rozwiązanie, które tak naprawdę dostajemy za darmo w momencie, kiedy posiadamy
inne produkty Security Cisco. To urządzenie, to rozwiązanie chmurowe, bo to w zasadzie nie jest dla nas urządzenie, może i potrafi nauczyć się współpracy między tymi wszystkimi rozwiązaniami, czyli np. z Cisco AMP-a, Cisco Umbrelli z Threat Response. To wszystko zostaje zintegrowane w jednym interfejsie, który pozwala w łatwy sposób zarządzać naszym bezpieczeństwem, śledzić propagację zagrożeń, pokazywać, co dzieje się w naszej sieci, tak jak jest to pokazane tutaj na dashboardzie. Ten dashboard przedstawia przykładowe ustawienia dla SecureX, który – tak jak powiedziałem – ściąga rozwiązania na przykład z Threat Response, czyli z systemu, który pozwala na śledzenie propagacji zagrożeń, czyli śledzi Cisco Umbrellę, czyli coś, co na bazie DNS-a w głównej mierze blokuje komunikację z zagrożeniem. Również zagrożenia z Cisco AMP, czyli w zasadzie rozwiązania -można powiedzieć – antimalware’owego z Cisco, są tutaj brane pod uwagę, ale również można do tego dołożyć komunikację z modułu Firepower czy też z urządzeniem Next Generation Firepower, z Threat Grida, czyli sandboxa z firmy Cisco oraz ze Stealthwatcha, czyli z rozwiązania NTA, czyli Network Traffic Analysis, czyli taki, który analizuje to, co dzieje się w sieci i na tej podstawie wnioskuje o pojawiających się zagrożeniach. To wszystko może zostać skorelowane i obrobione, tak żeby konkretne zagrożenie można było maksymalnie prześledzić. Czyli tu mamy pokazane na przykład jakieś zdarzenie, które SecureX wyłapał. To narzędzie związane jest zaanektowało nam rozwiązanie, które na podstawie ruchu sieciowego dokonało obserwacji i stwierdziło, że dany ruch jest niestandardowy, należy się temu dalej przyjrzeć. I tu mamy pełen opis tego, czego dana komunikacja dotyczyła, z jakimi adresami IP. To wszystko jest klikalne i de facto daje również taką możliwość od razu stworzenia z tej perspektywy zadania, case’a dla, było nie było, takiego już w zasadzie systemu SOK-owego, czyli dla jakiegoś analityka SOK-u, tak żeby była własność tego zdarzenia i tak żeby można było dalej je pilotować i dalej na nie odpowiadać. I na przykład można sobie to konkretne zdarzenie obejrzeć, jak ono przebiegało, czyli korzystając z narzędzia Cisco Threat Response, zobaczyć skąd tak naprawdę do nas to zagrożenie przyszło, co ono zrobiło, dokąd się przemieściło, z czym się łączyło. To wszystko w sposób graficzny będzie można zobaczyć.
Jeszcze jedno bardzo ciekawe narzędzie, które jest częścią Cisco AMP, czyli Cisco Antimalware Protection, to Cisco Orbital. Ten Cisco Orbital jest fajnym systemem, który pozwala nam wyszukiwać wszelkie dowody na ewentualne skompromitowanie naszego systemu. Jeżeli mamy tak zwany indicator of compromise, czyli wiemy na przykład na bazie jakiegoś CVE, że było zagrożenie, co skutkowało modyfikacją konkretnego klucza rejestru, dodaniem pliku, który startuje jako serwis na przykład na komputerach i coś niedobrego na tych wszystkich komputerach robi, to my możemy, korzystając z narzędzia Cisco AMP, nawet jeżeli ono się jeszcze nie nauczyło takiego… A zapewne już to zrobiło, bo pewnie jest szybsze niż my. Jeżeli by się nie nauczyło takiego konkretnego zagrożenia i nie wie, że ten konkretny plik jest jakimś problemem, chociaż tak jak omawialiśmy, Cisco AMP może to zrobić niejako wielopłaszczyznowo, bazując po pierwsze na sygnaturach, podpisach w zasadzie tego pliku, kończąc na zachowaniu tego pliku. Ale powiedzmy, że nie rozpoznał tego jako zagrożenia albo ten plik został gdzieś usunięty czy też, nie wiem, to zagrożenie jest cały czas uśpione, możemy nasze komputery niejako skwerendować, zapytać jak dużą bazę danych, czy któryś z naszych komputerów posiada przypadkiem dany klucz rejestru, posiada dany plik, posiada dany serwis, tak żeby odpowiedzieć sobie na pytanie, czy to zagrożenie gdzieś u nas wystąpiło i czy ono tak naprawdę już u nas dokonało jakiejś modyfikacji naszych naszych komputerów, po to, żeby w oczywisty sposób je odwiedzić i spróbować to zagrożenie wyeliminować.
Kolejnym narzędziem ochrony końcówek, takim w zasadzie bardziej podstawowym, ale bardzo, bardzo przydatnym jest Host IDS, czyli coś, co z poziomu tej końcówki będzie w zasadzie zbierało logi, analizowało ruch sieciowy, analizowało rejestry, analizowało pliki.
Czasami korzystamy, często korzystamy z rozwiązania OSSEC, czyli czegoś, co może być nawet rozwiązaniem zupełnie darmowym. Oczywiście jest to agent funkcjonujący na końcowej stacji, który dostarcza nam wielu różnych ciekawych informacji, na przykład takich jak monitorowanie integralności plików. Czyli możemy patrzeć na to, czy pewne foldery, pewne pliki nie uległy zmianie. Na co patrzeć? W oczywisty sposób w systemach klasy Windows patrzymy na lokalizację C:\windows\system32, bądź też C:\Program Files, C:\Program Files (x86). W tych folderach chcielibyśmy, żeby… Jeżeli na przykład użytkownik nie ma prawa, w zasadzie taki
liniowy użytkownik nie powinien mieć prawa modyfikacji oprogramowania, dodawania oprogramowania, żeby w tych plikach niewiele zachodziło. Czyli żeby nie następowały zmiany i taki Host IDS potrafi monitorować integralność tych plików, czyli czy nic nie uległo zmianie, a jeżeli uległo, to co? Oczywiście tutaj również podane przykładowe katalogi dla systemów typu Linux i Unix, co możemy monitorować? Możemy monitorować również rejestr w oczywisty sposób. Orbital już powiedzieliśmy i to kończyłoby niejako naszą wypowiedź na temat narzędzi ochrony końcówek rozumianych jako komputery.
Mówiliśmy o MDM-ach, mówiliśmy o Host IDS-ach, mówiliśmy o systemie Cisco SecureX. W oczywisty sposób coś, co było poruszone wcześniej, czyli rozwiązanie AV, antywirusowe również tutaj wchodzą w grę.
Dziękuję bardzo. Do usłyszenia w kolejnych odcinkach.
odcinek 10
Ochrona przed denial of service – czyli ochrona przed atakiem DDOS.
Jaki jest cel w ogóle ataku Denial of Service? Co to jest?
Ten atak ma na celu jedno: wyłączyć nas z działania. On nie ma wykraść danych. Czasami może maskować pewne czynności harkerskie, ale zasadniczo jego celem jest jedno: nasz zasób ma przestać działać. Czy jest to strona www, czy jest to jakiś serwis, ma po prostu to nie działać dla normalnych użytkowników. Taki jest cel tego ataku. I teraz mamy kilka typów tych ataków i różne sposoby obrony przed nią.
Dlatego zachęcamy do obejrzenia nagrania, by poznać typy ataków hakerskich oraz dowiedzieć się w jaki sposób się przed nimi ochronić.
Witam serdecznie. Piotr Szafran. W dzisiejszym odcinku chciałem opowiedzieć o ochronie przed atakami typu Denial of Service.
Jaki jest cel w ogóle ataku Denial of Service? Co to jest?
Ten atak ma na celu jedno: wyłączyć nas z działania. On nie ma wykraść danych. Czasami może maskować pewne czynności harkerskie, ale zasadniczo jego celem jest jedno: ma nasz zasób nie działać. Czy jest to strona www, czy jest to jakiś serwis, ma po prostu to nie działać dla normalnych użytkowników. Taki jest cel tego ataku. I teraz mamy kilka typów tych ataków i różne sposoby obrony przed nią.
Pierwszego typu gdzie będziemy o czym, mówić to jest atak na zasoby serwerów. Czy CPU czy na połączenia. Wygląda to tak, że po prostu nagle bardzo dużo sztucznych klientów, tzw. botów próbuje np. odwiedzić naszą stronę. To jest najprostszy typ ataku. Wiadomo, są botnety, które składają się po 5, 10 czy 100 tysięcy urządzeń przejętych przez oprogramowanie złośliwe i te boty oczekują czasem z jakiejś kamerki czy zainfekowane komputery dostają w pewnym momencie instrukcje od swojego serwera Command Control, że mają np. otwierać stronę czy tam oczywiście w cudzysłowie otwierać stronę, ale łączyć się ze stroną wp.Pl dajmy na to. Jeżeli 100 tys. takich hostów na raz będzie próbowało 100 razy na sekundę otworzyć tą stronę, to po prostu wysyci to zasoby i możliwości obsługi tego ruchu przez stronę serwerową. I oprócz tych stu tysięcy ludzi czy botów, które próbują to tworzyć tak przyjdzie dodatkowo normalnych dziesięciu użytkowników, to prawdopodobnie nie zobaczą zupełnie nic. To jest taki typ ataku.
Mamy jeszcze oczywiście ataki typu na zasoby sieci, na pasmo. Są to wolnometryczne ataki, kiedy zalewamy po prostu dane łącze. Podobnie przy użyciu botnetu najczęściej. Jeżeli weźmiemy te 100 tysięcy końcówek i każda z nich wyśle 100 pakietów na sekundę, dostaje taką instrukcję: generuj 100 pakietów tak do danego celu w ciągu sekundy. One bez problemu to zrobią każdą końcówkę, powstanie jakiś ruch niewielki. Natomiast gdzieś z całego internetu jak się zbierze w jednym miejscu to się nagle okaże że to nie jest 100 pakietów na sekundę, tylko razy 100 tys. daje to 100 milionów pakietów na sekundę uderzających w stronę tego serwera. Wtedy nawet jak ktoś ma łącze z serwerowni ma 10 giga łącza, to jego łącze po prostu zostanie wysycone absolutnie tym ruchem i żaden normalny pakiet się tam nie przeciśnie. To nie jest tylko problem oczywiście dla samej końcówki, dla tej serwerowni, dle tego serwera, bo on już dawno nie ma internetu. Jest to często problem dla jego operatora, bo też dostaje załóżmy 5, 10, 100 czy 1 Tb ruchu, którego po prostu nie jest w stanie obsłużyć. Często aż problemy odczuwają operatorzy polscy a nwet globalni.
No i trzeci typ ataku, o którym dużo nie będę mówił. To są ataki na sieć WLAN. Mianowicie okazuje się, że bardzo łatwo jest spowodować, żeby WLAN nie działał. Co prawda ciężej jest to zdalnie, bo trzeba być fizycznie. Natomiast ataki chociażby na deautentykację i wysyłanie jakichś ramek tak, żeby nasza sieć WLAN nie działała. Okazuje się, że jest wbrew pozorom bardzo, bardzo proste. Jeżeli byśmy chcieli podjechać pod jakiś magazyn i spowodować, żeby w nim WiFi nie działało, to rzeczywiście daje się to zrobić. To też jest atak typu Denial of Service.
Ok, ale jak się chronić przed tymi atakami?
Zacznijmy od wolumetryków, bo to taka prostsza rzecz. No właśnie. Rozmiar tych ataków z roku na rok rośnie, botnety rosną, tego ruchu generuje się, bo już ochrona przed pięcioma czy dziesięcioma gigami ruchu, to jest żaden problem. Ale jak ktoś zostanie 2 Tb, to tak jak w przypadku USA, to już problem jest naprawdę duży. Więc te ataki cały czas przybierają na sile i mają cały czas rosnąć. Jak się przed tym chronić?
No właśnie, trudne do obrony. Myśmy kiedyś nawet zrobili, cały czas realizujemy projekt Stop Flow, gdzie analizujemy flowy z routera i próbujemy się cały czas chronić. Natomiast to jest rozwiązanie, akurat Stop Flow jest rozwiązaniem dla dla operatorów. Cały czas analizujemy ten ruch. Gdy jest po prostu dużo, to blackholujemy ruch do danego abonenta. Chodzi o to, że poświęcamy jednego abonenta, żeby pozostałe tysiące mogły dobrze działać. Tak więc to jest idea Stop Flow. Natomiast jest to trudne do obrony, bo najlepiej to robić z użyciem operatora. Bo co my możemy zrobić? Jak już ten ruch przyjdzie, to niewiele. Chyba, że będziemy po prostu próbowali w ratingu czegoś nie ogłaszać i pewne adresy wyłączać, ale do tego też potrzebny jest BGP. Jak mamy zwykłą, ostateczną adresację taką firmową bez redundancji, to tak naprawdę musimy się opierać na operatorze i ewentualnie na usłudze. Tylko pamiętajmy, że są dwa typy obrony, to jest też warto wspomnieć.
Pierwsza obrona to jest to, przed czym się będzie bronił operator, to jest to żeby jego sieć działała. Więc on ma na pewno klauzulach, w regulaminach wpisane że jeżeli macie państwo taki atak, to on wasze łącze po prostu wyłączy. Nie będziecie działać, bo on musi chronić swój biznes i wszystkich pozostałych swoich klientów, niestety kosztem was. I wszystkim będzie działo, a wam nie. Podobnie działał Stop Flow. Bo to jest usługa dla operatorów, a za zaawansowanąj ochroną jest przez operatorów, jest sytuacja kiedy ten ruch po wykryciu takiego ataku jest przesyłany do Scrubbing Center. To jest po prostu analizator, które patrzą na ruch co się tam dzieje i odsiewają ziarno od plew, czyli ten cały wolumetryczny atak botowy idzie do kosza, a ten poprawny ruch do waszej firmy. Żeby mogły działać, przesyłane z powrotem. Takie usługi mają operatorzy i z nimi trzeba na ten temat rozmawiać.
Ok. Co z atakami DoS na zasoby serwerów?
No jest masę różnych ataków typu synflot, Connection flot. Często nie ograniczają może pasma, natomiast wysycają właśnie zasoby i firewalli i serwerów. Otwierają Slow norrisy i tym podobne coś, co otwiera połączenie utrzymuje w dziwnym stanie i nagle się okazuje, że atak trwa 24 godziny i na naszej infrastrukturze jest 100 tysięcy połączeń. Wszystkie są nieprawidłowe i po prostu nasza infrastruktura nie wytrzymuje. Czy firewall, czy serwery nie wytrzymują utrzymywania tych stanów. Jak się możemy przed tym bronić? Możemy korzystać z Netflowa ewentualnie (niezrozumiałe) i próbować samodzielnie zobaczyć, co wygląda prawidłowo, a co nie. Ciężka sprawa, ale takie sceny jak najbardziej są. Możemy oczywiście wykorzystać Next Generation Firewall, ale to będzie trudne, bardziej w WAF-y. WAf-y czy IPS-y, one będą miały takie możliwości ochrony naszych zasobów, żeby rozróżnić żeby spróbować rozróżnić, który atak wygląda sztucznie.
Co możemy zrobić jeszcze przy ochronie sieci serwera WEB? Bo to ochrona jak mamy coś (niezrozumiałe), jest trudniejsza. Natomiast chcemy wszystko chronić. Jak mamy serwer WEB to powstało kilka serwisów takich WAF-ocych, takich jak m.in. Imperwa, które de facto… Jak one działają? Bo to jest bardzo ciekawy mechanizm. Jeśli mamy stronę internetową, sklep internetowy i po prostu chcemy, żeby on zawsze działał, bo to jest źródło przychodu naszej firmy, to stawiając to po prostu ten serwer gdzieś, narażamy się na ten problem. Ataki DoS tak. Natomiast jeżeli spróbujemy to uruchomić wspólnie z ochroną chmurową. To dużo zmienia, bo tak naprawdę w tym momencie klienci w DNS-ie gdzie onie się łączą, to oni się de facto łączą do chmury. Chmura bierze na siebie ,pierwsze zapytania i zapytania DNS i wszystkie zapytania HTTP. Chmura jest po prostu bardziej wydajna bo ile my możemy… Jesteśmy niewielkim sklepem internetowym nie będziemy mieli infrastruktury, żeby bronić się przed dwutorowym atakiem. A chmura takie możliwości może mieć. Czyli tam przejrzy te zapytania, odsączy dobre od złego i ten dobry ruch przepuści już bezpośrednio do naszych serwerów. I sytuacja wygląda w tej sytuacji tak, że atakujący tak naprawdę to nie do końca zna te adresy serwerów. Mógłby oczywiście pójść bezpośrednio w stronę serwerów i zaatakować, bo tam pod jakimiś adresami IP są. Ale są ukryte, bo nie mają nazw domenowych i tak naprawdę tylko chmura pokrywa niejako ten cały nasz zasób i przyjmuje wszystko, cały ruch, robi pewne łuki, rozrzuca, balansuje na nasze serwery i robi Wafa. Jest kilka ciekawych usług, które coś takiego robią, więc bardzo dobra opcja dla serwerów WWW.
No właśnie, tylko co zrobić? Co zrobić jak mamy, jak chcemy chronić całą sieć? To może taki przykład, jak nie mamy operatora. Możemy też wtedy korzystać z zasobów chmurowych, ale no niestety wymaga to już tego, żebyśmy mieli tą adresację mobilną, czyli byśmy mieli BGP. Bo ok, jeżeli proszę sobie wyobrazić, że mamy ten serwer WWW, który stoi on wchodzi przez chmurowego WAF-a i się nie boimy. Natomiast mamy jeszcze masę infrastruktury połączenia IPsec-owe dostawców i jeżeli atakujący dowiedzą się, jakie są nasze prawdziwe adresy albo cała nasza pula i będzie się łączył próbował po kolei wszystkie adresy IP, no to wszystkiego tego do WAF-a oczywiście nie wyrzucimy bo jak wyrzuciłem tunele IPsec-owe? Tego się po prostu nie da zrobić. Tak łatwo. Więc no wtedy nasza infrastruktura też by nie działała. Więc te metody chmurowe polegały na tym że my de facto całą adresację przenieść czy do Scrubbing Center właśnie operatora chmurowego, żeby oczyścił ten ruch i Cross connectem czy tunelem GRE wrócił do nas już oczyszczony. To zawsze polega na tym samym. Tak musi być Scrubbing Center, musi przez niego przejść ruch. Kwestia tylko jak go tam dostarczymy. Kiedy możemy stosować ochronę DoS? To taka sprawa. Czym się różni DOS od DDOS-sa? DOS – Denied of Service, DDOS – Distributed Denied of Service Czyli jak cały internet nagle chce oglądać nasze strony, czyli jest to rozproszone. Bo wtedy, kiedy udostępniamy usługi dla klientów z internetu. Jak jesteśmy dużym, coraz większym graczem internetowym, to czy w naszej konkurencji niestety, czy komuś innemu może zacząć to przeszkadzać z jakiegoś powodu. Mogą chcieć spowodować, że nie będziemy działać. Ataki trwające kilka godzin, nawet kilka dni, są niestety znane i to stanowi duży problem.
Kiedy możemy się tak naprawdę skutecznie bronić? To wtedy kiedy mamy kilka łączy od różnych operatorów i BGP. Wtedy możemy się rzeczywiście dość dobrze obronić i uniezależnić. Jeśli mamy stronę, czysto stronę WWW, to możemy się wynieść tylko i wyłącznie do chmurowego WAF.
I to tyle na dzisiaj.
Dziękuję państwu serdecznie.
Do usłyszenia!
odcinek 11
Szyfrowanie – zabezpieczenie danych
W tym odcinku Piotr Ksieniewicz opowiada o szyfrowaniu danych w ruchu (m.in. VPN) oraz w spoczynku (dyski). Czy wszystkie dotychczas używane sposoby są bezpieczne? czym jest tunelowanie ruchu i czy jest lekiem na całe zło?
Dlaczego szyfrowanie jest ważne? Jakie niebezpieczeństwa są związane z niezaszyfrowanymi danymi i co możemy zrobić, aby dobrze swoje dane zaszyfrować.
Zapraszamy do obejrzenia odcinka i dzięki zdobytej w nim wiedzy do zwiększenia bezpieczeństwa swoich danych!
Witam w kolejnym odcinku naszego cyklu poświęconego portfolio, urządzeń i bezpieczeństwa teleinformatycznego. Temat związany z szyfrowaniem, czyli zabezpieczaniem danych w rozmaitej postaci.
O czym będziemy mówili? Będziemy mówili o szyfrowaniu danych w ruchu oraz spoczynku. Szyfrowanie w ruchu to rozmaite rodzaje połączeń VPN, czyli Virtual Private Network, a także szyfrowanie warstwy drugiej, czyli niejako pomiędzy urządzeniami, pomiędzy switchami.
Powiemy też o szyfrowaniu danych spoczynkowych, czyli szyfrowaniu dysków.
Dlaczego? Po co? Dlaczego jest to ważne? Czemu w ogóle zajmujemy się szyfrowaniem?
W oczywisty sposób szyfrowanie adresuje podstawowy zakres zagadnienie, którym zajmuje się bezpieczeństwo teleinformatyczne, czyli jeden z elementów triady CIA, czyli confidentiality, czyli bezpieczeństwo tego, że informacja, która ma być ukryta, nie zostanie odczytana i podejrzana przez osoby do tego nieuprawnione.
Tunele, czyli VPN-y. Rozróżniamy typu Site-to-Site czyli łączące 2 sieci LAN.
Tak, jak tutaj to pokazane na rysunku. Połączenia VPN-owe zazwyczaj nawiązywane są przez sieć, której nie ufamy, czyli np. przez sieć internet. Te połączenia bardzo często stanowiły tańszą alternatywę w stosunku do łącz dzierżawionych. Czyli jeżeli mieliśmy połączyć dwie lokalizacje naszej firmy za pomocą łącza dzierżawionego, mogło się okazać, że takie połączenie zrealizowane będzie kosztowało jednak zdecydowanie mniej. Jeżeli pokusimy się o zrobienie takiej funkcjonalności poprzez połączenie internetowe i zaszyfrowanie tunelu utworzonego w tym połączeniu internetowym. Bardzo często spotykany podczas prowadzenia przez nas audytów sieci błąd. Istnieją tunele VPN-owe, natomiast tunele VPN-owe dla większości administratorów w zasadzie wszystko jedno, jaki tunel jaką metodę zabezpieczenia. Byle ten tunel nam wstał i działał. Należy tutaj zauważyć, że oczywisty sposób należy również prawidłowo wybrać ten konkretny mechanizm zabezpieczenia tak, by oferował wysoki poziom bezpieczeństwa.
Istnieją protokoły, które dość powiedzieć, że nie są już uważane za protokoły bezpieczne. Na przykład DES przykładowo. Dlaczego? Dlatego, że w oczywisty sposób świat idzie naprzód. Pojawiają się coraz większej moce obliczeniowe. Część z tych protokołów również została w jakiś sposób skompromitowana, jeśli chodzi o zakres i pomysł kryptograficzny, czyli można w łatwy sposób podsłuchać takową komunikację. Dlatego warto dobrze dobrać mechanizmy, które służą nam do szyfrowania ruchu. Czym możemy szyfrować? Ten ruch? To w oczywisty sposób tak jak na slajdzie pokazane, są to routery, czyli możemy komunikację, tunel VPN-owy utworzyć między dwoma routerami, możemy do tego zastosować firewalle, możemy zastosować firewall typu Next Generation. Mogą to być urządzenia zupełnie tak naprawdę różnych producentów, ponieważ metody szyfrowania są zestandaryzowane. Czyli posługujemy się tutaj standardami. Tym standardem, który tak naprawdę wszedł do głównego nurtu jest IPsec, czyli cały worek na protokoły, które służą do tego, żeby poprawnie nawiązać i utrzymać tunel VPN-owy IPsec tekst składa się z IK między innymi w dwóch fazach protokołów związanych z szyfrowaniem czyli z zapewnieniem poufności czy to nagłówka, czy danych wewnątrz komunikacji. I tak naprawdę po zestawieniu takiego połączenia mamy równoważnik dedykowanego łącza. Dzierżawionego niejako za odrobinę mniejsze pieniądze. Jakie ograniczenia się z tymi połączeniami VPN wiążą? Zazwyczaj problemy związane czy to z wydajnością, bo te operacje zaszyfrowania i odszyfrowania danych wiąże się z pewnym nakładem pracy, który musi wykonać urządzenie brzegowe czy to router, czy firewall, czy też wreszcie z długością ramki, która może być przez taki VPN przesyłana. To również jest częsty problem w sytuacjach, kiedy chcemy zaszyfrować dane do ramek, do pakietów dokładane są dodatkowe bity, które zabierają tak naprawdę w przestrzeń komunikacyjną dla samych danych użytkownika. I o tym również trzeba pamiętać. No tu mamy taki trywialistyczny przykład, gdy dwie sieci są łączone jednym VPN-em. Pewnego rodzaju zagadnieniem i tematem jest również zagadnienie tych VPN-ów.
O tym powiemy sobie za momencik.
Omówiliś pokrótce VPN typu side-to-side czyli łączący dwie sieci. Bardzo popularnym i powszechnym rozwiązaniem jest również VPN typu remote-vpn, czyli VPN służący do tego,żeby dać dostęp do zasobów wewnętrznych firmy użytkownikom pracującym w domu, czy też pracującym z drogi wyjazdow. Czyli mamy tak naprawdę oprogramowanie na komputerze użytkownika, które pozwala mu na podłączenie się za pomocą czy to samych mechanizmów IPsec, czy za pomocą mechanizmów SSL do wewnętrznej sieci firmowej.
O czym tutaj warto pamiętać?
Bardzo dużo VPN-ów, które widzieliśmy, bazuje na prostym uwierzytelnianiu. Wypadałoby to uwierzytelnianie zintegrować z Active Director, na przykład do tego może być przydatne oprogramowanie Cisco Ice. Również wypadałoby, i w przypadku bezpieczeństwa należy pomyśleć o tym, żeby weryfikować, sprawdzać jakie urządzenie podłącza się do naszej sieci, gdyż w przypadku klasycznego remote-vpn nasze urządzenie może być, w zasadzie staje się niejako pełnoprawnym użytkownikiem wnętrza naszej sieci. Czyli jeżeli urządzenie podłączające się jest np. posiadaczem jakiegoś malware’u, to ten maleware może swobodnie względnie propagować w naszej sieci. Jest pewna pewna obawa przed wpuszczaniem tych użytkowników w pełni. I może należałoby np. sprawdzać na etapie podłączania czy ten użytkownik wyposażony jest w antywirusa, czy antyvirus wskazuje, że wszystko jest w porządku. Takie czynności również można robić. Oczywiście można również klasyfikować tych użytkowników na podstawie np.grup i przydzielać im odpowiednie uprawnienia, limitując ich ruch za pomocą prostych Access list, czy to np. mechanizmów typu trust sec. I teraz przechodzimy płynnie do VPN-ów, które bardziej są VPN-ami typu side-to-side natomiast adresują bardziej złożone potrzeby czyli mechanizmy DMVPN SDVAN. To tak naprawdę troszeczkę mechanizmy, które wirtualizują naszą warstwę rzeczywiście transportową i stwarzają nad nią pewną warstwę abstrakcji, która właśnie formułowana jest za pomocą połączeń VPN-owych.
Dlaczego tak jest to wykonywane? Dlatego, żeby po pierwsze w T DMVPN zapewnić redundancję połączeń. Redundancja połączeń VPN-owych jest zagadnieniem nietrywialnym, ze względu na to, że klasyczny VPN czyli typu IPsec-owego bazujący na IQ nie przenosi połączeń multikastowych. Tym samym nie można przez te połączenia w łatwy sposób przepuścić ruchu związanego z protokołami rutingu dynamicznego, co powoduje, że trudno zapewnić redundancję tuneli klasycznych IPsec-owych. Natomiast zdaniem DMVPN adresuje. Po pierwsze tematy związane z redundancją, ponieważ tam tak naprawdę w grę wchodzi też tunel, który wewnętrzny tunel, który pozwala na przesyłanie komunikacji związanej z routingiem dynamicznym, czyli pozwala na posiadanie np. dwóch VPN hubów, czyli dwóch głównych urządzeń VPN-owych i dystrybucję ruchu od bram, w zależności od dostępności , od działu w zależności od dostępności tychże hubów. Dynamicznie za pomocą dynamicznego routingu czyli uczenia się który z VIP-ów aktualnie jest dostępny. Nowa technologia również pozwala na niejako automatyczne dodawanie tych bram, czyli tych oddziałów do naszego DMVPN huba bez rekonfiguracji, złożonej rekonfiguracji hubów. Czyli mamy tutaj do czynienia z fajną technologią, która adresuje rozszerzalność naszego, naszej infrastruktury VPN-owej, adresuje również jej redundancję, czyli niejako nad chmurą internetową tworzony jest taki dynamiczny splot VPN-ów, które same się rozszerzają i pozwalają na przechodzenie ruchu różnymi drogami. A ewolucją jeszcze bardziej zaawansowaną jest SDWAN, czyli Software-Defined Wide czyli potraktowanie tak naprawdę niezależnie od tego jakim mechanizmem posługuje się, czy jest to internet czy telefon czy 4G LTE. Nad nim budujemy taką wirtualną sieć VPN-ową, która pozwala nam na niewykorzystywanie wszystkich tych mechanizmów. Podobnej… Mechanizmów komunikacyjnych WAN-owych w podobny sposób powodując, że możemy sterować nie tylko routingiem, ale również sterować nim na na podstawie potrzeb aplikacji de facto performance’owych, czyli związanych z wydajnością tej aplikacji. Jeżeli aplikacja stwierdza, że za mało pasma jej na przykład na którymś połączeniu możemy dynamicznie tą aplikację przerzucić na inne połączenie. Ta wirtualizacja postępuje wręcz w kierunku rzeczywiście kierowania decyzyjności o wyborze ścieżki i routingu na aplikacje. I tutaj adresuje potrzeby użytkownika, gdyż pozwala zapewnić priorytet konkretnym aplikacjom, odpowiednie działanie w konkretnym zasobach. To są tak naprawdę bardziej wyrafinowane już metody implementacji połączeń VPN-owych i doświadczenia z budowaniem takich scenariuszy dla różnego rodzaju, różnej skali sieci. Oczywiście trzeba tutaj odpowiednio wybrać urządzenia, wybrać mechanizmy, którymi te urządzenia się posługują, ale jesteśmy w stanie zbudować na tyle pewną i bezpieczną sieć, działającą przez niebezpieczne medium jak internet, żeby zaadresować potrzeby w zasadzie każdego rozmiaru przedsiębiorstwa.
I teraz mamy temat związany z szyfrowaniem oraz szyfrowaniem w warstwie switchy, czyli warstwy sieciowej. W zasadzie oferującej, operującej na warstwie 2 modelu OSI ISO czyli połączenie między switchami. Nie tylko między switchami, jak również między switchem a użytkownikiem. Ten ruch może być zaszyfrowany sprzętowo tak naprawdę w ramach działania switcha komunikacji. W ten sposób że nawet jeżeli jakiś potencjalny atakujący będzie próbował zaatakować naszą warstwę drugą czy to metodami (niezrozumiałe) jakieś przechwytywania DNS-a tak żeby gdzieś zobaczyć nasz ruch i podszyć się pod jakieś urządzenie czyli zaatakować tak zwaną metodą Man in the middle poprzez np. podstawienie siebie jako prawomyślny Default Gateway i przesyłanie ruchu do rzeczywistego Default Gateway’a . Tak, żeby zobaczyć cały ruch, no to on w takiej konsekwencji istnienia MACSEC’A już nie zrobi. Czyli ten MACSEC zabezpiecza przed wszystkimi atakami które próbują podejrzeć ruch w ramach komunikacji wykonywanej w sieci LAN. I co fajne, jest adresowany tak naprawdę w ramach samego switcha, czyli to switche zajmują się odpowiednim zaszyfrowaniem tego ruchu. Fajne również jest to, że jeżeli próbujemy wpiąć tutaj jakiekolwiek inne urządzenie, czyli np. prostego switcha, który pozwoliłby nam na podglądnięcie tego ruchu, no to oprócz tego, że my go w zasadzie nie zobaczymy, zobaczymy go w formie zaszyfrowanej. Próba włożenia w takie połączenie czegokolwiek innego, niż nasze prawdziwe urządzenia kończy się tym, że te urządzenia to wykrywają. Oczywiście mogą być alternatywne rozwiązania dla komunikacji w ramach warstwy 2 możemy zaszyfrować np. ruch na system operacyjny. Windows pozwala np. Microsoft pozwala na szyfrowanie w zasadzie każdej komunikacji między stacjami roboczymi, natomiast odbywa się to po pierwsze z użyciem procesora komputera, po drugie niekoniecznie w środowisku spójnym systemowo. Może to stanowić pewnego rodzaju problem bo (niezrozumiałe). No można zastosować na komputerach czy na zasobach karty szyfrujące, tak zwane HSM-y, które zaszyfrują nam w zasadzie cały ruch wypływający z tego konkretnego komputera. Można wreszcie zastanowić się nad tym czy nie szyfrować całej komunikacji, która jest dla nas istotna. Czyli za pomocą aplikacyjnego szyfrowania HSSL https. To jest do decyzji i do rozważenia na podstawie analizy potrzeb konkretnego użytkownika. Natomiast wskazujemy, że fajnie jest mieć taki system szyfrujący również w warstwie drugiej, ze względu na to, że jest bardzo duża ilość ataków, które próbują tą warstwę drugą destabilizować, próbują w LAN-ie, który nie był projektowany z myślą o tym, żeby być bezpieczny, próbują w LAN-ie podstawić pewnego rodzaju mechanizmy, które nas zaatakują. Tak. Oczywiście jako jakiś ekwiwalent Mac seca można też potraktować dobrze zrobionego NAC-a czyli Network Admission Control, czyli coś o czym również w naszym cyklu już mówiliśmy. Czyli jeżeli do tej naszej sieci na pewno, na sto procent absolutnie nie dostanie się urządzenie, które dostać się nie powinno, to to również jest to jakieś bezpieczeństwo, które jest w warstwie ethernetowej. No czyli kiedy my tego Mac seca będziemy potrzebowali? Wtedy, kiedy chcemy zaszyfrować ruch, który np. wychodzi poza naszą, leci sobie po kabelki ethternetowym między piętrami i między tymi piętrami przechodzimy przez zasoby, które nie są w naszej kontroli. Nie wiadomo, czy ktoś tam czegoś nie zapnie. Albo mamy aplikację, którą muszę zaszyfrować, ale nie mogę jej zaszyfrować na poziomie aplikacji ze względu na to, że jest to jakiś dziwny protokół, stary serwer i tak dalej i tak dalej.
I przechodzimy do szyfrowania danych w spoczynku niejako, czyli szyfrowania.
Może niekoniecznie w spoczynku. (niezrozumiałe) Ja przyzwyczaiłem się traktować jak szyfrowanie dysku, czyli szyfrowanie zasobów, które nie podróżują aktualnie przez sieć. No właśnie. Czy to nam jest potrzebne? Jest nam bardzo bardzo potrzebna… Większość firm dbających, było nie było, o swoje bezpieczeństwo, również o tym zapomina. Dlaczego? Dlaczego zapominają, tego nie wiem. Natomiast dlaczego jest to istotne? Jeżeli mam urządzenie mobilne, które gdziekolwiek wychodzi poza moją siecią przechowuje jakiekolwiek dane, które stanowią… no mogą być dla kogokolwiek interesujące. To w wypadku, kiedy to urządzenie zmieni właściciela. Nowy właściciel może się do tych danych nieszyfrowanych w łatwy sposób dobrać. Oczywiście istnieją tu metody takie, jak pełne szyfrowanie dysku, czyli szyfrujemy wszystko, co na tym dysku, cały system nawet przy uruchamianiu komputera będzie musiał na bieżąco odszyfrowywać, czyli potrzebne są jakieś poświadczenia, które spowodują, że tylko z tymi poświadczeniami mamy dostęp do całego dysku. Natomiast możemy to również robić szyfrowanie na podstawie konkretnych plików, konkretnych folderów, jakichś portfeli de facto takich służących do zaszyfrowania. Oczywiście tutaj kluczowe jest to, żeby mieć pełną kontrolę, czyli żeby odpowiednio wymusić szyfrowanie odpowiednich folderów czyli dobór takiego oprogramowania, które będzie służyło do szyfrowania powinien zapewniać centralizację zarządzania tym oprogramowaniem. Tak żebyśmy mieli pełną kontrolę nad wszystkimi urządzeniami mobilnymi, które będą działały poza naszą siecią, żeby zaszyfrować całe zasoby, które mogłyby być dla nas potencjalnie ważne.
Alternatywą w stosunku do tego szyfrowania dysków jest sytuacja, w której ja w ogóle przestaję trzymać na dysku lokalnym cokolwiek ważnego. Natomiast wtedy należy się upewnić czy jakby ślad tych danych nie występuje w niczym. W cashu, w plikachcookie, w czymkolwiek co jednak na dysku się zapisuje, a czego możemy nawet nie być świadomi. Że to wymaga analizy działania konkretnej aplikacji, żeby odpowiedzieć sobie na pytanie czy ja mogę przenieść np. całą moją przechowalnię danych do chmury, która jest szyfrowana bądź też do centralnego serwera, który udostępnia jakiś udział, zasób w taki sposób, który jest bezpieczny. A ja na tym moim lokalnym komputerze nie mogę i nie powinienem niczego trzymać. Oczywiście to się wiąże z odpowiednimi ustawieniami zabezpieczeń tego komputera, skierowaniem tego w ten sposób, żeby użytkownik na lokalny dysk np. nie mógł nic zapisać. Bo jeżeli cokolwiek będzie mógł zapisać to możemy sobie od razu być prawie pewni, że zaraz coś tam zapisze, bo tak mu będzie wygodniej. Tak, natomiast jeżeli będzie miał przekierowane wszystko: pulpit całą resztę i w zasadzie zostanie ograniczony do roli takiej stacji terminalowej, to jest szansa że nie zapisze. Pytanie czy coś w jakiejś poświacie nam nie zostanie. Czyli szyfrowanie danych w ten sposób.
Pozostaje nam jeszcze szyfrowanie komunikacji, jak szyfrowanie np. komunikacji mailowej czy to przez PKI, czy przez PGP, taki całkiem fajny, ciekawy pomysł czy przez s/MIME. Ten protokół, który służy do przesyłania. Poczty jest kilka różnych możliwości. Możemy na etapie aplikacji de facto szyfrować. Na etapie Aplikacji oczywiście szyfrujemy również komunikację http, https-a, przez SSL. Odpowiednie zaszyfrowanie. Należy w oczywisty sposób dbać o to, żeby wszystko, co ma dla nas jakąkolwiek wartość, było zaszyfrowane. W przypadku tego maila, jeżeli przesyłany maila pamiętajmy, że jest nominalnie, normalnie niezaszyfrowany, także lepiej ważnych danych w ten sposób nie wysyłać. Powstaje temat związany z komunikatorami. Czatami, na których też zdarza nam się przesyłać różne ciekawe informacje. Tutaj należałoby wybrać taki komunikator, który jest stuprocentowo bezpieczny. My polecamy Cisco Webex. Jest oczywiście usługą chmurową. Natomiast gwarantuje w pełni bezpieczeństwo i szyfrowanie całej komunikacji tak, że osoba niepowołana tej komunikacji nie zobaczy i nigdy nie będzie widziała. Komunikacja związana z telefonią. Mamy wreszcie też aspekt tego typu, że telefonię voipową, czyli przesyłaną przez sieć IP również bardzo łatwo podsłuchać. Oczywiście są mechanizmy, które służą do tego, żeby jeżeli jest zabezpieczony cały protokół IP, to nie jest tak łatwo. Natomiast czyli np. na etapie warstwy drugiej, mamy tego Mac seca, ale jeżeli nie mamy innych zabezpieczeń, no to voipa łatwo podsłuchać. W zasadzie jeżeli go posłuchamy, nawet zwykłym wiresharkiem możemy odsłuchać. Ten wireshark posiada dekoder do podstawowych kodeków i możemy tą rozmowę słuchać w zasadzie nawet bez niesamowitego nakładu pracy. Czyli jeżeli to podsłuchamy, to pamiętajmy, żeby również zabezpieczyć w naszą telefonię. Jeżeli są tam przenoszone dane, które potencjalnie mają jakąś wartość, a zazwyczaj są. Ale oczywiście są protokoły szyfrowania strumienia RTP,tak jak SRTP. Możemy tam wszystko zaszyfrować. Oczywiście tutaj dbajmy o to, żeby również ta komunikacja była zaszyfrowana od strony naszego operatora i podpiszmy z nim jakąś umowę, żeby ten operator również gwarantował nam, że ona dalej jest zaszyfrowana. Oczywiście on tego w pełni nie zrobi, bo nie odpowiada za to że rozmowa pójdzie np. do kolejnego abonenta, który już nie szyfruje.
Tak że tych aspektów związanych z szyfrowaniem i tak naprawdę zabezpieczeniem poufności komunikacji, jest całe mnóstwo. Zapewne nawet nie wymieniłem wszystkich. Natomiast za chwilę zaczynamy kolejny temat.
Dziękuję bardzo za uwagę i zapraszam do kolejnych odcinków naszego cyklu poświęconemu cyberbezpieczeństwu.
Dziękuję bardzo.
odcinek 12
Ochrona chmury i data center
Jestem w chmurze – jestem bezpieczny. Czy napewno?
Chciałem w kolejnym odcinku naszego cyklu poświęconego portfolio produktów security i powiedzieć kilka słów o ochronie chmury i datacenter. Często stosowane stwierdzenie, że jestem w chmurze, ktoś troszczy się o moje bezpieczeństwo, już ten operator chmury, nie do końca i nie zawsze jest prawdziwe. Dlaczego nie do końca zawsze jest prawdziwe? Należy się przede wszystkim przyjrzeć, jakim modelem chmurowym się posługujemy, czyli czy jest to Infrastructure as a Service, Software as a Service, Platform as a Service.
Tak naprawdę odpowiedzialność za konkretny aspekt bezpieczeństwa spada na nas jako użytkownika chmury w wypadku użycia różnego trybu wykorzystania chmury i tak naprawdę można sobie to wyobrazić i przedstawić za pomocą tego rysunku, który widać tutaj na dole mojego slajdu, czyli te aspekty, które pokazane są kolorem jasnoniebieskim, leżą w gestii użytkownika chmury, a te, które są zaznaczone kolorem czarnym bądź też ciemnogranatowym, leżą w gestii operatora chmury. I tak naprawdę w zależności od modelu, jeżeli jest to Infrastructure as a Service, no to w zasadzie ten operator chmury bierze na siebie wszystko aż do wirtualizacji. Natomiast sam system operacyjny, bazy danych, aplikacje czy wreszcie dane, które są tam przechowywane, są w gestii użytkownika. W związku z tym on musi się dalej o nie troszczyć. Czyli chmura nie zapewnia nam automatycznie tego bezpieczeństwa, niezależnego od sytuacji. Zawsze istnieje ten fragment, którym się musimy dalej przejmować i o który powinniśmy troszczyć się samodzielnie. Oczywiście również za tę część, która jest częścią oznaczoną tutaj kolorem ciemnogranatowym, mimo że odpowiada operator chmury, tego rozwiązania, które wybraliśmy do naszego użycia, należy sprawdzić pod względem formalnym, może również technicznym, jakich mechanizmów bezpieczeństwa dany operator używa.
Warto się na pewno przekonać i sprawdzić, w istotny sposób precyzuje, za jakie fragmenty bezpieczeństwa odpowiada operator chmury i jakie są konsekwencje, powiedzmy sobie, złamania reguł bezpieczeństwa czy też wycieku danych, włamania – czy takie konsekwencje są przewidziane w naszej umowie. Należy oczywiście podkreślić, że sama chmura jako taka oczywiście daje nam duże możliwości, ale równocześnie utrudnia całe kwestie związane z bezpieczeństwem, chociażby ze względu na ten podział, o którym powiedziałem, czyli to bezpieczeństwo. I za fragmenty infrastruktury odpowiada operator, za fragmenty odpowiadamy my sami. Natomiast zasadniczo w dużej mierze mechanizmy bezpieczeństwa, które powinniśmy wykorzystywać przy stosowaniu rozwiązań chmurowych, czyli hostowaniu naszych rozwiązań gdzieś w chmurze w taki czy inny sposób, są podobne do tych mechanizmów, które już omawialiśmy w dużej mierze w poprzednich odcinkach. Czyli upraszczając: w oczywisty sposób musimy chronić nasz dostęp do interfejsu zarządzającego, czy to serwerami, czy urządzeniami. Musimy dbać o ochronę oświadczeń, czy to za pomocą Multi Factor Authentication. Oczywiście trzeba byłoby logować wszelkie zdarzenia. Powinniśmy używać szyfrowania w komunikacji z chmurą, po której przesyłamy po tym połączeniu, czy to dane uwierzytelniające, czy dane związane z produkcyjnymi danymi. Powinniśmy stosować Web Application Firewalla, jeżeli wystawiamy jakieś serwisy webowe na świat. Są dedykowane, o czym za chwilkę powiemy, rozwiązania Cloud Access Security Broker, czyli tak naprawdę takie rozwiązanka, które dedykowane są w pewien sposób do ochrony chmury. Jest dla technologii datacentrowej, a taką w zasadzie jest chmura również, technologia i wizja tak zwanego Zero Trust.
O tym Cloud Access Security Broker, czyli o ciekawym produkcie dedykowanym do ochrony chmury. Czyli jest to tak naprawdę taki składak, który robi nam kilka różnych funkcjonalności.
Pierwsza z nich to analiza zachowań użytkowników, czyli taki User and Entity Behaviour Analisys – UEAB. To UEAB składa się z tego, że tak naprawdę patrzy i monitoruje do jakich zasobów użytkownik się loguje często, jak często to robi, ile danych przesyła, czyli uczy się zachowania użytkowników w konkretnym środowisku i alarmuje o potencjalnych anomaliach. Oczywiście mamy tutaj również w tym rozwiązaniu Cloud Access Security Broker taką część, która odpowiada za wyciek danych, czyli za Data Link Protection. Czy to za pomocą prostych mechanizmów, wyrażeń regularnych, czy to za pomocą właśnie analityki zachowań użytkowników, wolumenu danych, kierunków, w których są przesyłane dane – potrafi stwierdzić taki mechanizm, kiedy te dane w sposób nieprawomyślny opuszczają naszą chmurę. Dodatkowo mamy w rozwiązaniu Colud Access Security Broker przeważnie coś takiego, co odpowiada nam za filtrowanie i analizowanie aplikacji, czyli rozpoznajemy aplikacje i możemy zdefiniować, które aplikacje są dozwolone, które zabronione w komunikacji z chmurą. Cloud Access Security Broker tak naprawdę w rozwiązaniu, które oferujemy, jest zintegrowane [niezrozumiałe], czyli jest zasadniczą częścią rozwiązania, które bazuje swoją ochronę na DNS-ie. Aczkolwiek ochrona nie musi być ograniczona do DNS-a. Jest również tryb Secure Web Gateway, w którym cały ruch w zasadzie tunelowany jest przez rodzaj gatewaya, który przesyła ruch i potrafi na przykład robić rozpoznawanie aplikacji, czyli bazując na ruchu sieciowym, stwierdzać że część tego ruchu to na przykład aplikacja Salesforce, część ruchu to aplikacja związana z zarządzaniem DameWarem.
Tak że potrafimy rozpoznać aplikacje i kontrolować te aplikacje. I takie rozwiązanie wszyte jest w Umbrellę. Umbrella także analizuje w tym momencie sposób zachowania użytkowników, czyli te funkcjonalności UEAB, o których powiedzieliśmy na poprzednim slajdzie. I zapewnia również ochronę przed wyciekiem danych, czyli DLP. Takie rozwiązanie jest o tyle wygodne, że nie wymaga wiele kwestii związanych z instalacją na końcówce. Dodatkowo umożliwia stosowanie i wykorzystanie chmury niezależnie od tego miejsca, z którego do chmury dostępujemy. Czyli jeżeli użytkownicy łączą się ze swoich rozwiązań domowych, czy też poza pracą, ogólnie mówiąc, mogą swobodnie korzystać z chmury, pozostając cały czas pod kontrolą rozwiązania Cloud Access Security Broker, które Cisco nazywa się Cloudlock. Cloudlock jest integrowany, w zasadzie wszyty w aplikację Cisco Umbrella. Ciekawą ideą, w zasadzie bardzo przyszłością, którą również stworzyło Cisco, jest tak zwana technologia Secure Workload, kiedyś nazywająca się Cisco Tetration. Cisco Tetration, Cisco Secure Workload przykład technologii typu Zero Trust. Ta technologia typu Zero Trust taknaprawdę, tak jak sama nazwa wskazuje, nie daje możliwości komunikacji pomiędzy zasobami, poza wyjątkiem, kiedy są one precyzyjnie określone. Czyli nie ufamy niczemu, ufamy dopiero temu, co sami zezwoliliśmy. Czyli każda aplikacja, każdy serwer w zasadzie musi zostać dopuszczony do wykonywania, do realizowania konkretnego ruchu sieciowego.
Jak to działa? To współpracuje z technologią Cisco ACI, czyli tak naprawdę działa to na Nexusach z serii 9000. Do tego dołożone są oczywiście dodatkowe serwerki, które analizują ruch po to, żeby odkryć aplikacje działające po to, żeby spróbować te aplikacje poklasyfikować i spróbować potworzyć takie grafy, które mówią, która aplikacja z czym się łączy. Oczywiście wiąże się z tym również nakład pracy dla administratorów, ponieważ mimo że ta sztuczna inteligencja próbuje dużą część i absolutnie dużą część takiej funkcjonalności za użytkownika, za administratora tak naprawdę wykonuje. Natomiast rolą administratora również jest przejrzenie tego i poklasyfikowanie odpowiednich aplikacji. Czyli w zasadzie ten Secure Workload dzieli ruch i tworzy taki obraz grafowy – co z czym się łączy, co z czym powinno się łączyć, jakie są kategorie usług i jakie są usługi, jakie są aplikacje, porty – na takie fragmenty i tworzy na podstawie tego mikrosegmentację, która w zasadzie dzieli te sieci na sieci pod względem funkcjonalnym. Czyli uczymy się, jak funkcjonują nasze rozwiązania i dzielimy nasze rozwiązania na fragmenciki, które ze sobą muszą się i powinny się komunikować. Oczywiście ta platforma do całego rozwiązania również telemetrię, narzędzia monitorujące, czyli widzimy co z czym się łączy. Mamy pełną analitykę tak naprawdę i nawet na podstawie takich grafów, o których powiedziałem, czyli na podstawie tych informacji o sąsiadach w sensie aplikacyjnym.
Tak jak powiedziałem, oczywiście implementacja tego Cisco Secure Workload wymaga pewnego nakładu pracy, mimo że jest zaprzęgnięta do pracy sztuczna inteligencja, wymaga pewnego nakładu pracy od administratorów, gdyż tak naprawdę musimy przygotować i pokategoryzować nasze aplikacje na podstawie tego, co wykrywa Cisco Secure Workload. Jest to bardzo fajne i ciekawe rozwiązanie, które wzmiankuję ze względu na to, że jest przyszłością rozwiązań security dla datacenter, dla również pewnie za chwilę rozwiązań chmurowych. Natomiast na chwilę obecną jest ono dosyć mocno wymagające pod względem zasobowym, tak jak mówiłem współpracuje z rozwiązaniem Cisco ACI.
Dziękuję bardzo i zapraszam na kolejne odcinki.
odcinek 13
Audyt / Narzędzia audytujące
Cyklicznie sprawdzaj swoje cyberbezpieczeństwo – dlaczego warto?
Narzędzia audytujące pozwalają cyklicznie i stale sprawdzać sieć i rozwiązania teleinformatyczne. Bezpieczeństwo teleinformatyczne jest procesem. Potrzebuje stałej i nieustającej kontroli, którą należy powtarzać w sposób automatyczny za pomocą narzędzi lub ręcznie. Dlaczego należy kontrolować stale swoje bezpieczeństwo? z jakich narzędzi korzystać? Będziesz to wiedzieć po obejrzeniu nagrania!
Dzień dobry, Piotr Ksieniewicz, firma Network Expert.
Zapraszam na kolejny odcinek naszego cyklu poświęconego portfolio urządzeń, rozwiązań cyberbezpieczeństwa. Tym razem o audycie i narzędziach audytujących, czyli o czymś, co pozwoli cyklicznie i stale sprawdzać swoją sieć. Sieć i rozwiązania teleinformatyczne, serwery komputera.
Dobrze. Dlaczego?
Bezpieczeństwo teleinformatyczne jest procesem, nie jest jednorazową inwestycją, zakupem, wdrożeniem. Ten świat cały czas idzie do przodu, zmienia się, ewoluuje, potrzebuje tak naprawdę stałej nieustającej kontroli. Dlatego weryfikację stanu bezpieczeństwa należy powtarzać czy to w sposób automatyczny, korzystając z narzędzi zautomatyzowany do analizy skanowania podatności skanowania sieci, czy też ręcznie, niejako z uwzględnieniem czynnika ludzkiego i ludzkiej ludzkiego podejścia, wykorzystania inteligencji do skanowania i sprawdzania bezpieczeństwa sieci. Trzeba przede wszystkim tak naprawdę w naszym rozwiązaniu zaplanować jak
często i w jaki sposób przeprowadzać audyty skanowania i konsekwentnie tego planów się trzymać. Rekomendujemy, żeby przynajmniej raz na tydzień, ewentualnie dwa tygodnie realizować za pomocą uaktualnionych narzędzi skanowanie automatyczne, które pozwoli nam zebrać pewien obraz na temat tego, jak zabezpieczona jest aktualnie moja sieć czy nie pojawiły się nowe rozwiązania, nowe elementy w tej układance czy nie należy na coś zwrócić szczególnej uwagi. No właśnie, teraz ostatnio pojawił się modny taki sposób działania, szczególnie w dużych organizacjach, który dzieli zespoły zajmujące się bezpieczeństwem cyberbezpieczeństwem na przynajmniej dwa teamy, jeden team nazywa się Blue Team, czyli kimś takim, zespołem, który odpowiedzialny jest za wprowadzanie zabezpieczeń, monitorowanie bezpieczeństwa, reagowanie na incydenty bezpieczeństwa. I drugim teamem typu Red, czyli zespołem, który poświęca swoją uwagę testom penetracyjnym, działaniom zmierzającym do tego, żeby przełamać zabezpieczenia sieci, zabezpieczenia teleinformatyczne, zabezpieczenia systemów i pozyskać dostęp do… nieuprawniony dostęp do tychże systemów. Te dwa teamy niejako mają ze sobą, z jednej strony współpracować, ale z drugiej odrobinę konkurować, żeby doprowadzić do jak najlepszego uszczelnienia systemów teleinformatycznych. My tutaj tak naprawdę oferujemy i rekomendujemy w pierwszej kolejności zadziałanie w cyklu i w trybie tego Blue Teamu, czyli działania zabezpieczającego, defensywnego, żeby później tak naprawdę umożliwić działania w trybie Red Team, ale już na przygotowanej infrastrukturze. Jest to zresztą jednym z częstych błędów osób, które pytają nas o audyty od razu, adresując potrzebę audytowania jakby przez zespół typu Red Team, czyli przez testy penetracyjne, podczas gdy nigdy do tej pory nie poddawali swojej sieci żadnemu procesowi uszczelnienia, audytowi zmierzającemu do zaimplementowania nowszych, adekwatnych poziomów ochrony. Tym samym taka akcja związana z testami penetracyjnymi jest z góry skazana na powodzenie. Jedno czego również nie biorą pod uwagę poszukujący testów penetracyjnych z zakresu, proszę mi sprawdzić czy moje środowisko jest bezpieczne. Jest olbrzymi nakład pracy jaki należy ponieść na przeprowadzenie takiego ataku i tak naprawdę również brak informacji o tym, czy znalezienie pierwszej podatności powinno taki zakład kończyć, czy też powinien ten audyt próbować wyszukiwać wszelkie możliwe podatności, co byłoby po prostu niesamowicie kosztowne. Lepiej tak naprawdę wyeliminować te bazowe i podstawowe, w bardzo prosty sposób poprzez uszczelnienie systemu, zadziałanie jako administrator z wiedzą, architekt wręcz bezpieczeństwa i wprowadzenie rozmaitych udoskonaleń, o których w ramach tego całego kursu mówimy tak, żeby znalezienie dziury w tym całym systemie okazało się naprawdę trudne i wtedy, takie spojrzenie z perspektywy tego Red Teamu zdaje się mieć większy sens. No właśnie, czyli powiedzieliśmy sobie, że należy ten system skanować regularnie i wyszukiwać coś, co nazywa się podatności. Te podatności to w oczywisty sposób są po prostu słabości konkretnego systemu teleinformatycznego, serwera, usługi i aplikacji, które pozwalają na mniej lub większy sposób przejęcie kontroli, zaszkodzenie temu konkretnemu rozwiązaniu. Informacje o tych wszystkich podatnościach konkretnych systemów są gromadzone i są dostępne w bazie Comon Vulnerabilities and Exposures, która prowadzona jest pod takim adresem jak widać tutaj na na slajdzie. Jest ona wszem i wobec dostępna dla każdego. W związku z tym każdy może sobie zobaczyć, jakie podatności są aktualnie rozpoznane, można te podatności przeszukiwać pod kątem również konkretnego systemu, którym się posługujemy czy też konkretnej aplikacji. Również z tymi podatnościami uruchamiony jest system, który tak naprawdę ocenia w sposób numeryczny jakość tej podatności, a w zasadzie jej poziom jej krytyczności, czyli informuje na ile ta podatność pozwala na zadziałanie, które spowoduje jakieś konkretne szkody dla systemu. Oczywiście im bardziej niebezpieczna i większa luka w zabezpieczeniu, jeżeli konkretna podatność pozwala przejęcie konta Ruta w systemie no to będzie ona prawdopodobnie sklasyfikowana wyżej niż taka, która jedynie pozwala na przykład na unieruchomienie danej, konkretnej aplikacji, czyli powodująca jej niedostępność na przykład. Do cyklicznego skanowania, czyli do tego przeglądu sieci jest szereg narzędzi, zarówno darmowych, jak i płatnych, które pozwalają z tej bazy CVE pobierają podatności, mają zaimplementowane niejako mechanizmy, które pozwalają te podatności sprawdzać, czyli próbują pozyskać informacje o systemach, zaczynając od podstaw: adresy IP dostępnych, o raportach, o aplikacjach, serwisach uruchamianych na tych konkretnych portach, tak żeby później na tej podstawie próbować nawet w sposób automatyczny przeprowadzać kontrolowane ataki na konkretne aplikacje i weryfikować czy one są podatne na ten konkretny rodzaj zagrożenia. Po takim skanowaniu, który jest de facto automatyczne i wymaga w zasadzie wybrania jedynie zakresu adresów, które chcemy przez panować. Otrzymujemy raport, który wzmiankuje o wszelkie możliwe problemy napotkane w tej sieci, począwszy od tego, że nikogo znajdowane są urządzenia, które są End of Life, systemy, które są End of Life, czyli pozbawione już wsparcia i aktualizacji, kończąc na tym, że jeżeli np. nasza aplikacja podatna jest na atak SQL injection, poza tym podejmowane są próby atakowania podstawowymi Stringami, które próbując wstrzyknąć te komendy squelowe i badany jest wynik tego działania. W tym celu, żeby poinformować, że nasza aplikacja ma tutaj w tym zakresie jakiś konkretny problem, także ten raport kompleksowo przedstawia w rozbiciu na adresy IP, na hosty, na urządzenia, na usługi. To, co zostało odnalezione i taką operację można w zasadzie bez kosztowo sobie zapewnić, założyć na jakiś konkretny czas, cyklicznie i przeglądać jej efekty. Przeglądanie jest tutaj kluczowe, że należy je przeglądać te efekty. I co więcej, należy do tego efektu w jakiś sposób się ustosunkować, czyli należy, powiedzmy sobie, wszystkie znalezione błędy i problemy spróbować zaadresować.
Tak, powiedzieliśmy o narzędziach audytujących, tu mamy przykład Greenbone Security Managera, czyli czegoś, co kiedyś nazywało się OpenVAS. W tej chwili ta nazwa ewoluowała w kierunku GSM. Jest to raport, który pokazuje znalezione podatności w naszych systemach, włącznie z ich klasyfikacją, z informacjami, gdzie one wystąpiły. Oczywiście z narzędzi skanujących są również narzędzia prostsze, czyli takie które skanują porty, pozwalają informować o tym, co na tych portach jest otwarte i jaka to aplikacja, próbować ją rozpoznać, łącznie z dokładnością do konkretnej wersji aplikacji.
Mamy wreszcie skanowanie, które… Skanowanie podatności Nessus’em czy też OpenVAS-em jest takie bardzo szerokie, czyli skanuje całe portfolio produktowe, będzie skandowało bazy danych, serwery, usługi na tych serwerach, natomiast możemy również w przypadku konkretnej aplikacji np. aplikacji webowej użyć dedykowanego skanera do tejże konkretnej aplikacji, który może okazać się bardziej akuratny w tym konkretnym przypadku, czyli może zbierać więcej rozmaitych metod próby przejęcia kontroli nad tą aplikacją. Jako narzędzie audytujące można również stosować rozwiązania dostępne w systemach Linux, jak Searchsploit, czyli próba wykorzystania eksploitów dostępnych w bazie, oczywiście z tym należy podchodzić ostrożnie troszeczkę ze zrozumieniem tego kodu, który próbujemy uruchomić, gdy nie wiadomo kto ten kod poczynił i czy on tak naprawdę jest stuprocentowo bezpieczny. Dodatkowo możemy próbować, jeżeli chcemy, bawić się troszeczkę już w pentestera, możemy próbować z wykorzystaniem Metasploita atakować nasze systemy. Wydaje się to być bardzo trudne, natomiast technicznie oczywiście trudne pozostaje jeśli chodzi o samą genezę i znalezienie konkretnego narzędzia i konkretnego sposobu na konkretną usługę. Natomiast jeśli chodzi o obsługę zaczyna być już całkowicie uproszczone nawet dzięki graficznemu interfejsowi, który w tej chwili istnieje i to w zasadzie jest to klikadło, oczywiście klikadło dla osób znających troszeczkę jakby sposób działania i sposób działania konkretnych usług.
Dobrze, CVE powiedzieliśmy, że jest takowa baza należy ją pewnie również przeglądać. Nawet mimo istnienia tych narzędzi skanowania automatycznego należałoby tą bazę przeglądać również ręcznie za pomocą po prostu wyszukiwania do naszych konkretnych produktów. I taki proces również trzeba cyklicznie powtarzać celem wyeliminowania wszelkich podatności, które mogłyby być przeoczone przez systemy skanowania.Oczywiście jako zwieńczenie tego wszystkiego, czyli po takim skanowaniu automatycznym i najlepiej audycie, o którym za moment powiemy należałoby ustalić wtedy możemy przejść do testów penetracyjnych, czyli do zatrudnienia takiego, tak naprawdę hakera, który jest white hat hakerem, czyli zorientowanym na działanie o charakterze pozytywnym, który pozwoli nam na przetestowanie naszych aplikacji pod kątem naszego środowiska, pod kątem możliwości zdobycia nieautoryzowanegodostępu do tego środowiska.
Oczywiście są różne, typu blackbox, typu whitebox, typu greybox, one się między sobą różnią. Natomiast jedno, co warto podkreślić rzeczywiście to aplikowanie tej grubej armaty i ludzi o bardzo dużych skillach i dużych umiejętnościach do systemu,
który w żaden sposób nie został zaudytowany i wcześniej sprawdzony i uszczelniony zdaje się nie mieć sensu.
W związku z tym teraz o takim audycie, który byśmy proponowali, żeby każdy sobie poczynił jeżeli myśli w sposób powiedzmy sobie rozważny o swoim cyberbezpieczeństwie. Oczywiście należy przeaudytować stacje robocze, czy jest ochrona antywirusowa.
Jakie uprawnienia mają użytkownicy? Czy są poprawki, czy jest odpowiednie zarządzanie tymi poprawkami? Co się stanie w momencie kradzieży sprzętu? Czy ten sprzęt jest zabezpieczony pod kątem szyfrowania danych? Czy użytkownicy mają dostęp do kluczy USB?
To takie przykłady, które adresują te tematy, audyt dostępu do danych, czyli trzeba byłoby tak naprawdę określić, gdzie są zasoby kluczowe ze względu na bezpieczeństwo, kto ma, kto jest uprawniony do dostępu do tychże danych.
Co ciekawe, temat również znakomitej większości firm, z którymi zetknęliśmy się. Dane krytyczne nie są w żaden sposób oznaczane, czyli w odpowiedzi na pytanie, gdzie są moje dane krytyczne w tej chwili, większość administratorów rozkłada ręce. Są do tego dedykowane systemy, które pozwalają tagować te formacje, generować raporty nie tylko o lokalizacji tych zasobów, ale także o tym, kto do tych zasobów dostępuje, to jest bardzo, bardzo ważne. Oczywiście kwestie związane z siecią, czyli punkty styku z internetem, sposób zabezpieczenia tych punktów, sieci publiczne, skanowanie Nessusem, openVAS-em. Oczywiście to samo robimy również we VLAN-ie. Należy zebrać informacje o wszystkich systemach, wersjach sprzętu, oprogramowania, to dotyczy switchy, Firewalli i urządzeń typu sieci bezprzewodowe, komputerów, serwerów, drukarek. To wszystko jest niezwykle istotne, bo wracając do tej bazy podatności na tej podstawie można ocenić czy np. dana drukarka nie ma podatności, która pozwala na przejęcie kontroli nad nią albo dostęp do sieci bezprzewodowej, którą to drukarka stale upowszechnia i nikt jej nie wyłączył, bez specjalnych poświadczeń przeskoczenia do VLAN-u, do którego ona również jest podłączona. Tutaj również trzeba to wszystko zebrać. Oczywiście trzeba przeanalizować konfigurację urządzeń i zastanowić się, że pomimo tego, że te urządzenia są zupełnie nowożytne, nowe może ktoś je skonfigurował w taki sposób, że są po prostu dzięki nieprawidłowej konfiguracji dziurawe. Konfiguracja połączeń VPN, czyli poświadczenia, jakie są stosowane lub czy też protokoły czy one są mocne czy to jest jakby wszystko zabezpieczone. No dobrze, a później również w ramach takiego audytu należy zastanowić się nad swoją infrastrukturą serwerową. Począwszy od tychże podstawowych rzeczy jak kopie zapasowe, jak wersje softu, wersje oprogramowania, wersje serwerów, dostęp zarządzających do tych serwerów, infrastruktura wirtualizacyjna, to wszystko jest tak naprawdę dla nas istotne. Macierze dyskowe, bezpieczeństwo SAN. Temu wszystkiemu należy się przyjrzeć. Bezpieczeństwo sieci wewnętrznej.
Czy każdy ma dostęp do tej sieci, czy tylko po autoryzacji? Czy są UPSy, jak zbudowane jest Wi-Fi? To należy wszystko rozpatrzeć i próbować aplikować jakieś mechanizmy, które będą tak naprawdę próbowały naszą infrastrukturę uszczelnić.
Aplikacje wewnętrzne – czy szyfrowane, czy mają podatności, z jakiej baz korzystają, czy są redundante, czy są odporne na ataki typu serwis np. także tych wszystkich, tych wszystkich aspektów jest całkiem sporo, infrastruktura IOT, czyli przemysłowe, CCTV, czy są odseparowane, czy są w innych segmentach sieci? To wszystko wyrywkowo tutaj, wymieniając tych tematów związanych z audytem podstawowym jest całkiem sporo. Oczywiście również wchodzą tutaj pewnego rodzaju kwestie proceduralne, czy mamy procedury związane z naszą, naszym bezpieczeństwem? Czy szkolimy naszych użytkowników, czy są oni odporni na ataki typu social engineering, czy logujemy wszystkie zdarzenia? W jaki sposób pozbywamy się danych, których już nie chcemy np. nośników, które już przestają być dla nas istotne.
To wszystko należy sobie odpowiedzieć na te pytania, zanim naprawdę zatrudnimy hakera do przeprowadzenia testów typu test.
Dziękuję bardzo i do zobaczenia w kolejnym odcinku.