Feilretning av nettverk kan hjelpe foliemålrettede angrep

Angripere som bruker målrettede utnyttelser ser ut til å ha sin vei med bedriftsnettverk. Medier rapporterer hver dag om nok et stort datainnbrudd. Prøver å forstå hvordan og hvorfor, jeg har fulgt denne delen av Trend Micros hjemmeside dedikert til målrettede angrep - utnyttelser som er målrettet mot en enkelt enhet, det være seg en person eller organisasjon.

Bloggpostene speilet for det meste hva andre sikkerhetsselskaper sier. Så leste jeg en spalte av Ziv Chang, direktør for Cyber ​​Safety Solutions. Det var annerledes, og tok for seg et tema savnet av oss som skriver om digital sikkerhet.

Skjult nettverksreklame

Chang begynner med å forklare de forskjellige metodene dårlige aktører bruker for å få tilgang til selskapets interne nettverk. Phishing topper den gjeldende listen. Når angriperne hadde blitt involvert i bedriftsnettverket, bruker de det Trend Micro kaller sidebevegelse - rekognosering, legitimasjon og å infiltrere andre datamaskiner for å bli kjent med det kompromitterte nettverket.

Når nettverkstopologien blir forstått, griper angriperne enten det de kan eller graver seg inn for langvarig okkupasjon. I begge tilfeller kompromittere angriperne flere datamaskiner / servere (sviller). Logikken bak dette: hvis selskapets IT-ansatte oppdager at den utnyttede maskinen eller den utnyttede maskinen er bærbar; angriperne har fortsatt en måte å få tilgang til firmaets nettverk. Dette bringer oss til det oversett emnet som ble nevnt tidligere.

Nettverksfeilretning

Chang har to bekymringer. Begge forholder seg til hvordan et berørt selskap avbøter resultatene av et målrettet angrep. Selv med angriperen utvist; det er ikke alltid synlig hvis alle kompromitterte datamaskiner ble oppdaget. Chans andre bekymring: angriperne forstår fortsatt nettverkets topologi, noe som gjør det lettere å bryte seg inn igjen. "Det er ikke nok å endre passord og fjerne skadelig programvare, " ifølge Chang. "For å beskytte en organisasjon mot målrettede angrep, bør også endring av nettverkstopologi vurderes."

Chang definerer nettverkstopologi som hvordan enheter er koblet i et nettverk, både fysisk og logisk. "Begrepet refererer til alle enheter koblet til et nettverk, det være seg datamaskiner, rutere eller servere, " forklarer Chang. "Siden det også refererer til hvordan disse enhetene er koblet til, inkluderer nettverkstopologi også passord, sikkerhetspolicyer og lignende."

Chang foreslår å endre nettverkets topologi og sikkerhetspolitikk på måter som vil gjøre det umulig eller i det minste enormt vanskelig for sviller å få selskapshemmeligheter. Chang anbefaler også å endre nettverket på måter som gjør angriperens rekognoseringsinformasjon foreldet.

For å avklare poenget bruker Chang følgende eksempel. Det første lysbildet viser et normalt nettverk. Den eksemplifiserer også hvordan en angriper får tilgang til et virksomhets interne nettverk. I dette tilfellet bruker du en phishing-e-post for å kompromittere PC-1.

Deretter skanner angriperen nettverket (lateral bevegelse), finner andre PC-er og kompromitterer dem ved å bruke en av mange tilgjengelige utnyttelser. Siden alle datamaskinene har tilgang til dokumentserver, er den harde delen over. Angripere kan få tilgang til dokumentserveren. For å fortsette med eksemplet blir angrepet oppdaget, PC-1 blir avbildet på nytt for å fjerne skadelig programvare, og IT-avdelingen er nå ekstra årvåken. Når det er sagt, er det ingen problemer for en av de andre kompromitterte PC-ene å ringe hjem, og de dårlige skuespillerne er tilbake i virksomhet.

Endre nettverkstopologien

Chang sier for å endre nettverkstopologien. Neste lysbilde gjør nettopp det. Å legge til proxy-serveren og den andre brannmuren vil gjøre det vanskelig for angripere å komme til dokumentserveren selv om kontrollen over de kompromitterte datamaskinene (sovende) er gjenvunnet.

Chang forklarer, "Skulle angriperne forsøke å infiltrere nettverket igjen, denne gangen ved å bruke PC-3, vil de trenge å bruke tid på å skanne nettverket på nytt. Dette er slik at de kan forstå funksjonen til proxy-serveren og prøve å få tilgang til dokumentserveren via prøving og feiling. Denne tiden kan være nok til at IT-administratorer oppdager ondsinnet aktivitet i nettverket og adresserer det. "

Å endre nettverkstopologi er vanskelig

Chang forstår at det ikke er noen liten oppgave å endre et bedriftsnettverk. Imidlertid kan man hevde å endre nettverket kan være enklere enn å prøve å sikre at hver datamaskin i nettverket er perfekt og ikke en sovende som venter på å ringe hjem.

Ny teknologi vil hjelpe også. I følge Chang kan "Nyere teknikker som programvaredefinert nettverk og nettverksfunksjoner virtualisering redusere vanskelighetsgraden med å endre nettverkstopologi. Administratorer kan først endre nettverkstopologien på en nettverkssimulator og emulator for å sikre at endringene er i orden før de bruker en SDN-policy-regel for å endre topologien. "

Chang konkluderer med artikkelen som nevner at å endre et nettverk under angrep ikke bør være den eneste bruken. Sikkerhet i lag er fortsatt nøkkelen med nettverksfeilretning som et av lagene.

© Copyright 2020 | mobilegn.com