Menu
Většina lidí dnes nebere na lehkou váhu zabezpečení svého počítače, pořizujeme si antiviry, nestahujeme na první pohled podezřelé soubory ani přílohy nevyžádaných mailů. To nás ochrání proti drtivé většině hrozeb.
Ale co když napadení přijde od souseda v síti? Hlídáte i tuto cestu?
U domácího počítače nemáte moc jiných možností než používat krom antiviru i firewall – ten by vás měl ochránit. A ideálně vám i říct, že se někdo pokusil o útok na váš počítač. Můžete se občas i sami podívat, s kým váš počítač zrovna komunikuje:
To je výstup z aplikace Sledování prostředků (Resource monitor). Ale ve firemní síti je potřeba trochu více.
Správce sítě by měl mít přehled o tom, co se na firemní síti děje. Ne, tím není myšleno, že by měl vidět obsah komunikace, to v žádném případě – ale měl by mít přehled o tom který počítač s kterým komunikuje a jak. A to nejen uvnitř firemní sítě, ale i směrem do internetu.
Jedním z nejčastějších zdrojů průšvihu bývá zařízení přinesené z domova a připojené do firemní sítě. Jistě, velmi pravděpodobně to zakazuje nějaký interní předpis ale… Co si budeme povídat, až příliš mnoho lidí si s něčím takovým hlavu nedělá.
Takový napadený počítač přinesený dovnitř sítě vlastně už nemusí překonávat většinu zabezpečovacích prvků, které jinak vaše IT oddělení postavilo mezi vás a džungli zvanou Internet.
Takový počítač s začne v síti rozhlížet, hledat zranitelnosti. V ten okamžik je největší šance odhalit ho a izolovat.
Samozřejmě nejlepší by bylo aby taková situace vůbec nenastala. Dá se tomu docela dobře předejít, a velmi jednoduše – segmentací sítě. Není potřeba mít jednu velkou síť a v ní všechna zařízení, to je dokonce špatně.
Oddělte od sebe jednotlivé skupiny zařízení a vytvořte mezi skupinami jen takové propoje, které jsou potřeba. Oddělte firemní počítače od chytrých zařízení jako tiskárny, od serverů a podobně. Vytvořte zcela oddělený segment pro zařízení přinesená z domova, s minimálními nebo žádnými prostupy do firemní infrastruktury. Není to tak těžké jak se může zdát, děláme to celkem běžně – pokud budete chtít, pomůžeme i vám.
K tomu, aby mělo IT oddělení vůbec šanci zareagovat, musí dostat informaci, že se něco děje. V okamžiku, kdy máte zašifrovanou většinu počítačů je obvykle pozdě.
Nestandardní síťový provoz bývá jednou z prvních známek napadení. Navíc napadené počítače dost často konči v botnetu, tedy jakési síti poslušných služebníčků, zcela ovládaných útočníkem. Ten ale musí své sluhy úkolovat, a k tomu s nimi potřebuje komunikovat. A to je naše šance – takový provoz je možno odhalit.
Dobře navržená síť s kvalitním hraničním firewallem vám dokáže dát včas echo, že něco není v pořádku. Dokáže i sama zareagovat a umlčet útočníka dřív, než napáchá škody. Podívejte se třeba ne tento výsek zachycené komunikace – ukazuje počítač, který byl napaden malwarem a nyní útočníkovi „těží“ virtuální měnu. Majitel o tom neměl ani tušení.
Všimněte si, že komunikace probíhá po portech 80 a 443, což je obyčejný web. Z pohledu běžného firewallu bude nejspíš vše v pořádku. Běžný firewall nezareaguje protože tyto porty má povoleny - bez nich byste se nepodívali na žádnou webovou stránku. Takový útok tedy zachytí až pokročilejší firewall, takový který umí identifikovat aplikace, typy provozu a dokáže rozpoznat i komunikaci, která se jako neškodná jen tváří. Tento to dokázal.
Naprostá většina výrobců nabízí možnost monitorovat a filtrovat síťový provoz. A to i s pokročilými technikami, které najdou nebezpečného vetřelce i na základě vzorců chování. Nemusíte se bát, nejde o Velkého bratra – obsah komunikace je v bezpečí. Ale druh a forma se zkoumat může, to většinou stačí.
Velmi často toto ve firmách konfigurujeme a pomáháme s nasazením. Je to nekončící boj s útočníky, kteří jsou bohužel vždy o něco napřed.
Firemní řešení třeba od Cisco, Fortigate nebo jiných velkých hráčů se může na první pohled zdát nákladné, ale přínos je mnohem větší. Nejlepší problém je totiž ten, kterému se podaří předejít.
U domácích sítí je to horší, ale například Ubiquity nabízí hodně zajímavé komponenty, které domácí rozpočet ještě ustojí. A za klidnější spánek to stojí.
Umíme vám pomoci i s tímto, a to bez ohledu na to jak rozsáhlá nebo naopak malá je vaše síť. Nechraňte pouze jednotlivé počítače, chraňte i síť mezi nimi – vyplatí se to!