Capitolul 4: Protejarea organizației

În acest capitol sunt prezentate o parte din tehnologiile și procesele utilizate de profesioniștii în domeniul
securității cibernetice pentru a proteja rețeaua, echipamentele și datele organizației. Vom vorbi pe scurt despre
tipurile de firewall, dispozitivele de securitate și programele software care sunt utilizate în prezent, inclusiv despre
cele mai bune practici în domeniu.

În continuare, în acest capitol sunt explicate noțiunile de botnets, kill chain, securitate bazată pe comportament și
de utilizare a NetFlow pentru a monitoriza o rețea.

În cea de-a treia secțiune este prezentată abordarea Cisco privind securitatea cibernetică, inclusiv echipa CSIRT
și manualul de securitate. Veți afla care sunt instrumentele pe care profesioniștii din domeniul securității
cibernetice le utilizează pentru a detecta și a preveni atacurile de rețea.

Tipuri de firewall

Un firewall este un zid sau o partiție proiectată pentru a împiedica răspândirea focului dintr-o parte a clădirii în
cealaltă. În networking, un firewall controlează sau filtrează comunicațiile care primesc permisiunea de intrare și
de ieșire dintr-un dispozitiv sau o rețea, așa cum se arată în figură. Un firewall poate fi instalat pe un singur
computer, cu scopul de a proteja acel computer (host-based firewall), sau poate fi un dispozitiv autonom de
rețea, care protejează o întreagă rețea de computere și toate dispozitivele gazdă din respectiva rețea (network-
based firewall).

De-a lungul anilor, pe măsură ce atacurile au devenit tot mai sofisticate, s-au dezvoltat noi tipuri de firewall, cu
diferite roluri în protejarea unei rețele. Iată câteva tipuri de firewall:

 Network Layer Firewall – filtrarea adreselor IP la sursă și destinație

 Transport Layer Firewall – filtrarea porturilor de date la sursă și destinație, precum și filtrare pe baza
stărilor de conexiune

 Application Layer Firewall – filtrare bazată pe aplicații, programe sau servicii

 Context Aware Application Firewall – filtrare bazată pe utilizator, dispozitiv, rol, tip de aplicație și
profilul amenințării

 Proxy Server – filtrarea interogărilor web precum URL, domeniu, media etc.

 Reverse Proxy Server – plasat în fața serverelor web, reverse proxy server protejează, ascund,
elimină și distribuie accesul la serverele web

 Network Address Translation (NAT) Firewall – ascunde sau maschează IP-ul privat al rețelei gazdă

 Host-based Firewall – filtrarea porturilor și a apelurilor pentru servicii de sistem pe un singur calculator

Port Scanning

Port-scanning este un proces de scanare a unui computer, server sau altă rețea gazdă pentru porturi deschise.
În networking, fiecărei aplicații care rulează pe un dispozitiv i se atribuie un identificator numit număr de port.
Numărul de port este utilizat la ambele capete ale transmisiei, astfel încât datele corecte să fie transmise
aplicației corespunzătoare. Port-scanning poate fi folosit în scopuri rău intenționate, pentru a identifica sistemul
de operare și serviciile care rulează pe un computer sau o gazdă, sau poate fi folosit legitim de către un
administrator de rețea pentru a verifica politicile de securitate din rețea.

Pentru a verifica firewall-ul de rețea și securitatea porturilor, puteți utiliza un instrument de scanare porturi
precum Nmap, pentru a găsi toate porturile deschise din rețea. Scanarea porturilor poate fi un semn pentru un
atac în rețea, de aceea nu trebuie făcută pe servere publice pe Internet sau în rețeaua unei companii, fără
permisiune.

Pentru a rula o scanare de porturi cu Nmap pe un computer din rețeaua de acasă, descărcați și lansați un
program precum Zenmap, introduceți adresa IP a computerului pe care doriți să îl scanați, alegeți un profil de
scanare implicit și apăsați „scan”. Scanarea Nmap va raporta serviciile care rulează (de exemplu servicii web,
servicii de mail etc.) și numerele de porturi. În general, în urma scanării unui port sunt obținute următoarele trei
rezultate:

 Deschis sau Acceptat – Gazda a răspuns că un serviciu ascultă un port.

 Închis, respins sau nu ascultă – Gazda a răspuns că vor fi interzise conexiunile cu portul.

 Filtrat, eliminat sau blocat– Nu a existat nici un răspuns din partea gazdei.

Pentru a executa o scanare de porturi din afara rețelei, va trebui să inițiați scanarea din afara rețelei. Aceasta va
implica rularea unui Nmap port-scan la firewall sau adresa IP publică a router-ului. Pentru a descoperi adresa IP
publică, utilizați un motor de căutare, cum ar fi Google, cu interogarea "care este adresa mea IP". Motorul de
căutare va returna adresa dvs. IP publică.

Pentru a rula un port-scan pentru șase porturi comune la routerul sau firewall-ul de acasă, accesați Nmap Online
Port Scanner la adresa https://hackertarget.com/nmap-online-port-scanner/ și introduceți adresa dvs. IP publică
în caseta: IP address to scan… și apăsați Quick Nmap Scan. Dacă răspunsul este deschis deschis pentru
oricare dintre porturile: 21, 22, 25, 80, 443 sau 3389, atunci cel mai probabil, a fost activat port forwarding pe
router sau firewall, iar serverele rulează în rețeaua privată, așa cum se arată în figură.
Echipamente de securitate

Nu există niciun echipament de securitate sau tehnologie care să rezolve toate cerințele de securitate a unei
rețele. Trebuie implementate o mulțime de echipamente și instrumente de securitate, de aceea este important ca
acestea să lucreze împreună. Echipamentele de securitate sunt cel mai eficiente atunci când fac parte dintr-un
sistem.

Echipamentele de securitate pot fi dispozitive independente, precum un router sau firewall, un card care poate fi
instalat într-un dispozitiv de rețea sau un modul cu procesor propriu și memorie cache. Echipamente de
securitate pot fi considerate și instrumentele software care rulează pe un dispozitiv de rețea. Categorii de
echipamente de securitate:

Routere -Integrated Service Routers (ISR) de la Cisco, prezentate în Figura 1, au multe capabilități firewall pe
lângă funcțiile router specifice, inclusiv filtrarea traficului, capacitatea de a rula un sistem de prevenire a
intruziunilor (Intrusion Prevention System - IPS), criptarea și capabilități VPN pentru secure encrypted tunneling.

Firewalls - Cisco Next Generation Firewalls au toate capabilitățile unui router ISR, precum și administrare
avansată de rețea și instrumente analitice Cisco Adaptive Security Appliance (ASA) cu capabilități firewall este
prezentat în Figura 2.

IPS - Dispozitivele IPS de generație următoare de la Cisco, prezentate în Figura 3, previn intruziunile.

VPN - Echipamentele de securitate Cisco sunt echipate cu un server VPN (Virtual Private Network) și cu
tehnologii client. Este proiectat pentru secure encrypted tunneling.

Malware/Antivirus - Advanced Malware Protection (AMP) de la Cisco este integrată în routerele, firewall-urile,
dispozitivele IPS, echipamentele de securitate pentru web și e-mail de următoarea generație de la Cisco, și
poate fi instalată și ca soluție software în computerele gazdă.

Alte echipamente de securitate – Această categorie include soluții de securitate pentru web și e-mail,
dispozitive de decriptare, servere de control al accesului clienților și sisteme de management al securității.

Detectarea atacurilor în timp real

Programele software nu sunt perfecte. Când un hacker exploatează o eroare într-un software înainte ca
programatorul să o repare, vorbim despre un atac de tip zero-day. Atacurile zero-day din prezent sunt tot mai
sofisticate, astfel încât, foarte probabil, atacurile asupra rețelelor vor avea succes. O securitate eficientă se
măsoară acum în capacitatea rețelei de a răspunde rapid la un atac. Obiectivul major îl reprezintă capabilitatea
de a detecta atacurile în timp real, precum și blocarea imediată a atacurilor sau în câteva minute de la apariția
lor. Din păcate, multe companii și organizații nu reușesc să detecteze atacurile decât după ce acestea au avut
loc: la zile sau chiar luni distanță.

 Scanarea în timp real, de la periferia rețelei la terminale - Detectarea atacurilor în timp real necesită
scanare activă împotriva atacurilor, prin intermediul firewall-ului și dispozitivelor de rețea IDS/IPS.
Arhitectura client/server de generație următoare cu conexiuni la centrele globale de amenințări online
pentru detectarea programelor malware e necesară. În prezent, dispozitivele și aplicațiile software de
scanare activă trebuie să detecteze anomalii de rețea utilizând analize bazate pe context și detectare a
comportamentului.

 Atacurile DDoS și răspunsul în timp real - DDoS este una dintre cele mai mari amenințări, care
necesită răspuns și detectare în timp real. Atacurile DDoS sunt extrem de greu de blocat, deoarece provin
de la sute sau mii de gazde zombie și apar ca trafic legitim, așa cum se arată în figură. Atacurile DDoS
repetate paralizează serverele de Internet și disponibilitatea rețelelor companiilor. Este extrem de important
să detectăm și să răspundem la atacurile DDoS în timp real.
Protecție împotriva programelor malware

Cum vă apărați împotriva atacurilor constante de tip zero-day sau advanced persistent threats (APT) care fură
date pe termen lung? Un răspuns este folosirea unei soluții avansate de detecție a programelor malware în timp
real.

Administratorii de rețea trebuie să monitorizeze constant rețeaua pentru a identifica programe malware sau
comportamente care dezvăluie un atac APT. Cu tehnologia Advanced Malware Protection Threat Grid de la
Cisco puteți analiza milioane de fișiere și le puteți corela cu sute de milioane de mostre malware deja analizate.
Obțineți astfel o imagine globală asupra atacurilor, campaniilor și distribuției acestora. AMP este un software
client/server implementat pe terminalele gazdă, ca server independent sau pe alte dispozitive de securitate a
rețelei. Figura prezintă avantajele oferite de AMP Threat Grid.
Bune practici în securitate

Numeroase organizații profesionale au publicat liste cu bune practici în domeniul securității. Vă prezentăm o listă
cu bune practici în securitate:

 Efectuați o evaluare a riscurilor – Înțelegerea importanței bunurilor pe care le protejați, vă va ajuta

atunci când justificați sumele alocate pentru securitate.

 Creați o politică de securitate – Creați o politică de securitate în care sunt stipulate în mod clar
regulile companiei, responsabilitățile și așteptările.

 Măsuri privind securitatea fizică – Restricționați accesul la cabinetele pentru rack-uri și cablaje, la
locațiile serverului, precum și la sistemele de stingere a incendiilor.

 Măsuri de securitate privind resursele umane – Angajații trebuie verificați în mod corespunzător.

 Back-up regulat – Efectuați backup-uri periodice și testați soluțiile de backup.

 Patch-uri și actualizări de securitate – Actualizați periodic sistemele de operare și programele pentru

servere, dispozitive client și de rețea.

 Control al accesului – Configurați roluri și niveluri de privilegii pentru utilizatori, precum și servicii de
autentificare puternice.

 Testați periodic răspunsul la incidente – Angajați o echipă de răspuns la incidente și testați scenariile
de răspuns în caz de urgență.

 Implementați un instrument de monitorizare, analiză și administrare a rețelei - Alegeți o soluție de

monitorizare a securității care se integrează cu alte tehnologii.

 Implementați dispozitive de securitate a rețelei – Utilizați routere, firewall-uri și alte dispozitive de

securitate de ultimă generație.
  Implementați o soluție completă de securitate pentru Endpoint – Utilizați programe software
antimalware și antivirus de tip enterprise.

 Instruiți utilizatorii – Instruiți utilizatorii și angajații în proceduri sigure

 Criptați datele – Criptați toate datele sensibile ale companiei, inclusiv e-mailurile.

Unele dintre cele mai utile ghiduri se găsesc arhivele unor organizații precum National Institute of Standards and
Technology (NIST) Computer Security Resource Center, după cum se arată în figură.

Una dintre cele mai cunoscute și respectate organizații de training în domeniul securității cibernetice este SANS
Institute. Clic aici pentru a afla mai multe despre SANS și despre trainingurile și certificările oferite.

Botnet

Un botnet este un grup de boți (prescurtarea de la robots, roboți), conectați prin Internet, care pot fi controlați de
un individ sau un grup rău intenționat. Un bot computer este de obicei infectat prin vizitarea unui site web,
deschiderea unui atașament e-mail sau deschiderea unui fișier media infectat.

Un botnet poate avea zeci de mii sau chiar sute de mii de boți. Boții pot fi activați să distribuie malware, să
lanseze atacuri DDoS, să trimită e-mailuri spam sau să execute atacuri brute force cu parolă. Botnets sunt de
obicei controlați printr-un server command and control.

Criminalii cibernetici închiriază adesea rețelele Botnets, contra unei taxe, unor terțe părți în scopuri necinstite.

Figura arată modul în care un filtru de trafic botnet este utilizat pentru a informa comunitatea globală de
specialiști în securitate cu privire la locațiile botnets.

Kill Chain în apărarea cibernetică

În securitatea cibernetică, Kill Chain reprezintă etapele unui atac informatic. Dezvoltat de Lockheed Martin ca un
cadru de securitate pentru detectarea și răspunsul la incidente, Cyber Kill Chain cuprinde următoarele etape:

Etapa 1. Recunoaștere - Atacatorul colectează informații despre țintă.

Etapa 2. Pregătirea atacului - Atacatorul creează un exploit și un payload malițios pentru a le trimite către țintă.

Etapa 3. Livrare - Atacatorul trimite exploitul și payload-ul prin e-mail sau o altă metodă.

Etapa 4. Exploatare - Exploit-ul este executat.

Etapa 5 Instalare - Pe dispozitivul victimei sunt instalate programe malware și backdoor.

Etapa 6. Command and Control - Dispozitivul este controlat de la distanță printr-un canal command and control
sau un server.

Etapa 7. Acțiune - Atacatorul fură informații sau atacă alte dispozitive din rețea, trecând din nou prin toate
etapele Kill Chain.

Pentru a putea oferi o protecție eficientă împotriva atacurilor de acest tip, sistemele de securitate a rețelei sunt
aliniate etapelor Kill Chain. Ce întrebări legate de securitate și bazate pe Cyber Kill Chain ar trebui să vă puneți:

• Care sunt indicatorii de atac în fiecare etapă a Kill Chain?

• Ce instrumente de securitate sunt necesare pentru a detecta indicatorii de atac în fiecare etapă?

• Există lacune în capacitatea companiei de a detecta un atac?

Potrivit companiei Lockheed Martin, înțelegerea etapelor din Kill Chain le-a permis să instaleze obstacole
defensive, să încetinească atacul și, în cele din urmă, să prevină pierderile de date. În figură se arată cum fiecare
etapă a Kill Chain intensifică acțiunile și costurile de blocare și remediere a atacurilor.

Securitate bazată pe comportamente

Securitatea bazată pe comportamentul în rețea reprezintă o modalitate de detecție a amenințărilor și anomaliilor
din rețea pe baza unui context informațional și nu pe semnături malițioase. Detecția pe baza comportamentelor
presupune captarea și analizarea fluxului de comunicare între un utilizator din rețeaua locală și o destinație
locală sau la distanță. Odată captate și analizate, aceste comunicări dezvăluie contextul și tiparele de
comportament care pot fi folosite pentru detectarea anomaliilor. Prin această modalitate putem descoperi rapid
un atac, urmărind schimbările apărute față de comportamentul normal.

 Honeypots - un Honeypot este un instrument de detecție bazat pe comportament, care mai întâi îl
atrage pe atacator în utilizarea unui anumit tip de comportament. Ulterior, administratorul de rețea poate
captura, compara și analiza comportamentul atacatorului. Acest lucru permite unui administrator să obțină
mai multe informații despre atacuri și să implementeze măsuri de securitate mai bune.

 Cyber Threat Defense Solution Architecture de la Cisco - este o arhitectură de securitate care
utilizează tehnici de detecție și indicatori pe bază de comportament, pentru a oferi o vizibilitate mai mare,
un context mai bun și mai mult control. Scopul este să știm cine atacă, ce atacă, unde atacă, când atacă și
cum are loc atacul. Pentru a atinge acest obiectiv, această arhitectura de securitate utilizează mai multe
tehnologii de securitate.

NetFlow

Tehnologia NetFlow este utilizată pentru a colecta informații despre datele care circulă într-o rețea. Informațiile
NetFlow pot fi comparate cu o factură de telefon pentru traficul de rețea. Vă arată cine e în rețea și ce dispozitive
sunt în rețea, precum și când și cum a fost accesată rețeaua de către utilizatori și dispozitive. NetFlow este o
componentă importantă a tehnicilor de detecție și analiză bazate pe comportament. Switch-urile, routerele și
firewall-urile echipate cu NetFlow pot raporta informații despre datele care intră, care ies și care circulă în rețea.
Informațiile sunt trimise către NetFlow Collectors care adună, stochează și analizează înregistrările NetFlow.

NetFlow este capabil să colecteze informații privind utilizarea prin intermediul mai multor caracteristici legate de
modul în care datele se deplasează în rețea, așa cum se arată în figură. NetFlow colectează informații despre
fluxurile de date din rețea, fiind capabil să determine comportamente standard pentru mai mult de 90 de atribute
diferite.
CSIRT

Multe organizații mari au o echipă de răspuns la incidente de securitate (CSIRT - Computer Security Incident
Response Team), care primește, examinează și răspunde la incidentele de securitate, așa cum este prezentat în
figura 1. Misiunea principală a CSIRT este de a asigura securitatea companiei, a sistemelor informatice și a
datelor, prin efectuarea unor investigații cuprinzătoare privind incidentele de securitate. Pentru a preveni
incidentele de securitate, echipa Cisco CSIRT furnizează evaluări proactive despre amenințări, realizează planuri
de atenuare a riscurilor și analize privind tendințele și revizuiește arhitectura de securitate, după cum se arată în
Figura 2.

Cisco CSIRT colaborează cu organizații precum Forum of Incident Response and Security Teams (FIRST),
National Safety Information Exchange (NSIE), Defence Security Information Exchange (DSIE) și DNS Operations
Analysis and Research Center (DNS-OARC).

Există, de asemenea, organizații CSIRT naționale și publice, precum Divizia CERT a Institutului de Inginerie
Software din cadrul Universității Carnegie Mellon, care pot oferi suport companiilor să dezvolte echipe CSIRT și
să-și îmbunătățească capabilitățile de gestionare a incidentelor.
Manualul de securitate

Tehnologiile se schimbă rapid. Atacurile cibernetice evoluează la rândul lor. Constant, sunt descoperite noi
vulnerabilități și metode de atac. Securitatea se află pe agenda majorității companiilor, care depun eforturi să
limiteze impactul financiar și reputațional al unei breșe de securitate. Atacurile cibernetice vizează rețele critice și
date sensibile. Organizațiile trebuie să aibă strategii de gestionare a breșelor de securitate și de remediere a
pagubelor produse de acestea.

Cea mai bună metodă de pregătire împotriva unui atac este prevenția. În cadrul organizației ar trebui să existe
direcții privind riscurile de securitate a sistemelor, activelor, datelor și capabilităților, legate de asigurarea și
aplicarea măsurilor de protecție necesare, precum și referitoare la metode de detecție imediată a unui incident de
securitate. Companiile trebuie să ia măsuri adecvate și imediate pentru minimizarea impactului și daunelor.
Planul de răspuns trebuie să fie flexibil și să includă multiple opțiuni de acțiune în timpul atacului. După
îndepărtarea amenințării de securitate și restaurarea serviciilor compromise, companiile trebuie să actualizeze
politicile și procesele de securitate.

Toate aceste informații trebuie compilate într-un manual de securitate. Un manual de securitate este o colecție
de rapoarte despre cauzele incidentelor de securitate, care permit detecția și răspunsul rapid la incidente. În mod
ideal, trebuie să ofere detalii despre următoarele acțiuni:

 Detecția echipamentelor infectate cu malware.

 Detecția activităților suspecte în rețea.

 Detecția încercărilor de autentificare nelegitime.

 Descrierea traficului de intrare și ieșire și înțelegerea modului în care funcționează.

 Informații suplimentare, inclusiv tendințe și statistici.

 Acces rapid la statistici și metrici.

 Corelarea evenimentelor în toate sursele de date relevante.

Instrumente pentru prevenirea și detecția incidentelor

Vă prezentăm câteva dintre instrumentele utilizate pentru detecția și prevenirea incidentelor de securitate:
  SIEM – SIEM sau Security Information and Event Management este un program software care
colectează și analizează alerte de securitate, fișiere de tip log și date istorice și în timp real de la
dispozitivele de securitate din rețea.

 DLP – Data Loss Prevention Software (DLP) este un sistem software sau hardware conceput pentru a
împiedica furtul de date sensibile dintr-o rețea. Activitatea DLP se concentrează pe autorizarea accesului la
fișiere, schimbul de date, copierea datelor, monitorizarea activității utilizatorilor și multe altele. Sistemele
DLP sunt proiectate pentru a monitoriza și proteja datele în trei stări diferite: date în uz, date în mișcare și
date în repaus. Datele în uz sunt cele de la client, datele în mișcare se referă la datele care se deplasează
în rețea, iar datele în repaus se referă la datele stocate.

 Cisco ISE și TrustSec – Cisco Identity Services Engine (Cisco ISE) și Cisco TrustSec oferă acces la
resursele de rețea prin crearea unor politici de control al accesului bazat pe roluri, care segmentează
accesul la rețea (oaspeți, utilizatori mobili, angajați). Traficul este clasificat în funcție de utilizator sau
dispozitiv. Click pe butonul play în figura din cursul online pentru a afla mai multe despre ISE.

 Click aici pentru a citi transcrierea acestui video.

IDS și IPS

Sistemul de detecție a intruziunilor (Intrusion Detection System, IDS), prezentat în figură, este fie un dispozitiv
dedicat de rețea, fie unul dintre instrumentele dintr-un server sau un firewall, care scanează date dintr-o bază de
date de reguli sau semnături de atac, căutând trafic rău intenționat. Dacă este identificată o corelație, IDS va
înregistra elementul și va crea o alertă pentru administratorul de rețea. IDS nu ia măsuri atunci când identifică o
corelație, prin urmare nu blochează un atac. Funcția IDS este doar de a detecta, înregistra și raporta.

Operațiunea de scanare executată de IDS încetinește procesele în rețea (cunoscută sub denumirea de latență).
Pentru a preveni latența în rețea, un IDS este de obicei plasat offline, separat de traficul obișnuit în rețea. Datele
sunt copiate sau redate de un switch și direcționate către IDS pentru detecție offline. Instrumente IDS pot fi
instalate și pe sistemul de operare al unui computer gazdă, cum ar fi Linux sau Windows.

Un sistem de prevenire a intruziunilor are capacitatea de a bloca sau de a refuza traficul, pe baza unei reguli
pozitive sau a unei semnături corespondente. Unul dintre cele mai cunoscute sisteme IPS/IDS este Snort.
Versiunea comercială a Snort este Sourcefire de la Cisco. Sourcefire are capacitatea de a efectua analize privind
traficul și porturile în timp real, de a înregistra rezultatele, de a căuta și corela conținutul, precum și de a detecta
activitățile de sondare, atacurile și scanările de porturi. Se poate integra cu alte instrumente de raportare și
analiză.

Capitolul 4: Protejarea organizației

În acest capitol am discutat despre tehnologiile și procesele utilizate de profesioniștii din domeniul securității
cibernetice pentru a asigura protecția rețelei, echipamentelor și datelor organizației. Am vorbit despre tipuri de
firewall-uri, dispozitive de securitate și programe software.

Am abordat subiecte precum botnets, kill chain, securitate bazată pe comportamente și cum utilizăm NetFlow
pentru monitorizarea rețelei.

Am explicat care este abordarea Cisco în domeniul securității cibernetice, am vorbit despre echipa CSIRT și
manualul de securitate. În acest capitol am prezentat instrumentele pe care le folosesc profesioniștii din domeniul
securității cibernetice pentru a detecta și a preveni atacurile în rețea, inclusiv SIEM, DLP, Cisco ISE și TrustSec,
precum și sistemele IDS și IPS.

Dacă doriți să explorați în detaliu noțiunile din acest capitol, vă rugăm să consultați pagina Additional Resources
and Activities din Student Resources.