Subiectul 1.

Mediul de securitate cibernetică: amenințare, actori,

impact, SOC
Actorii – atacatorii
Atacatorii pot fi amatori, hacktivisti, grupuri de crimă organizată, grupuri teroriste
sau grupuri sponsorizate de actori statali:
Amatori – numiți și script kiddies sunt acei actori care nu au cunoștințe de
specialitate. Aceștia folosesc anumite aplicații/comenzi. Motivația lor poate fi de
a demonstra anumite calități în domeniu prin atacarea unor resurse, curiozitatea,
etc. Cu toate acestea pot produce daune considerabile entităților atacate.
Hacktivist – sunt atacatori care protestează împotriva unor idei politice sau
sociale. De multe ori ținta acestora sunt organizații private sau guvernamentale
prin dezvăluirea unor informații sensibile, postarea unor articole/videoclipuri sau
atacarea unor servicii web prin atacuri Denial of Service (DoS) sau Distributed
DoS (DDoS).
Hacker interesați de câștiguri financiare – doresc accesul la informații bancare,
date personale, fiind motivați de câștigurile financiare.
Actori statali – mediul cibernetic poate fi folosit ca mijloc de spionaj, furt de
proprietate intelectuală, furt de proprietate industrială, amestecare în afacerile
interne ale altor state, per total obținerea unui avantaj în raport cu alte state.
Internetul lucrurilor (IoT) – numărul tot mai mare de produse de tip IoT a dus
la apariția unor atacuri extrem de sofisticate care au la bază aceste tipuri de
echipamente. Având în vedere natura acestor dispozitive și mediul de utilizare,
componentele firmware/software nu sunt actualizate frecvent și de cele mai multe
ori sunt vulnerabile la atacuri de complexitate redusă, fiind folosite ca punct de
intrare în rețele de o anvergură mult mai mare, dar pot fi și folosite ca boți în
atacuri de tip Distributed Denial of Service.

Impactul
Așa cum a fost descris anterior, impactul poate fi: pierderea unor date cu caracter
personal/confidențial (GDPR), pierderea avantajului competitiv, pierderi
financiare, pierderi guvernamentale (e.g. date clasificate), pierderea unor secrete
industriale, întârzierea unor proiecte de anvergură, afectarea economiei sau a
mediului politic/social (e.g. implicarea unor actori statali în alegeri).
SOC – Centrul operațional de securitate
Pentru a asigura o protecție eficientă împotriva amenințărilor se poate înființa o
echipă cu o abordare structurată, disciplinată și formalizată pentru adresarea
incidentelor de securitate. Echipele SOC pot furniza o multitudine de servicii
precum monitorizarea incidentelor, managementul incidentelor de securitate,
găzduirea serviciilor de securitate, etc.
Conform institutului SANS, centrul SOC este organizat pe trei niveluri astfel:
- Nivelul 1 – sunt acei analiști care investighează alertele de securitate pentru
a identifica dacă un eveniment este de fapt un incidente de securitate. Dacă
se dovedește că alerta are potențialul de a fi un incident de securitate ce
trebuie investigat suplimentar, nivelul 1 escaladează tichetele către nivelul
2.
- Nivelul 2 – sunt acei profesioniști care analizează incidentele de securitate
și recomandă efectuarea anumitor măsuri de remediere.
- Nivelul 3 – sunt acei profesioniști care au o experiență într-un anumit
domeniu (e.g. rețele, endpoint, malware) astfel încât să înțeleagă detaliile
unui atac: modul de operare, impactul și cum poate înlăturat. Tot la nivelul
3 sunt specialiștii care dezvoltă noi aplicații pentru lupta împotriva
amenințărilor.
- Manager – este acel profesionist care coordonează activitatea și resursele
centrelor SOC
Subiectul 2 - Protocoale de retea și servicii – vulnerabilități comune,
tipuri de exploatări (atacuri) la nivelul protocoalelor de rețea
Pentru a putea răspunde provocărilor din mediul cibernetic este necesară
cunoașterea la un nivel minimal a protocoalelor elementare de rețea: Ethernet,
ARP, ICMP, IP, NAT, TCP/UDP, precum și a serviciilor DNS, DHCP, FTP,
SMTP, HTTP sau a utilitarelor de depanare ping, traceroute, wireshark. Atacurile
sunt îndreptate uneori asupra protocoalelor elementare specifice rețelelor TCP/IP,
alteori sunt targetate serviciile, aplicațiile sau bazele de date.
Vulnerabilitățile specifice protocoalelor de bază din stiva TCP/IP pot fi sintetizate
astfel:
- Atacuri ICMP – atacatorii folosesc pachete ICMP pentru descoperirea
rețelelor sau hosturilor (scanare), pentru a genera oprirea serviciilor prin
atacuri de tip flood sau pentru alterarea tabelelor de rutare
- Atacuri DoS – prin care se împiedică accesul utilizatorilor legitimi la
resurse
- Atacuri DDoS – Același principiu ca în cazul anterior dar diferă prin faptul
că atacul este coordonat și transmis simultan de la mai multe mașini sursă
- Atacuri de tip spoofing (falsificarea identității) falsificarea câmpului sursă
(IP, MAC)
- Atacuri de tip MiTM (man-in-the-middle) – atacatorii se plasează între
sursă și destinație și monitorizează, capturează și controlează
comunicațiile.

Atacuri în stiva TCP/IP - ICMP

Atacatorii folosesc pachete de tip ICMP pentru activități de recunoaștere/scanare
prin identificarea hosturilor care sunt active, identificarea sistemului de operare
folosit, pentru a afla starea unui firewall sau pentru atacuri de tip DoS.

Mesajele de tip ICMP de interes sunt:

- ICMP echo request și echo reply – pot fi folosite pentru verificarea
hosturilor și pentru atacuri de tip DoS
- ICMP unrechable – sunt folosite pentru activități de recunoaștere
- ICMP redirect – folosite pentru atacuri de tip interceptarea traficului -
MiTM (Man in the middle)
- ICMP router discovery - folosite pentru a injecta rute în tabela de rutare a
unui host victimă
Având în vedere importanța acestui protocol pentru atacatori și multitudinea de
posibilități de atac, trebuie să existe un control strict asupra utilizării acestuia prin
filtrări (cel puțin pentru pachetele primite din mediul Internet) sau prin alte
mecanisme/dispozitive de detectare a atacurilor precum IDS, IPS (Intrusion
Detection System – Instrusion Prevention System) sau analiza logurilor de pe
sisteme.
Denial of Service (DoS) este acel atac îndreptat asupra unei mașini sau serviciu
prin care se împierdică accesul utilizatorilor legitimi la acele resurse temporar,
sau pe perioadă nedefinită.
Exemple de atacuri (ICMP - DoS):
Smurf attack – multe pachete echo request cu ip sursa adresa victimei, victima
primeste multe pachete de tip reply
Ping flood – este acel atac în care se transmite către victimă un număr mare de
pachete de tip request cu dimensiuni mari care afectează toată banda sau puterea
de procesare a victimei
Ping of Death – este un atac care a avut succes pe sistemele mai vechi fără
actualizări în care se folosește un pachet modificat de tip ICMP de dimensiuni
foarte mari care, fie duce la înghețarea sistemului victimei, fie efectiv la
închiderea mașinii respective.
Distributed Denial of Service DDoS
Este un atac de tip DoS în care sursa nu este unică ci este reprezentată de un număr
foarte mare de adrese unice.
De multe ori pentru executarea acestui tip de atac, atacatorii folosesc rețele de
calculatoare infectate (zombie) - rețele de boți (botnets) care au fost exploatate
de către atacator pentru a executa comenzile ordonate de către acesta. Astfel,
atacatorul poate lansa un atac asupra infrastructurii victimei. Uneori, un calculator
infectat poate infecta la rândul său și alte victime mărind astfel rețeaua de tip
botnet. Este important de precizat faptul că lansarea unui atac de tip DDoS prin
intermediul calculatoarelor zombie nu este singura acțiune malițioasă pe care o
poate executa atacatorul, el poate folosi accesul la victimă pentru extragerea de
date – parole – informații, pentru obținerea de foloase financiare, etc.
Numărul tot mai mare de dispozitive de tip IoT folosite în Internet, care sunt de
foarte multe ori exploatabile fac ca numărul de rețele de tip botnet să crească
exponențial.
Atacurile de tip DDoS sunt foarte ușor de detectat și foarte greu de combătut.
Există o serie de măsuri pentru a limita impactul acestora: configurarea
corespunzătoare a firewall-urilor sau dispozitivelor IPS, aplicarea de mecanisme
de limitare a traficului, aplicarea de politici de securitate sistemelor, etc.
Atacuri de tip spoofing (MAC/IP)
Sunt acele atacuri în care adresa sursă (MAC/IP) a atacatorului este înlocuită, fie
pentru a-și ascunde identitatea, fie pentru a se da drept un alt utilizator, fie pentru
a lansa alte tipuri de atacuri.
- ARP Spoofing sau ARP Cache Poisoning este acel atac în care atacatorul
răspunde cu propriul MAC la cererile ARP dintre două hosturi (sau dintre
un host și Default Gateway). Astfel, tot traficul este trecut prin mașina
atacatorului (atac MiTM).
- MAC Table Overflow este acel atac prin care atacatorul transmite un
număr mare de pachete cu MAC sursă diferit pe un port din switch astfel
încât tabela de MAC-uri (CAM) se umple rapid. După umplerea tabelei de
MAC-uri switch-ul face flood pe toate porturile permițând atacatorului să
intercepteze traficul.
- Smurf attack – prezentat anterior

Atacuri asupra protocolului TCP

Deși TCP este un protocol orientat pe conexiune, există mai multe vulnerabilități
în funcționarea acestuia care pot fi exploatate.
Prin natura modului de funcționare, TCP este susceptibil la activități de scanare
(recunoaștere) – întrucât pentru inițierea unei sesiuni TCP, victima trebuie să
răspundă pachetelor de tip SYN recepționate de la atacator. Aceasta este doar o
metodă de scanare bazată pe TCP, însă există multiple metode pentru a evita
detecția.
Este important de menționat faptul că, deși protocolul UDP nu este orientat pe
conexiune, există metode de scanare care se bazează în principiu pe răspunsul
victimei la pachetele UDP de scanare prin pachete de tip ICMP unreachable.
De asemenea, TCP este susceptibil la atacuri de tip DoS iar unul dintre cele mai
reprezentative este TCP SYN Flood Attack care presupune inundarea victimei
cu mesaje de tip TCP SYN de la IP-uri sursă modificate. Conform schemei three
way handshake, victima răspunde pachetelor de la atacator prin SYN/ACK.
Atacatorul nu mai răspunde prin pachete de tip ACK pentru finalizarea negocierii
astfel încât conexiunile rămâne deschise „pe jumătate”. În acest fel, atacatorul
epuizează toate sesiunile disponibile pe server astfel încât, atunci când un client
face o cerere legitimă, aceasta nu mai poate fi tratată.

Atacuri asupra protocolului DNS

Există mai multe tipuri de atacuri asupra protocolului și a serverelor care oferă
aceste servicii. Dintre acestea amintim:
- DNS Spoofing sau DNS cache poisoning – reprezintă atacul prin care sunt
introduse intrări false (modificate de atacator) în DNS cache, astfel încât
victima să primească un răspuns incorect și să fie redirecționată către un
site greșit.

- Atacuri DoS de tip amplificare și reflexie prin DNS – menționate anterior

- Afectarea resurselor serverelor DNS astfel încât să nu mai poată răspunde
la solicitări
- Atacuri asupra serverelor DNS care presupun modificări rapide ale
intrărilor din DNS astfel încât atacatorii să îsi ascundă identitatea
- DNS Shadowing presupune compromiterea unui domeniu părinte și crearea
de sub-domenii folosite pentru activități malițioase
- Tunelare DNS – sunt folosite pachete specifice protocolului DNS pentru a
transmite trafic non-DNS – spre exemplu pentru a exfiltra date dintr-o rețea
fără a fi detectat sau pentru a controla computerele infectate dintr-o rețea
de botnets.

Atacuri asupra protocolului DHCP

Principalul atac asupra serverelor DHCP se numește DHCP spoofing și
presupune introducerea de către atacator în rețea a unui server DHCP malițios
care va furniza clienților configurări IP false:
- Prin modificarea valorii default gateway atacatorul poate executa atacuri de
tip man in the middle dându-se drept gateway pentru întreaga rețea
- Modificarea valorii DNS – clientul va accesa site-urile atacatorului în loc
sa acceseze site-uri legitime (ele sunt făcute să arate la fel ca site-urile
legitime – astfel atacatorul obține credențiale de acces sau alte informații
sensibile)
- IP-uri incorecte – împiedică accesul clientului la rețea
Un atac interesant la nivelul protocolului DHCP se numește DHCP starvation și
funcționează astfel: un atacator trimite cereri false de la MAC-uri sursă diferite și
alocă toate adresele disponibile astfel încât să nu mai rămână adrese pentru
utilizatorii legitimi. În situația generată, se pune la dispoziție serverul DHCP
malițios care va furniza clienților informații false.

Atacuri asupra protocoalelor HTTP/HTTPS

Există multiple moduri de exploatare a vulnerabilităților în protocoalele HTTP.
În majoritatea cazurilor atacurile se desfășoară astfel:
- Victima accesează un site compromis
- Pagina compromisă redirectează utilizatorul pe un site al atacatorului care
conține cod malițios
- Computerul victimei este scanat prin intermediul codului malițios pentru a
identifica alte vulnerabilități (versiuni vulnerabile Java, OS, etc)
- După identificarea versiunilor software vulnerabile este contactat
managerul atacatorului care furnizează soluțiile necesare pentru
exploatarea vulnerabilităților și pentru a rula cod malițios pe calculatorul
victimei
- Calculatorul victimei este compromis

Atacuri asupra serviciului Email

- Atacuri bazate pe accesarea de atașamente – multe dintre atacurile pe email
funcționează prin transmiterea de mesaje de tip phishing (în care atacatorul
pretinde că este o entitate cunoscută victimei) și convinge astfel victima să
descarce și să execute un atașament infectat.
- Email spoofing – Este tot un tip de phishing însă atacatorul încearcă să
determine victima să furnizeze informații confidențiale (parole, credențiale
de acces la site-uri financiare, transferuri bancare, carduri) sau să trimită
bani către atacator. În aceste mesaje, atacatorul folosește o identitate
familiară victimei (logo asemănător cu al băncii, adresă sursă apropiată de
cea a băncii, etc)
- Emailuri spam – mesaje nesolicitate ce conțin reclame sau fișiere malițioase
- Server de email nesecurizat – atacatorii folosesc astfel de servere pentru a
trimite mailuri de tip spam sau mailuri de tip phishing către victime
Pentru protecția serviciilor de email se pot utiliza echipamente/soluții dedicate,
motoare antivirus/antispam și cel mai important – educarea utilizatorilor pentru a
recunoaște atacurile de tip phishing prin identificarea link-urilor sau
atașamentelor suspecte.
Atacuri asupra aplicațiilor web – baze de date
În majoritatea cazurilor aplicațiile web sunt conectate la o bază de date care, de
cele mai multe ori conține informații sensibile. Aceste informații sunt în multe
situații o țintă pentru atacator.

Subiectul 3 - Securizarea infrastructurii de rețea – echipamente și

tehnologii – Firewall, IPS/IDS, WAF, ACL, SNMP, Netflow, Protocol
analyzers, Syslog, SIEM, NTP, AAA, VPN

Având în vedere toate tipurile de atacuri prezentate anterior precum și mediul

specific care se modifică în fiecare zi prin apariția de noi vulnerabilități, se pune
așadar problema măsurilor necesare securizării sistemelor de comunicații și
informatică.
Nu există o soluție universală care garantează faptul că o rețea este protejată. Însă,
prin cunoașterea amenințărilor, a bunurilor pe care trebuie să le protejăm și a
vulnerabilităților din rețea, este posibilă conturarea unor soluții care să
minimizeze riscul.
Multe dintre soluțiile propuse în cele ce urmează se completează sau, uneori,
aparent se suprapun. Este totuși important de menționat un principiu din
securitatea cibernetică numit sistem defensiv în trepte sau Defense-in-depth.
Defense-in-depth este un concept care presupune construirea securității prin
multiple straturi de controale de securitate pentru asigurarea redundanței în
situația în care un nivel este compromis. Acest concept se extinde de la măsurile
tehnice la măsurile procedurale, de personal sau fizice.
Uneori, acest concept mai este cunoscut și sub numele de ”security onion” întrucât
protejarea mijlocului (a bunurilor) trebuie să se facă strat cu strat.
 Figura 12. Principiul de securitate Onion vs Artichoke [1]

În cazul anghinarei pentru a ajunge la miez (date) nu mai este nevoie să se elimine
frunză cu frunză ci este suficientă eliminarea anumitor frunze. Și de cele mai
multe ori, eliminarea unor frunze poate duce la pierderea unor date sensibile. (e.g.
utilizarea unor dispozitive mobile personale în companie poate crea o breșă de
securitate mult mai facil de exploatat decât prin atacarea rețelelor LAN protejate).
În continuare, se vor prezenta o serie de echipamente și servicii care au potențialul
de a fi utilizate pentru protejarea rețelei și a bunurilor vehiculate sau găzduite de
aceasta.

Firewall
Este o componentă a infrastructurii de securitate care separă rețele sau
calculatoare cu cerințe diferite de securitate. Firewall-ul impune o politică de
control a accesului între rețele.
Folosirea firewall-urilor aduce multiple avantaje, dintre care amintim:
- Sunt principalul punct de tranzit între rețelele interne ale unei companii și
rețelele externe (e.g. Internet) și astfel este limitată expunerea de hosturi
sensibile, resurse sau aplicații către utilizatori nelegitimi
- Pot inspecta funcționarea protocoalelor de rețea pentru a identifica anumite
tentative de exploatare
Totuși, trebuie menționat faptul că folosirea firewall-urilor prezintă anumite
limitări:
- Configurarea eronată poate avea un impact puternic asupra securității dar
și disponibilității rețelei
- Trafic nelegitim poate fi tunelat fără a fi detectat
- Poate fi afectată performanța
Tipuri de firewall-uri:
1. Packet filter (stateless) – poate inspecta headerele de nivel 3 și 4 în funcție
de anumite reguli configurate de către administrator (asemănător cu
regulile ACL de pe un router).
2. Stateful – un asfel de firewall permite sau blochează traficul luând în
considere atât informațiile de la nivelul 3 și 4 cât și starea sesiunilor.
Practic, acesta monitorizează toată activitatea de la începerea unei sesiuni
până la terminarea acesteia. În firewall-urile stateful decizia de filtrare se
face atât în baza regulilor configurate de administrator cât și prin
context.
3. Application Layer Firewall – filtrează după informațiile de la nivelurile
3, 4, 5 și 7. Concret, acest tip de firewall cunoaște modalitatea de
funcționare a aplicațiilor și protocoalelor de nivel 7 și poate identifica
un comportament anormal în funcționarea sau utilizarea acestora. Firewall-
urile moderne numite uneori UTM (Unified Threat Management) sau
NGFW (Next generation firewall) înglobează tehnologii sau tehnici
specifice altor sisteme dedicate de securitate precum antivirus sau IPS.

Intrusion Prevention System/Instrusion Detection System (IPS/IDS)

Componentă a infrastructurii de securitate care realizează monitorizarea activității
din rețea pentru blocarea/detectarea activităților malițioase. Pentru identificarea
de pattern-uri malițioase, aceste echipamente folosesc detecție pe bază de
semnături sau detecție pe bază de anomalii statistice. Semnăturile pot fi utilizate
pentru a detecta breșe sau atacuri comune în rețea. Este important de precizat că
IPS este o tehnologie care poate fi înglobată în firewall sau poate fi echipament
de sine stătător.

Diferențe IPS/IDS
IPS prezintă avantajul că este conectat inline în rețea adică tot traficul care intră
și iese din rețea trece prin el. Acest lucru înseamnă ca un atac poate fi oprit înainte
să provoace daune (pachetele malițioase sunt efectiv aruncate).
Dezavantajul IPS este că, fiind conectat inline poate afecta performanța rețelelor
prin introducerea de întârzieri/jitter sau chiar poate afecta disponibilitatea (Single
Point of Failure).
IDS este utilizat offline astfel că nu impactează performanța rețelelor prin
introducerea de întârzieri sau jitter.
Echipamentele IDS identifică posibile incidente, loghează informațiile, alertează
administratorii și creează rapoarte. Astfel, diferența față de IPS este că soluțiile
IDS nu pot opri un atac în timp real.
În practică, cele două soluții nu se exclud reciproc ci în funcție de nevoie pot fi
folosite ambele: IDS poate fi utilizat pentru o inspecție mai profundă care nu ar
putea fi realizată pe un echipament inline, iar IPS poate fi utilizat pentru
identificarea unui număr mai mic și specific de semnături critice.

WAF – Web Application Firewall

Este o soluție de securitate de tip reverse-proxy (primește – inspectează -
forwardează cererile de la clienți către serverele web) care protejează împotriva
atacurilor la nivelul serviciilor HTTP. Aceasta inspectează traficul înainte să
ajungă la aplicație și protejează serverul prin filtrarea amenințărilor care ar putea
afecta funcționarea serverului sau care ar putea compromite datele. Este o soluție
dedicată care permite detectarea atacurilor specifice HTTP precum XSS (cross-
site-scripting, cross-site forgery, SQL Injection etc)
Servicii de securitate

Access Control Lists (ACL)

Permit controlul traficului la nivelul rețea pe baza informațiilor din headerul
pachetelor. Prin listele tip ACL se poate realiza o filtrare de bază a traficului din
rețea, ca nivel primar de securitate, sau din raționamente de maximizare a
performanței (de exemplu prin interzicerea unui anumit tip de trafic – e.g. torenți,
video, etc).
Simple Network Management Protocol (SNMP)
Este un protocol folosit pentru monitorizarea funcțională a echipamentelor
terminale sau a echipamentelor de rețea (servere, routere, switch-uri, appliance-
uri, etc). Este un instrument extrem de util pentru identificarea și remedierea
problemelor de rețea, pentru identificarea soluțiilor de scalare a rețelei și uneori
chiar pentru identificarea unor probleme de securitate.
Practic, prin intermediul protocolului SNMP se primesc de la dispozitivele
monitorizate un set customizabil de informații precum: starea interfețelor de rețea,
încărcarea pe interfețe, erori, încărcarea procesorului, vlan-uri, etc.

Netflow
Este o soluție care se activează pe routere sau switch-uri L3 și care permite analiza
sesiunilor IP tranzitate la nivelul acestora. Concret, prin intermediul Netflow se
poate vedea cine cu cine a comunicat dar nu se cunoaște conținutul.
Netflow poate fi folosit pentru monitorizarea rețelei, planificarea și scalarea
rețelei, identificarea zonelor de congestie, identificarea traficului pentru plata
serviciilor (accounting) și nu în ultimul rând pentru monitorizări de securitate.
Netflow este un instrument extrem de util pentru identificarea și remedierea
efectelor atacurilor întrucât permite urmărirea fazelor atacului de la momentul
infectării pănâ la momentul compromiterii altor echipamente, servicii sau bunuri
ca urmare a pivotajului atacatorului pe orizontală.
Protocol analyzers - Port Mirroring
Port mirroring este o facilitate disponibilă pe switch-uri, care permite crearea de
copii integrale ale traficului care trece printr-un switch. Acestea sunt transmise
către un port pe care ascultă o soluție de monitorizare (numit packet sniffer, traffic
sniffer sau protocol analyzer) care capturează pachetele primite pe interfața de
rețea și afișează detaliile acestora.
 Figura 15. Copierea traficului pentru analiza detaliată [1]
Port mirroring este o tehnică extrem de utilă pentru componenta de securitate,
fiind o modalitate prin care traficul poate fi redirecționat către un echipament de
monitorizare precum IDS.
De asemenea, permite administratorilor să inspecteze tot traficul din rețea pentru
identificarea de anomalii.
Un alt rol extrem de important este de a asigura măsurile reactive de răspuns la
un atac prin identificarea punctelor de intrare, de pivotaj și de exfiltrarea a datelor.
Este totuși important de precizat faptul că, deși este o soluție completă pentru a
identifica fazele unui atac, este extrem de dificil de stocat și de urmărit întrucât
de multe ori presupune verificarea unui volum foarte mare de date.
Security Information and Event Management - SIEM
Este o soluție de securitate care asigură raportări în timp real ale unor evenimente
de securitate și asigură posibilitatea de analiză a incidentelor pe termen lung.
SIEM-ul este practic o soluție integrată care cuprinde o bază de date care agregă
toate log-urile din rețea, le transpune într-o formă comună pentru a fi vizualizate
cu ușurință, emite alerte și raportări de securitate într-o interfață grafică care poate
fi consultată de administratori.
Folosirea unui echipament de tip SIEM-ul are următoarele avantaje:
- Forensic – permite analiza centralizată și detaliată a unui incident în baza
informațiilor stocate de la toate echipamentele monitorizate
- Normalizare – toate logurile sunt aduse la o formă comună
- Agregare – sunt eliminate evenimentele duplicate
- Corelare – corelează evenimente pentru identificarea/alertarea unor
activități malițioase
- Raportare – Prezintă evenimentele corelate și agregate în timp real pentru
a fi monitorizate și prezintă rezumate ale activității pe termen lung

Network Time Protocol - NTP

Protocolul NTP este folosit pentru sincronizarea temporală a tuturor
dispozitivelor din rețea prin intermediul unui server de timp. Toate aspectele
privind monitorizarea, administrarea, depanarea sau planificarea rețelelor
sunt dependente de identificarea temporală precisă. Dacă timpul nu ar fi
sincronizat între dispozitivele de rețea ar fi imposibilă determinarea ordinii
evenimentelor, acesta fiind un aspect vital, în special pentru metodologia de
răspuns la incidente de securitate.
Sursa de timp a serverelor NTP poate fi un ceas local cu o precizie ridicată sau,
se poate sincroniza cu alte servere NTP disponibile spre exemplu pe Internet, NTP
având o arhitectură ierarhică bazată pe straturi (stratum). Un număr stratum mai
mic înseamnă că dispozitivul este mai aproape de sursa de timp. Nivelul maxim
este stratum 16 – nesincronizat.

Autentificare – Autorizare – Accounting (AAA)

Este un principiu de securitate care înglobează trei funcții esențiale și le
gestionează centralizat:
- Autentificarea – utilizatorul demonstrează că este cine pretinde că este.
Acest lucru se poate face prin:
o Ceea ce cunoaște: nume de utilizator și parolă, PIN
o Ceea ce deține: card/token
o Ceea ce este: mijloace biometrice
- Autorizarea – stabilește la ce resurse are dreptul utilizatorul după ce a fost
autentificat.
- Accounting/auditare – auditează ce activități a desfășurat utilizatorul cât a
fost în sistem, ce resurse a accesat, timpul în care a desfășurat activități.
Pentru comunicarea cu serverele AAA se pot folosi protocoalele RADIUS
(standard - deschis) sau TACACS+ (proprietar Cisco).

VPN
Este o soluție tehnologică care simulează stabilirea unei rețele private peste o rețea
comună (uneori publică). În funcție de specificul aplicațiilor care necesită
tehnologiile VPN, poate fi necesară protejarea confidențialității, integrității și a
disponibilității datelor.
Exemple: IPSec, TLS, Wireguard
Utilizări:
- IPSec este folosit de cele mai multe ori pentru tunelarea a două rețele (site-
to-site VPN). De exemplu, dacă o companie dorește să stabilească o
conexiune între două locații distante poate folosi tehnologia IPSec în modul
de operare tunel pentru a asigura legătura peste medii de transport publice,
astfel încât să se poate asigura confidențialitatea, integritatea sau
disponibilitatea datelor.
- TLS este folosit de cele mai multe ori în arhitecturi de tip „Remote Access
VPN” adică acel tip de VPN care permite utilizatorilor accesarea resurselor
 companiei de la distanță. Un exemplu de aplicație care folosește tunelarea
TLS este OpenVPN.
- Wireguard este un protocol nou, sigur și eficient care funcționeaza atât ca
remote access VPN, dar poate fi folosit și ca site-to-site VPN.
- End-to-End Encryption este o tehnică VPN întâlnită în special când se
vorbește despre dispozitivele mobile și care permite criptarea traficului
direct între dispozitivele finale fără a mai fi decriptare la nivelul unui server.
[1][2][4]

Subiectul 4 - Principii de securitate și categorii de atacuri:

confidențialitate, integritate, disponibilitate (triada CIA), amenintare-
vulnerabilitate-risc, categorii de atacuri cibernetice

Principii de securitate
În capitolele anterioare s-a putut remarca faptul că există un număr extrem de
mare de atacuri și de soluții de securitate. Această multitudine de opțiuni poate
crea o oarecare confuzie pentru un analist de securitate cibernetică.
Totuși, abordarea corectă pentru identificarea soluțiilor potrivite trebuie să plece
de la o analiză sistematică care identifică și tratează riscurile. Pentru identificarea
riscurilor, inginerii de securitate trebuie să identifice: bunurile protejate,
vulnerabilitățile existente și amenințările posibile.
Bunurile: orice este considerat de valoare pentru o organizație și care trebuie
protejat: dispozitive de infrastructură, servere, dispozitive finale și, desigur, poate
cel mai importante sunt datele. Managementul bunurilor presupune inventarierea
acestora și ulterior identificarea și implementarea de politici și proceduri
pentru protecția acestora.
Vulnerabilități: reprezintă o slăbiciune sau o lipsă de control într-un sistem care
poate permite sau facilita exploatarea de către o amenințare.
Identificarea vulnerabilităților într-o rețea presupune înțelegerea detaliată a
aplicațiilor și a hardware-ului. Acest pas poate presupune o implicare enormă din
partea administratorului pentru documentare.
Amenințarea: reprezintă un pericol potențial de compromitere accidentală sau
deliberată a securității unui sistem informatic prin pierderea confidențialității,
integrității sau disponibilității datelor.
Amenițarea latentă – vulnerabilitatea există dar nu a fost exploatată (sau nu este
cunoscută public o metodă de exploatare)
Exploatare (exploit): este un software, sau un set de comenzi, care folosește o
vulnerabilitate a unui sistem pentru a obține foloase necuvenite
Riscul: în domeniul securității cibernetice, riscul este posibilitatea de a avea loc
un incident de securitate prin exploatarea unei vulnerabilități.
Unul dintre cele mai cunoscute standarde care stabilește riscul unei vulnerabilități
(scorul) se numește Common Vulnerability Scoring System (CVSS). Este o
metodă standardizată de a evalua severitatea unei vulnerabilități pentru a putea
stabili prioritatea răspunsului.
Notă. Există o listă publică de vulnerabilități care se numește Common
Vulnerabilities and Exposures (CVE). În această bază de date publică, fiecare
vulnerabilitate este identificată după un ID unic și descrisă sumar pentru a fi adusă
rapid la cunoștința entităților interesate astfel încât răspunsul pentru înlăturarea
riscurilor să fie prompt.
Așa cum am precizat anterior, riscul se evaluează prin prisma pericolului potențial
de afectare a celor trei principii de securitate: triada CIA.
Confidențialitatea – doar entitățile, indivizii sau procesele autorizate pot accesa
informații sensibile. Una dintre metodele cele mai comune pentru protejarea
confidențialității unui sistem este prin utilizarea criptării.
Integritatea – garanția că un sistem și datele sale nu au fost alterate sau
compromise. Integritatea nu se referă doar la date ci și la sisteme (e.g. configurații
de echipamente).
Disponibilitatea – resursele sunt disponibile utilizatorilor care sunt autorizați să
le acceseze
Atacuri și amenințări comune
Tipuri de malware
Malware (prescurtare de la malicious software) se referă la orice software care
afectează buna funcționare a unui calculator, accesează sisteme de calculatoare
private, obține informații sensibile, livrează reclame nedorite, etc. Malware-ul
poate să fie ascuns, discret, să spioneze victima și să extragă informații esențiale.
Alteori este vizibil și poate fi folosit pentru răscumpărarea de date criptate.
Exemple de malware: virus, trojan, worm, spyware, adware, ransomware, etc.
Virus – este un tip de malware care se propagă prin inserarea unei copii ale sale
în alt program. De cele mai multe ori virușii se răspândesc de la un computer la
altul prin intervenția umană (USB, CD, DVD, email etc). Poate rămâne inactiv o
vreme și sa se activeze la un anumit moment din viitor.
Trojan – este un software malițios care se instalează fără ca utilizatorul să
cunoască acest lucru în momentul în care accesează un anumit conținut care pare
legitim. Odată instalat, în funcție de privilegiile sub care rulează, poate lansa o
gamă extrem de largă de atacuri, precum: formatare disk, utilizare computer ca
parte a botnet, furt de date, furnizare de acces distant pentru atacator prin
instalarea unui backdoor, etc.
Worm – este un software malițios care se răspândește automat prin rețea și în cele
mai multe cazuri afectează fișierele sistemelor dar și comunicațiile în rețea. Spre
deosebire de viruși, worm-ul nu are nevoie de un fișier gazdă ci se propagă de sine
stătător între hosturi prin exploatarea unor vulnerabilități de rețea.
Ransomware – este un tip de malware care, odată executat, criptează anumite
informații sau lansează un atac și cere răscumpărare pentru a aduce sistemul la
starea inițială. De cele mai multe ori, pentru livrarea unui payload de tip
ransomware se folosesc atacuri de tip Social Engineering.
Rootkit – atacatorul obține privilegii la care nu ar fi avut acces, mascându-și
totodată prezența în sistem.
Backdoor – este o metodă prin care sunt depășite metodele obișnuite de
autentificare și se obține acces la resursele sistemului
Alte tipuri de malware: spyware (colectarea de informații despre victimă),
adware (livrarea de reclame).
Pentru protecția hosturilor împotriva atacurilor de tip malware sau pentru a
împiedica răspândirea acestuia, sunt disponibile mai multe soluții:
- Soluții Antivirus/Antimalware
- Host firewall
- Host IPS/IDS
Sandbox – o soluție care permite „detonarea” unui fișier suspect într-un mediu
controlat (tip mașină virtuală) pentru a stabili dacă fișierul respectiv este o
amenințare. Dacă fișierul respectiv este descoperit ca fiind malware, atunci soluția
Sandbox permite identificarea fazelor și a componentelor atacului.
Clasificarea atacurilor:
1. Atacuri de recunoaștere – atacatorul strânge informații despre sistemele,
serviciile sau vulnerabilitățile victimei. Atacurile de recunoaștere cuprind,
dar nu sunt limitate la: identificarea de informații publice despre victimă –
rețele de socializare, motoare de căutare, etc; realizarea unei topologii de
rețea prin scanare; identificarea porturilor, a versiunilor de aplicații și a
vulnerabilităților de aplicații prin scanare cu tool-uri precum Nmap,
Nessus, NetScan. Atacurile de recunoaștere preced de obicei celelalte
forme de atac.
2. Atacuri de tip acces – exploatează vulnerabilități în sistemele de acces
pentru a obține date, pentru a obține acces pe sisteme sau pentru escaladarea
de privilegii. Câteva exemple de atacuri de tip acces: atacuri asupra
parolelor – brute-force, dicționare, phishing, rainbow tables; extragerea
de hash-uri ale parolelor și folosirea acestora pe alte sisteme; man-in-
the-middle – citește sau modifică datele dintre două entități; migrare pe
orizontală folosind un sistem compromis; accesarea unei rețele printr-
un sistem considerat de încredere, atacuri de tip spoofing descrise în
capitolele anterioare, etc.
Un caz aparte de atac de tip acces sunt atacurile de tip social engineering
care presupun manipularea unui individ pentru a executa acțiuni precum
divulgarea de informații confidențiale sau accesarea de materiale malițioase
care facilitează accesarea unui sistem.
3. Atacuri de tip (Distributed) Denial of Service care au fost abordate în
capitolul 2
4. Atacuri de tip „Buffer overflow” – este acel tip de atac în care atacatorul
exploatează o vulnerabilitate în modul în care aplicația sau sistemul de
operare alocă memoria. Atacatorul poate obține astfel acces pentru rularea
de programe malițioase, poate corupe datele sau poate determina oprirea
activității aplicației sau sistemelor (DoS). Se estimează ca o treime din
atacurile malițioase sunt atacuri de tip buffer overflow.[1][2][4]