Documente Academic
Documente Profesional
Documente Cultură
Impactul
Așa cum a fost descris anterior, impactul poate fi: pierderea unor date cu caracter
personal/confidențial (GDPR), pierderea avantajului competitiv, pierderi
financiare, pierderi guvernamentale (e.g. date clasificate), pierderea unor secrete
industriale, întârzierea unor proiecte de anvergură, afectarea economiei sau a
mediului politic/social (e.g. implicarea unor actori statali în alegeri).
SOC – Centrul operațional de securitate
Pentru a asigura o protecție eficientă împotriva amenințărilor se poate înființa o
echipă cu o abordare structurată, disciplinată și formalizată pentru adresarea
incidentelor de securitate. Echipele SOC pot furniza o multitudine de servicii
precum monitorizarea incidentelor, managementul incidentelor de securitate,
găzduirea serviciilor de securitate, etc.
Conform institutului SANS, centrul SOC este organizat pe trei niveluri astfel:
- Nivelul 1 – sunt acei analiști care investighează alertele de securitate pentru
a identifica dacă un eveniment este de fapt un incidente de securitate. Dacă
se dovedește că alerta are potențialul de a fi un incident de securitate ce
trebuie investigat suplimentar, nivelul 1 escaladează tichetele către nivelul
2.
- Nivelul 2 – sunt acei profesioniști care analizează incidentele de securitate
și recomandă efectuarea anumitor măsuri de remediere.
- Nivelul 3 – sunt acei profesioniști care au o experiență într-un anumit
domeniu (e.g. rețele, endpoint, malware) astfel încât să înțeleagă detaliile
unui atac: modul de operare, impactul și cum poate înlăturat. Tot la nivelul
3 sunt specialiștii care dezvoltă noi aplicații pentru lupta împotriva
amenințărilor.
- Manager – este acel profesionist care coordonează activitatea și resursele
centrelor SOC
Subiectul 2 - Protocoale de retea și servicii – vulnerabilități comune,
tipuri de exploatări (atacuri) la nivelul protocoalelor de rețea
Pentru a putea răspunde provocărilor din mediul cibernetic este necesară
cunoașterea la un nivel minimal a protocoalelor elementare de rețea: Ethernet,
ARP, ICMP, IP, NAT, TCP/UDP, precum și a serviciilor DNS, DHCP, FTP,
SMTP, HTTP sau a utilitarelor de depanare ping, traceroute, wireshark. Atacurile
sunt îndreptate uneori asupra protocoalelor elementare specifice rețelelor TCP/IP,
alteori sunt targetate serviciile, aplicațiile sau bazele de date.
Vulnerabilitățile specifice protocoalelor de bază din stiva TCP/IP pot fi sintetizate
astfel:
- Atacuri ICMP – atacatorii folosesc pachete ICMP pentru descoperirea
rețelelor sau hosturilor (scanare), pentru a genera oprirea serviciilor prin
atacuri de tip flood sau pentru alterarea tabelelor de rutare
- Atacuri DoS – prin care se împiedică accesul utilizatorilor legitimi la
resurse
- Atacuri DDoS – Același principiu ca în cazul anterior dar diferă prin faptul
că atacul este coordonat și transmis simultan de la mai multe mașini sursă
- Atacuri de tip spoofing (falsificarea identității) falsificarea câmpului sursă
(IP, MAC)
- Atacuri de tip MiTM (man-in-the-middle) – atacatorii se plasează între
sursă și destinație și monitorizează, capturează și controlează
comunicațiile.
În cazul anghinarei pentru a ajunge la miez (date) nu mai este nevoie să se elimine
frunză cu frunză ci este suficientă eliminarea anumitor frunze. Și de cele mai
multe ori, eliminarea unor frunze poate duce la pierderea unor date sensibile. (e.g.
utilizarea unor dispozitive mobile personale în companie poate crea o breșă de
securitate mult mai facil de exploatat decât prin atacarea rețelelor LAN protejate).
În continuare, se vor prezenta o serie de echipamente și servicii care au potențialul
de a fi utilizate pentru protejarea rețelei și a bunurilor vehiculate sau găzduite de
aceasta.
Firewall
Este o componentă a infrastructurii de securitate care separă rețele sau
calculatoare cu cerințe diferite de securitate. Firewall-ul impune o politică de
control a accesului între rețele.
Folosirea firewall-urilor aduce multiple avantaje, dintre care amintim:
- Sunt principalul punct de tranzit între rețelele interne ale unei companii și
rețelele externe (e.g. Internet) și astfel este limitată expunerea de hosturi
sensibile, resurse sau aplicații către utilizatori nelegitimi
- Pot inspecta funcționarea protocoalelor de rețea pentru a identifica anumite
tentative de exploatare
Totuși, trebuie menționat faptul că folosirea firewall-urilor prezintă anumite
limitări:
- Configurarea eronată poate avea un impact puternic asupra securității dar
și disponibilității rețelei
- Trafic nelegitim poate fi tunelat fără a fi detectat
- Poate fi afectată performanța
Tipuri de firewall-uri:
1. Packet filter (stateless) – poate inspecta headerele de nivel 3 și 4 în funcție
de anumite reguli configurate de către administrator (asemănător cu
regulile ACL de pe un router).
2. Stateful – un asfel de firewall permite sau blochează traficul luând în
considere atât informațiile de la nivelul 3 și 4 cât și starea sesiunilor.
Practic, acesta monitorizează toată activitatea de la începerea unei sesiuni
până la terminarea acesteia. În firewall-urile stateful decizia de filtrare se
face atât în baza regulilor configurate de administrator cât și prin
context.
3. Application Layer Firewall – filtrează după informațiile de la nivelurile
3, 4, 5 și 7. Concret, acest tip de firewall cunoaște modalitatea de
funcționare a aplicațiilor și protocoalelor de nivel 7 și poate identifica
un comportament anormal în funcționarea sau utilizarea acestora. Firewall-
urile moderne numite uneori UTM (Unified Threat Management) sau
NGFW (Next generation firewall) înglobează tehnologii sau tehnici
specifice altor sisteme dedicate de securitate precum antivirus sau IPS.
Diferențe IPS/IDS
IPS prezintă avantajul că este conectat inline în rețea adică tot traficul care intră
și iese din rețea trece prin el. Acest lucru înseamnă ca un atac poate fi oprit înainte
să provoace daune (pachetele malițioase sunt efectiv aruncate).
Dezavantajul IPS este că, fiind conectat inline poate afecta performanța rețelelor
prin introducerea de întârzieri/jitter sau chiar poate afecta disponibilitatea (Single
Point of Failure).
IDS este utilizat offline astfel că nu impactează performanța rețelelor prin
introducerea de întârzieri sau jitter.
Echipamentele IDS identifică posibile incidente, loghează informațiile, alertează
administratorii și creează rapoarte. Astfel, diferența față de IPS este că soluțiile
IDS nu pot opri un atac în timp real.
În practică, cele două soluții nu se exclud reciproc ci în funcție de nevoie pot fi
folosite ambele: IDS poate fi utilizat pentru o inspecție mai profundă care nu ar
putea fi realizată pe un echipament inline, iar IPS poate fi utilizat pentru
identificarea unui număr mai mic și specific de semnături critice.
Netflow
Este o soluție care se activează pe routere sau switch-uri L3 și care permite analiza
sesiunilor IP tranzitate la nivelul acestora. Concret, prin intermediul Netflow se
poate vedea cine cu cine a comunicat dar nu se cunoaște conținutul.
Netflow poate fi folosit pentru monitorizarea rețelei, planificarea și scalarea
rețelei, identificarea zonelor de congestie, identificarea traficului pentru plata
serviciilor (accounting) și nu în ultimul rând pentru monitorizări de securitate.
Netflow este un instrument extrem de util pentru identificarea și remedierea
efectelor atacurilor întrucât permite urmărirea fazelor atacului de la momentul
infectării pănâ la momentul compromiterii altor echipamente, servicii sau bunuri
ca urmare a pivotajului atacatorului pe orizontală.
Protocol analyzers - Port Mirroring
Port mirroring este o facilitate disponibilă pe switch-uri, care permite crearea de
copii integrale ale traficului care trece printr-un switch. Acestea sunt transmise
către un port pe care ascultă o soluție de monitorizare (numit packet sniffer, traffic
sniffer sau protocol analyzer) care capturează pachetele primite pe interfața de
rețea și afișează detaliile acestora.
Figura 15. Copierea traficului pentru analiza detaliată [1]
Port mirroring este o tehnică extrem de utilă pentru componenta de securitate,
fiind o modalitate prin care traficul poate fi redirecționat către un echipament de
monitorizare precum IDS.
De asemenea, permite administratorilor să inspecteze tot traficul din rețea pentru
identificarea de anomalii.
Un alt rol extrem de important este de a asigura măsurile reactive de răspuns la
un atac prin identificarea punctelor de intrare, de pivotaj și de exfiltrarea a datelor.
Este totuși important de precizat faptul că, deși este o soluție completă pentru a
identifica fazele unui atac, este extrem de dificil de stocat și de urmărit întrucât
de multe ori presupune verificarea unui volum foarte mare de date.
Security Information and Event Management - SIEM
Este o soluție de securitate care asigură raportări în timp real ale unor evenimente
de securitate și asigură posibilitatea de analiză a incidentelor pe termen lung.
SIEM-ul este practic o soluție integrată care cuprinde o bază de date care agregă
toate log-urile din rețea, le transpune într-o formă comună pentru a fi vizualizate
cu ușurință, emite alerte și raportări de securitate într-o interfață grafică care poate
fi consultată de administratori.
Folosirea unui echipament de tip SIEM-ul are următoarele avantaje:
- Forensic – permite analiza centralizată și detaliată a unui incident în baza
informațiilor stocate de la toate echipamentele monitorizate
- Normalizare – toate logurile sunt aduse la o formă comună
- Agregare – sunt eliminate evenimentele duplicate
- Corelare – corelează evenimente pentru identificarea/alertarea unor
activități malițioase
- Raportare – Prezintă evenimentele corelate și agregate în timp real pentru
a fi monitorizate și prezintă rezumate ale activității pe termen lung
VPN
Este o soluție tehnologică care simulează stabilirea unei rețele private peste o rețea
comună (uneori publică). În funcție de specificul aplicațiilor care necesită
tehnologiile VPN, poate fi necesară protejarea confidențialității, integrității și a
disponibilității datelor.
Exemple: IPSec, TLS, Wireguard
Utilizări:
- IPSec este folosit de cele mai multe ori pentru tunelarea a două rețele (site-
to-site VPN). De exemplu, dacă o companie dorește să stabilească o
conexiune între două locații distante poate folosi tehnologia IPSec în modul
de operare tunel pentru a asigura legătura peste medii de transport publice,
astfel încât să se poate asigura confidențialitatea, integritatea sau
disponibilitatea datelor.
- TLS este folosit de cele mai multe ori în arhitecturi de tip „Remote Access
VPN” adică acel tip de VPN care permite utilizatorilor accesarea resurselor
companiei de la distanță. Un exemplu de aplicație care folosește tunelarea
TLS este OpenVPN.
- Wireguard este un protocol nou, sigur și eficient care funcționeaza atât ca
remote access VPN, dar poate fi folosit și ca site-to-site VPN.
- End-to-End Encryption este o tehnică VPN întâlnită în special când se
vorbește despre dispozitivele mobile și care permite criptarea traficului
direct între dispozitivele finale fără a mai fi decriptare la nivelul unui server.
[1][2][4]
Principii de securitate
În capitolele anterioare s-a putut remarca faptul că există un număr extrem de
mare de atacuri și de soluții de securitate. Această multitudine de opțiuni poate
crea o oarecare confuzie pentru un analist de securitate cibernetică.
Totuși, abordarea corectă pentru identificarea soluțiilor potrivite trebuie să plece
de la o analiză sistematică care identifică și tratează riscurile. Pentru identificarea
riscurilor, inginerii de securitate trebuie să identifice: bunurile protejate,
vulnerabilitățile existente și amenințările posibile.
Bunurile: orice este considerat de valoare pentru o organizație și care trebuie
protejat: dispozitive de infrastructură, servere, dispozitive finale și, desigur, poate
cel mai importante sunt datele. Managementul bunurilor presupune inventarierea
acestora și ulterior identificarea și implementarea de politici și proceduri
pentru protecția acestora.
Vulnerabilități: reprezintă o slăbiciune sau o lipsă de control într-un sistem care
poate permite sau facilita exploatarea de către o amenințare.
Identificarea vulnerabilităților într-o rețea presupune înțelegerea detaliată a
aplicațiilor și a hardware-ului. Acest pas poate presupune o implicare enormă din
partea administratorului pentru documentare.
Amenințarea: reprezintă un pericol potențial de compromitere accidentală sau
deliberată a securității unui sistem informatic prin pierderea confidențialității,
integrității sau disponibilității datelor.
Amenițarea latentă – vulnerabilitatea există dar nu a fost exploatată (sau nu este
cunoscută public o metodă de exploatare)
Exploatare (exploit): este un software, sau un set de comenzi, care folosește o
vulnerabilitate a unui sistem pentru a obține foloase necuvenite
Riscul: în domeniul securității cibernetice, riscul este posibilitatea de a avea loc
un incident de securitate prin exploatarea unei vulnerabilități.
Unul dintre cele mai cunoscute standarde care stabilește riscul unei vulnerabilități
(scorul) se numește Common Vulnerability Scoring System (CVSS). Este o
metodă standardizată de a evalua severitatea unei vulnerabilități pentru a putea
stabili prioritatea răspunsului.
Notă. Există o listă publică de vulnerabilități care se numește Common
Vulnerabilities and Exposures (CVE). În această bază de date publică, fiecare
vulnerabilitate este identificată după un ID unic și descrisă sumar pentru a fi adusă
rapid la cunoștința entităților interesate astfel încât răspunsul pentru înlăturarea
riscurilor să fie prompt.
Așa cum am precizat anterior, riscul se evaluează prin prisma pericolului potențial
de afectare a celor trei principii de securitate: triada CIA.
Confidențialitatea – doar entitățile, indivizii sau procesele autorizate pot accesa
informații sensibile. Una dintre metodele cele mai comune pentru protejarea
confidențialității unui sistem este prin utilizarea criptării.
Integritatea – garanția că un sistem și datele sale nu au fost alterate sau
compromise. Integritatea nu se referă doar la date ci și la sisteme (e.g. configurații
de echipamente).
Disponibilitatea – resursele sunt disponibile utilizatorilor care sunt autorizați să
le acceseze
Atacuri și amenințări comune
Tipuri de malware
Malware (prescurtare de la malicious software) se referă la orice software care
afectează buna funcționare a unui calculator, accesează sisteme de calculatoare
private, obține informații sensibile, livrează reclame nedorite, etc. Malware-ul
poate să fie ascuns, discret, să spioneze victima și să extragă informații esențiale.
Alteori este vizibil și poate fi folosit pentru răscumpărarea de date criptate.
Exemple de malware: virus, trojan, worm, spyware, adware, ransomware, etc.
Virus – este un tip de malware care se propagă prin inserarea unei copii ale sale
în alt program. De cele mai multe ori virușii se răspândesc de la un computer la
altul prin intervenția umană (USB, CD, DVD, email etc). Poate rămâne inactiv o
vreme și sa se activeze la un anumit moment din viitor.
Trojan – este un software malițios care se instalează fără ca utilizatorul să
cunoască acest lucru în momentul în care accesează un anumit conținut care pare
legitim. Odată instalat, în funcție de privilegiile sub care rulează, poate lansa o
gamă extrem de largă de atacuri, precum: formatare disk, utilizare computer ca
parte a botnet, furt de date, furnizare de acces distant pentru atacator prin
instalarea unui backdoor, etc.
Worm – este un software malițios care se răspândește automat prin rețea și în cele
mai multe cazuri afectează fișierele sistemelor dar și comunicațiile în rețea. Spre
deosebire de viruși, worm-ul nu are nevoie de un fișier gazdă ci se propagă de sine
stătător între hosturi prin exploatarea unor vulnerabilități de rețea.
Ransomware – este un tip de malware care, odată executat, criptează anumite
informații sau lansează un atac și cere răscumpărare pentru a aduce sistemul la
starea inițială. De cele mai multe ori, pentru livrarea unui payload de tip
ransomware se folosesc atacuri de tip Social Engineering.
Rootkit – atacatorul obține privilegii la care nu ar fi avut acces, mascându-și
totodată prezența în sistem.
Backdoor – este o metodă prin care sunt depășite metodele obișnuite de
autentificare și se obține acces la resursele sistemului
Alte tipuri de malware: spyware (colectarea de informații despre victimă),
adware (livrarea de reclame).
Pentru protecția hosturilor împotriva atacurilor de tip malware sau pentru a
împiedica răspândirea acestuia, sunt disponibile mai multe soluții:
- Soluții Antivirus/Antimalware
- Host firewall
- Host IPS/IDS
Sandbox – o soluție care permite „detonarea” unui fișier suspect într-un mediu
controlat (tip mașină virtuală) pentru a stabili dacă fișierul respectiv este o
amenințare. Dacă fișierul respectiv este descoperit ca fiind malware, atunci soluția
Sandbox permite identificarea fazelor și a componentelor atacului.
Clasificarea atacurilor:
1. Atacuri de recunoaștere – atacatorul strânge informații despre sistemele,
serviciile sau vulnerabilitățile victimei. Atacurile de recunoaștere cuprind,
dar nu sunt limitate la: identificarea de informații publice despre victimă –
rețele de socializare, motoare de căutare, etc; realizarea unei topologii de
rețea prin scanare; identificarea porturilor, a versiunilor de aplicații și a
vulnerabilităților de aplicații prin scanare cu tool-uri precum Nmap,
Nessus, NetScan. Atacurile de recunoaștere preced de obicei celelalte
forme de atac.
2. Atacuri de tip acces – exploatează vulnerabilități în sistemele de acces
pentru a obține date, pentru a obține acces pe sisteme sau pentru escaladarea
de privilegii. Câteva exemple de atacuri de tip acces: atacuri asupra
parolelor – brute-force, dicționare, phishing, rainbow tables; extragerea
de hash-uri ale parolelor și folosirea acestora pe alte sisteme; man-in-
the-middle – citește sau modifică datele dintre două entități; migrare pe
orizontală folosind un sistem compromis; accesarea unei rețele printr-
un sistem considerat de încredere, atacuri de tip spoofing descrise în
capitolele anterioare, etc.
Un caz aparte de atac de tip acces sunt atacurile de tip social engineering
care presupun manipularea unui individ pentru a executa acțiuni precum
divulgarea de informații confidențiale sau accesarea de materiale malițioase
care facilitează accesarea unui sistem.
3. Atacuri de tip (Distributed) Denial of Service care au fost abordate în
capitolul 2
4. Atacuri de tip „Buffer overflow” – este acel tip de atac în care atacatorul
exploatează o vulnerabilitate în modul în care aplicația sau sistemul de
operare alocă memoria. Atacatorul poate obține astfel acces pentru rularea
de programe malițioase, poate corupe datele sau poate determina oprirea
activității aplicației sau sistemelor (DoS). Se estimează ca o treime din
atacurile malițioase sunt atacuri de tip buffer overflow.[1][2][4]