Holistički pristup zaštiti enterprise IT okruženja
Imajući na umu ozbiljnost posledica malicioznih napada na poslovanje, izuzetno je važno da se prilikom planiranja zaštite kompanijskih resursa sveobuhvatnim pristupom omogući zaštita svakog segmenta infrastrukture. Da bi se ovo postiglo treba imati u vidu nekoliko najčešćih nivoa gde je potrebno primeniti dodatnu zaštitu.
Mrežna zaštita
Prvi stepen zaštite čini stateful firewall postavljen na ulasku u internu mrežu i data‑centar. Njegova uloga je osnovno filtriranje saobraćaja. Takođe, dobro je imati nadogradnju u vidu firewall sistema nove generacije (NGFW), koji nudi mnogo veću funkcionalnost od tradicionalnih sistema. Pomoću njega može se vršiti filtriranje korisničkog saobraćaja na nivou URL‑a ili aplikacije, čime se stvara mogućnost blokiranja aplikacija koje spadaju u kategoriju potencijalno malicioznih, kakve su npr. Tor ili Torrent. Mnoga NGFW rešenja podržavaju i naprednu antimalver zaštitu, zaustavljajući distribuciju malicioznog fajla na nivou mreže. Tradicionalni način filtriranja paketa na nivou TCP ili UDP portova zamenjen je DPI inspekcijom (Deep Packet Inspection). Pomoću DPI metode vrši se provera i zaglavlja paketa i njegovog sadržaja, koji može nositi štetnu informaciju.
IPS/IDS je još jedan sistem koji je preporučljivo imati u mreži, zbog njegove mogućnosti detekcije različitih tipova aplikativnih napada, poput SQL injection-a i XSS-a. Iako se na ovim prostorima najčešće sreće implementiran signature‑based IPS, koji na osnovu dobro poznatih ranjivosti kreira karakteristične potpise, u poslednje vreme ipak se teži korišćenju anomaly‑based, tj. behavioral‑based IPS‑a. Ovo rešenje može, na osnovu odstupanja od standardnog stanja, detektovati pojavu sumnjivog saobraćaja, odnosno anomalije, što omogućava blokiranje napada koji targetiraju dotad nepoznate ranjivosti u sistemu. Iako se IPS može koristiti kao samostalno rešenje, sve češće se sreće integrisan u okviru NGFW‑a.
E‑mail zaštita
Jedna od najčešćih metoda koje napadači mogu iskoristiti za distribuciju malvera jeste e‑mail. Malver može biti dostavljen u različitim oblicima, kao attachment, hyperlink, makro unutar dokumenta i sl. Različitim tehnikama napadač može učiniti da sam e‑mail deluje legitimno, zbog čega veliki broj krajnjih korisnika ipak otvara sadržaj mail‑a. Neke od mogućih tehnika su e‑mail spoofing, domain shadowing, korišćenje homoglyph‑a (sličnih karaktera sa različitim vrednostima). E‑mail se može koristiti i kao sredstvo za prikupljanje dodatnih informacija od zaposlenih pomoću phishing metoda ili za skeniranje potencijalnih spam žrtava directory harvest napadom. Na kompaniji je da omogući filtriranje malicioznih mail‑ova pre nego što stignu do krajnjih korisnika i tako uvede dodatni nivo zaštite.
Radi postizanja maksimalnog nivoa sigurnosti, pre samog SMTP servera treba postaviti uređaj koji će vršiti filtriranje svih mail‑ova koji ulaze ili izlaze sa servera. Ovaj uređaj ne vrši samo antispam ulogu, kako se obično pretpostavlja, već na nekoliko različitih nivoa ispituje e‑mail i donosi odluku o njegovoj ispravnosti. Prvi korak prilikom inspekcije mail‑a je provera njegove reputacije pomoću Threat Intelligence baze, koju sam vendor redovno ažurira. Pri ovom koraku većina malicioznih poruka biva detektovana i odbačena. Potom slede antivirus i antispam inspekcija, nakon kojih se donosi odluka o ispravnosti mail‑a. Ovakav uređaj treba da pruži administratoru mogućnost da definiše sopstvene polise i filtere. Neki od parametara koji se mogu koristiti za kreiranje filtera jesu: veličina poruke, tip attachment‑a, sadržaj subject‑a, tela poruke ili attachment‑a. Ako mail odgovara filter‑polisi, na njega se mogu primeniti različite akcije. Mail se može smestiti u karantin, može mu se ukloniti attachment, dodati tag ili string u subject, može se odbaciti ili dostaviti. Kada je reč o odlaznim mail‑ovima, pored osnovnih antivirus i antispam provera, može se definisati i DLP inspekcija, čime se osigurava da zaposleni neće biti u mogućnosti da proslede strogo poverljive informacije van firme.
Još jedno rešenje koje može biti interesantno je sistem koji vrši analizu attachment‑a i svih njegovih elemenata, nakon čega pravi sigurnu kopiju koju dostavlja korisniku. Za razliku od standardne e‑mail zaštite, on neće odbaciti mail, ali će zaštititi korisnika tako što će ukloniti sav aktivan i nestandardni sadržaj iz dokumenata. Ovakva analiza nije procesorski zahtevna i vrši se dosta brže od sandbox analize, tako da primalac mail‑a neće primetiti nikakvo kašnjenje.
Endpoint zaštita
Uobičajeno je mišljenje da je jedina zaštita koju treba primeniti na samom korisničkom uređaju antivirus. Zbog prirode samih napada ova zaštita često nije dovoljna, pošto je ona dobra koliko i njena baza poznatih virusa. Pored toga, zaštita od malvera nije jedina stvar o kojoj treba razmišljati kada je u pitanju bezbednost radnih stanica.
U kompanijama u kojima je dozvoljeno iznošenje laptopova van firme, trebalo bi da imaju u vidu da ovakvi uređaji nisu uvek pod kompanijskom mrežnom zaštitom. U ovakvim slučajevima najpraktičnije je korišćenje VPN klijenata koji se automatski povezuju na VPN kada detektuju da je radna stanica van mreže kojoj se veruje. Na ovaj način forsira se da sav internet saobraćaj zaposlenog uvek prolazi kroz sigurnosne uređaje, poput firewall‑a ili IPS‑a, čime se povećava njegova bezbednost i van firme. Takođe, ovakve radne stanice izložene su opasnosti da budu ukradene, pa se enkripcijom diskova može obezbediti sigurnost podataka koji se nalaze na njima.
U pojedinim kompanijama dešava se da zaposleni, svesno ili nesvesno, dele poverljive informacije sa neautorizovanim licima. U ovakvim slučajevima važno je da postoji DLP mehanizam zaštite, koji će na osnovu kategorija fajlova moći da definiše polise i dozvoli njihovu razmenu samo među određenim grupama korisnika. Ovakvo rešenje moći će da detektuje razmenu fajlova preko mail‑a, USB‑a, IM‑a, File Share‑a i drugih metoda i spreči nedozvoljeno slanje podataka, pružajući pri tom vidljivost komunikacije.
Zaštita baza podataka i aplikacija
Pri planiranju zaštite data‑centra često pravimo grešku oslanjajući se mahom na perimetarsku zaštitu i polažući veru u to da su developeri koji su razvijali aplikacije pokrili sve sigurnosne propuste. Iako je zaštita koja se postiže dobrim programerskim praksama veoma važna, poput sanitizacije korisničkog inputa, autentifikacije ili definisanje timer‑a protiv bruteforce i DDoS napada, ona nije dovoljna za zaštitu od svih vrsta napada. Samim tim, u planiranju zaštite infrastrukture ostavljamo po strani baš one servere na kojima se nalaze ključni podaci za kompaniju.
Vrlo važna stavka u zaštiti jeste korišćenje aktuelnog patch‑a na serverima gde se nalazi aplikacija. Na ovaj način eliminiše se većina dobro poznatih ranjivosti i smanjuje opseg delovanja napadača. Kao dodatni nivo zaštite, preporučuje se korišćenje Web Application Firewall‑a (WAF), koji će biti u stanju da iz paketa izvuče informacije kao što su user ID, session cookie, tip browser‑a, IP adresa, lokacija i svi drugi metapodaci koji bi mogli da ukažu na napadača. On, takođe, pruža dobru zaštitu od OWASP top 10 vrsta napada, čime se obezbeđuje zaštita komercijalnih i custom aplikacija. Dobro WAF rešenje imaće mogućnost da uči o normalnom ponašanju i korišćenju aplikacije, zbog čega će biti u stanju da detektuje nepravilnosti u komunikaciji i blokira ih.
WAF se koristi i za zaštitu baze podataka, sprečavajući napade potekle od izvora kojima baza veruje, npr. javno dostupnih servera koje je napadač iskoristio za izvršavanje SQL injection napada. Za bolji uvid u rad baze treba razmisliti i o primeni rešenja za monitorisanje aktivnosti baze. Ovakvo rešenje vršilo bi detaljno izveštavanje o čitanju, upisivanju i brisanju iz baze i prevenciju sumnjive komunikacije. Pored toga, vršilo bi i skeniranje i klasifikaciju podataka koji se nalaze u bazi, definisalo prava pristupa korisnika i skeniralo sistem na ranjivosti i pogrešnu konfiguraciju.
SIEM
Jedna od važnih stvari koje bi svaka organizacija trebalo da razmotri je i uvođenje rešenja za centralizovano prikupljanje sigurnosnih informacija i događaja (SIEM – Security Information and Event Management). SIEM rešenja ne predstavljaju samo sisteme za prikupljanje logova, već se definišu kao skup kompleksnih tehnologija koje za cilj imaju da korisnicima pruže holistički pogled na celokupnu IT infrastrukturu. Pored toga, SIEM rešenja imaju veoma važnu ulogu u organizacijama koje imaju nameru da svoje poslovanje usklade sa različitim sertifikatima, kao što su ISO 27001, PCI, HIPAA i drugi.
U svojoj srži, SIEM rešenje objedinjuje sledeće tehnologije:
- sistemzaprikupljanjelogova i događajasaraznihuređaja, servera i aplikacija u mreži (svičevi i ruteri, firewall, bazapodataka, aktivnidirektorijumi, aplikacije i dr.);
- sistemzacentralizovane i slojevitepreglede u formiraznih dashboard‑ova;
- normalizacija, kojapredstavljaprevođenjekompjuterskogžargona u podatkečitljivezakrajnjegkorisnika;
- korelacija;
- adaptabilnost, tj. mogućnostprilagođavanja SIEM rešenjatako da razumejezikerazličitihuređaja, bezobzirana to o komvendoru, formatuilitipuporuka je reč;
- mogućnostkreiranjaizveštaja i alarmiranjaadministratorasistema u slučajurazličitihincidenata.
Opisani nivoi zaštite samo su neki od predloga za ulaganje inženjerskih i finansijskih resursa, ali nisu univerzalni standard zaštite koju svako mora da ima. Da bi se počelo sa planiranjem zaštite, kompanija mora da detektuje i prioritetizuje svoje ključne servise i resurse i da, u skladu sa tim, odluči šta je najvažnije zaštititi. Tako, na primer, mnoge manje kompanije neće imati potrebu za SIEM ili WAF rešenjima, dok će veće kompanije možda morati da se pozabave i definisanjem polisa za BYOD, uvođenjem sandboxing ili user activity monitoring rešenja. Uz to, pored postojanja sigurnosnih rešenja, jednako je važno da kompanija ima i obučene inženjere, koji će moći da svakodnevno monitorišu i upravljaju datim rešenjima, usklađujući njihov rad sa bezbednosnim regulativama koje kompanija želi da ispuni.
JelenaTatomirović, Jasna Jović i Milan Vujović
