V současné době čelíme čím dál více sofistikovaným a přesněji cíleným útokům na podnikové sítě, ale také infikováním vnitřní sítě od neznalých či hrozby nevědomých si uživatelů.

Ransomware je typ malwaru, který umí zašifrovat data vašeho počítače a požaduje zaplacení částky pro znovu zpřístupnění dat na počítači. Tento typ hrozby nedávno ochromil např. Benešovskou nemocnici, kdy pacienti museli být převezeni do jiných nemocnic. Celkem 300 počítačových stanic včetně výbavy operačních sálů a lékařských přístrojů bylo nefunkční. Nemocnice nemohla sloužit svému primárnímu účelu, a to se starat o nemocné pacienty, což se obzvláště v období Vánoc dotkne citelněji mnoha lidí a jejich příbuzných.

Ransomware může do vaší sítě proniknout různými způsoby:

Uživatel sítě si otevře email, který obsahuje odkaz na nakaženou webovou stránku. Při kliknutí na něj se ransomware dostane do uživatelova počítače a dále se může šířit ve vnitřní síti. Tento způsob šíření se nazývá sociální inženýrství a do této kategorie spadají různé typy útoků. Jejich jednotný znak je, že se snaží manipulovat s nevědomými uživateli. Ať už lákavý obsah emailu lákající na slevu, či hrozba penále nutící k zaplacení věrohodně vypadající služby nebo falešná adresa, skrývající se za email, na který uživatel pravidelně odpovídá.

Druhá možnost šíření je, že útočník zanechá v prostorách firmy, kterou chce zkompromitovat USB flash disk. Kolemjdoucí uživatel si USB disk vezme a připojí ke svému počítači. Tím infikuje svoji pracovní stanici a umožní viru šíření celou počítačovou sítí.

Další možnost je útok zvenčí. Skupiny hackerů, většinou z Asie, mimo EU, prozkoumávají zranitelnost organizací v internetu. Zaměřují se na chyby v protokolech, neaktualizované pracovní a serverové stanice a v neposlední řadě chyby v konfiguraci síťových zařízení jako switche, routery a firewally.

Tyto nedostatky mohou mít různé příčiny. Špatně kvalifikovaný IT bezpečnostní personál, neznalost možných bezpečnostních rizik a nevyhovující hardwarové vybavení organizace. Obzvláště zařízení na perimetru, tedy firewallu.

V dobách minulých bylo dostačující mít obyčejný firewall, který rozhodoval na základě pravidel v access listech. Jednoduše řečeno, buď v tomto listu pravidel bylo síťovému provozu zamítnuto či povoleno vstoupit do vaší sítě. V dnešní době již takový firewall nestačí. Na trhu se objevily Next Generation Firewally (dále jen NGFW). Tyto zařízení obsahují klasický firewall s pravidly, Intrusion Prevention System (dále jen IPS), Anti-virus, IP reputaci, URL filtrování, sandbox, ochranu proti botnet sítím, anti-spam a jiné. Aktuální novinky jsou inteligentní NGFW (iNGFW).

Standartní NGFW vyhodnocuje, zda se jedná o závadný provoz na základě databáze dosud zmapovaných hrozeb. Tyto zmapované hrozby se nazývají signatury. Jejich databáze pro jednotlivé výrobce může být v tisících. Tyto signatury jsou aktualizovány v pravidelných intervalech. Bohužel neobsahují všechny existující a zejména nové hrozby. Další problém je také, že podstatná část firewallů chrání před útokem a v průběhu útoku, nicméně už nic nezmůžou, pokud je síť infikována.

S těmito hrozbami si mnohem lépe dokážou poradit inteligentní NGFW. Jejich výhodou je, že na základě analýzy sítě a síťového provozu dokážou detekovat hrozby, které standartní signaturní NGFW nedokáží. Dokáží také chránit síť po útoku.

Tyto speciální iNGFW nabízí firma Hillstone. Kromě firewallů také nabízí dedikovanou IPS, cloudové bezpečnostní nástroje, management platformu a platformu na logování a monitoring. Tuto firmu založili lidé, kteří dříve pracovali pro známého výrobce bezpečnostních řešení Juniper.

Ve svém portfoliu nabízí Hillstone iNGFW, které mají kromě již výše zmíněných součástí navíc Advanced Threat Detection (Pokročilá detekce hrozeb, dále jen ATD) a Abnormal Behaviour Detection (Detekce abnormálního chování, dále jen ABD).

ABD je součást, která modeluje chování sítě od L3 až po L7 vrstvu. K tomu využívá 50+ dimenzionální pole. Na základě monitorování provozu sítě stanoví, co to je „dobrý provoz“ a tím vyčlení a identifikuje hrozby v síti.

ATD dokáže detekovat neznámý malware v síti. Hillstone zmapoval chování více jak milionu známých malwarů. Určil jejich akce, vlastnosti a chování. Když se v sítí objeví nová hrozba, je pomocí umělé inteligence zkoumána její akce a vlastnosti. Čím více se blíží nová hrozba svými vlastnostmi dosud zmapovaným malwarům, tím vyšší pravděpodobnost, že se jedná o skutečnou hrozbu.

Tyto firewally obsahují korelační engine. Ten umí z jednotlivých částí firewallu porovnat a vyhodnotit pravděpodobnost hrozby. Když anti-virus detekuje, že se jedná o možný nebezpečný soubor, URL filtr identifikuje, že tento soubor byl stažen z podezřelé stránky a ABD a ATD zjistí, že se jedná o nestandartní provoz. Jedná se s nejvyšší pravděpodobností o zákeřný provoz. Tímto způsobem umí spolupracovat všechny části firewallu.

Jedna z dalších součástí firewallu je ochrana proti botnetům (zmanipulovaným počítačům, které používá hacker k útoku (zejména typu  DDoS). Další možností hrozby je ransomware, který se snaží šířit ve vaši vlastní síti mezi počítači. C&C Botnet Prevention je na základě spojením probíhajícím ve vnitřní síti detekuje a zabrání již probíhajícímu útoku, včetně zabránění šíření ještě neznámých ransomwarů do jiných VLAN vaší sítě.

Na základě narůstajícím statistikám síťové kriminality již v budoucnu nebude na stále sofistikovanější hrozby stačit NGFW, ale bude potřeba jeho vylepšená verze inteligentní NGFW.

Potřebujete zjistit, jak bezpečná je vaše síť?, provést bezpečnostní audit a navrhnout možné řešení? Neváhejte nás kontaktovat.

Břetislav Sobek, sobek@proficomms.cz, +420 736 625 811

Obrázek: upklyak / Freepik

Další články společnosti Proficomms:

DCI, OLS, CC, SDN, PAM4, QAM, QKD, OCM, YANG, API, Tbps atd.

Sledování dopravy a kontrola parkování v chytrých městech

Termokamery – velká příležitost v boji s aktuální hrozbou a souvisejícími restrikcemi

Jak zrealizovat Data retention v ISP síti profesionálně a s využitím dotace?