Bevezetés – Miért fontos a hálózatbiztonsági audit?
A digitális korban egy vállalat informatikai infrastruktúrájának biztonsága kritikus fontosságú. Gyakran csak egy alapos IT hálózat biztonsági audit (belső link) képes feltárni azokat a rejtett hibákat, amelyek súlyos incidensekhez vezethetnek. Jelen cikkünkben egy valós esettanulmányt mutatunk be, amelyben egy ügyfél az Unicorn csapatát kérte fel IT-hálózata érettségi szintjének felmérésére. Az IT audit keretében végzett vizsgálat egy olyan konfigurációs hibát tárt fel, amely komoly biztonsági kockázatot jelentett az ügyfél üzleti rendszereire nézve. Ez az eset rávilágít a rendszeres hálózatbiztonsági felmérések fontosságára, és arra is, hogy miként segíthet egy tapasztalt partner, mint az Unicorn, a hálózat biztonság és rendszerintegráció terén a hasonló problémák megelőzésében.
Az eset rövid bemutatása
Egy középvállalati ügyfél azzal kereste meg csapatunkat, hogy szeretné felmérni informatikai hálózatának jelenlegi állapotát és érettségét. Az Unicorn szakértői átfogó auditot végeztek, melynek során feltérképezték a hálózati eszközöket, a szegmenseket, a jogosultságokat és a biztonsági beállításokat. Az audit során egy meglepő és aggasztó felfedezést tettünk: az ügyfél hálózatában egy külső VoIP (Voice over IP) szolgáltató által biztosított aktív eszköz – lényegében egy IP telefonközponti berendezés – egy olyan hálózati szegmensben működött, ahonnan közvetlenül elérhető volt a vállalat produktív infrastruktúrája. Ez azt jelenti, hogy ugyanazon a hálózaton volt jelen ez a külsős eszköz, mint ahol a cég legfontosabb szerverei (fájlszerver, SAP-rendszer, számlázó rendszer stb.) is üzemeltek. Gyakorlatilag egy harmadik fél tulajdonában álló és általa kezelt berendezés mögötti hálózatból, minden arra alkalmas eszköz illetve felhasználó szabadon kommunikálhatott a vállalat kritikus rendszereivel, mindenféle korlátozás nélkül.
Kritikus biztonsági rés: a hálózati szegmentáció hiánya
A probléma gyökerét a hálózati szegmentáció teljes hiánya, illetve a két rendszer L2-es hálózatának közvetlen, tűzfal nélkül összekapcsolása jelentette. Az ügyfél hálózatát korábban „lapos” architektúrában alakították ki, ami azt jelenti, hogy nem hoztak létre elszeparált alhálózatokat vagy zónákat a különböző funkciójú eszközök számára. Ennek következtében az említett VoIP eszköz és a belső szerverek között nem volt semmilyen tűzfalas szűrés vagy korlátozás. Egy ilyen felépítés súlyos biztonsági kockázatot hordoz magában, hiszen ha egy támadó veszélyezteti a külsős VoIP berendezést, azon keresztül közvetlenül hozzáférhet a vállalat bizalmas adatokat kezelő rendszereihez is. Nem véletlen, hogy a Nemzetbiztonsági Ügynökség (NSA) és a CISA is a tíz leggyakoribb hibás konfiguráció közé sorolta a hálózati szegmentáció hiányát – egy efféle konfigurációs hiba az egész szervezetet sebezhetővé teszi.
Miért veszélyes a szegmentáció nélküli hálózat?
A tapasztalatok és nemzetközi elemzések szerint a szegmentáció nélküli, egybefüggő hálózat számos veszélyt hordoz. Az alábbiakban összefoglaljuk a legfőbb kockázatokat:
– Korlátlan belső mozgás: Ha a hálózatban nincsenek belső határok (pl. alhálózatok, VLAN-ok), egy támadó gyakorlatilag akadálytalanul mozoghat “oldalirányban”. Egy „lapos” hálózatban egyetlen pont veszélyeztetése után szinte az összes többi rendszerhez hozzá lehet férni, mivel nincsenek szegmentációs gátak az útjában. Ez az oldal irányú terjedés megkönnyíti az érzékeny adatok elérését a hálózat bármely pontján.
– Egy pont meghibásodása, teljes hálózati veszély: Mivel minden rendszer egy közös hálózaton van, egyetlen munkaállomás vagy eszköz feltörése is teljeskörű támadássá eszkalálódhat. Például ha egy gépet zsarolóvírus ér, könnyen át tud terjedni az egész hálózatra, lebénítva a munkaállomásokat és kiszolgálókat. A szegmentáció hiánya tehát jelentősen megnöveli egy incidens hatókörét.
– Külső partnerek jelentette rizikó: A harmadik féltől származó eszközök vagy hozzáférések (mint jelen esetben a VoIP szolgáltató berendezése) különösen veszélyesek egy védtelen hálózatban. Egy hasonló eset történt a híres Target áruházlánc adatvesztése során is, ahol egy külső partner (a HVAC vállalat) hozzáférését használták ki a támadók. A vizsgálatok szerint a Target nem választotta szét megfelelően a partner által elért hálózati szegmenst a kritikus fizetési rendszerektől, így a támadók könnyen továbbjutottak a belső hálózatba. A tanulság: még ha üzletileg indokolt is egy külső partner hálózati hozzáférése, azt szigorúan elszigetelten, szegmentáltan kell kezelni. Nem véletlen, hogy a nemzetközi szabványok – például a PCI-DSS bankkártya-adatvédelmi szabályzat – kifejezetten előírják a hálózati szegmentációt az érzékeny adatok védelme érdekében.
– Nagyobb támadási felület és nehézkes monitoring: A szegmentáció nélkül a biztonsági rendszerek (IDS/IPS, SIEM stb.) is nehezebben szűrik ki a fenyegetéseket, hiszen minden forgalom egy közegben áramlik. Ezzel szemben a jól szegmentált hálózatban “hálózaton belüli tűzfalak” és szabályok korlátozzák a forgalmat az egyes zónák között, ami extra védelmi réteget jelent és megkönnyíti az anomáliák felismerését. Összességében elmondható, hogy megfelelő szegmentáció nélkül a vállalat támadási felülete jelentősen nagyobb, és egy kisebb biztonsági résből is sokkal súlyosabb incidens lehet.
A fenti okok miatt a nemzetközi ajánlások is a hálózatok szegmentálását sürgetik. A NIST például azt javasolja VoIP rendszerek tervezésekor, hogy a hang- és adatforgalmat logikailag elkülönített hálózatokon kezeljük, külön alhálózatokra és címzési tartományokra bontva a kettőt. Hasonlóképpen a Cisco is kiemeli a legjobb gyakorlatok között, hogy VLAN-ok alkalmazásával szegmentáljuk a VoIP forgalmat, és válasszuk szét a hangot az adat hálózattól. Ezek az iparági irányelvek is azt támasztják alá, hogy a hálózati szegmentáció nem luxus, hanem alapvető biztonsági követelmény a mai összetett IT környezetben.
Azonnali beavatkozás: tűzfallal való izoláció
Amint az Unicorn szakértői felfedezték, hogy a külsős VoIP eszköz védtelen útvonalat biztosít a belső hálózathoz, haladéktalanul jelezték a problémát az ügyfél illetékeseinek. Egy ilyen súlyos sebezhetőség esetén nem várhatunk a teljes végleges megoldás kidolgozásáig – azonnali tűzoltásra van szükség. Csapatunk ideiglenes intézkedésként egy új tűzfal szabályt és hálózati filtert léptetett életbe, amely leválasztotta a veszélyes kapcsolatot a produktív infrastruktúráról. Gyakorlatilag létrehoztunk egy gyorsan bevezethető virtuális „falat” a VoIP eszköz és a belső hálózat közé, minimalizálva ezzel annak esélyét, hogy az említett berendezés felől bárki hozzáférhessen a fájlszerverhez vagy az üzleti alkalmazásokhoz.
Ez az átmeneti izolációs megoldás biztosította, hogy amíg a végleges hálózatfejlesztési lépések (belső link) meg nem valósulnak, addig se lehessen kihasználni a korábbi nyitott kaput. Fontos hangsúlyozni, hogy ez csupán ideiglenes védelmi lépés volt – egyfajta gyors reagálású tűzoltás. Az Unicorn szakemberei ezzel párhuzamosan azonnal nekiláttak a hosszú távú, stratégiai hálózatfejlesztési terv (belső link) kidolgozásának, amely már átfogó módon kezelte a probléma gyökerét.
Hálózatfejlesztési terv: biztonságos szegmensek kialakítása
A gyors hibaelhárítás után következett a mélyebb tervezési fázis, melynek célja az volt, hogy az ügyfél IT-hálózata a jövőben se legyen kitéve hasonló kockázatoknak. Az Unicorn csapata egy átfogó hálózatfejlesztési tervet készített, amely figyelembe vette az ügyfél üzleti folyamatait, a meglévő infrastruktúrát és a jövőbeni bővítési igényeket is. A legfontosabb eleme ennek a tervnek a hálózati szegmentáció megfelelő megvalósítása volt.
Ennek keretében javaslatot tettünk több, eltérő biztonsági szintű zóna kialakítására a hálózaton belül:
– Elkülönített VoIP hálózati szegmens: A külső VoIP szolgáltató eszközét és általában a telekommunikációs berendezéseket egy dedikált VLAN-ba vagy alhálózatba helyeztük. Ez a kommunikációs zóna tűzfallal elválasztva működik a vállalat belső adathálózatától. Csak a minimálisan szükséges forgalmat engedélyeztük a VoIP szegmens és az egyéb hálózati részek között (például ha a VoIP eszköznek (belső link) el kell érnie az internetet vagy egy adott szervert, akkor szigorúan csak az ehhez szükséges portok és protokollok lettek nyitva). Így, még ha a VoIP eszköz veszélybe kerülne is, a támadó nem fog tudni egykönnyen áttérni a vállalat kritikus rendszereire.
– Üzleti alkalmazások és szerverek szegmense: A termelési rendszerek (fájlszerverek, adatbázisok, SAP, számlázó programok, stb.) egy magas biztonsági besorolású hálózati zónába kerültek. Ezt a zónát szintén tűzfal védi, és csak erősen kontrollált forgalom érheti el kívülről. Például a felhasználói hálózatból vagy más szegmensekből csak meghatározott protokollokon, hitelesítés mellett lehet ide belépni. Így, még ha egy kliens gép meg is fertőződik egy másik hálózati szegmensben, a kritikus szerverekhez nem fog tudni szabadon kapcsolódni.
– Vendég- és partnerhálózat (DMZ): Az olyan eszközöknek vagy partnereknek, amelyek külső kapcsolódást igényelnek (legyen az vendég Wi-Fi, külső karbantartó partnerek hozzáférése, vagy egyéb szolgáltatók), létrehoztunk egy elkülönített demilitarizált zónát (DMZ). Ebben a zónában csak korlátozott erőforrások érhetők el, és innen semmilyen közvetlen hozzáférés nincs a belső hálózati szegmensekhez anélkül, hogy szigorú tűzfal-szabályokon és ellenőrzéseken menne keresztül a kapcsolat. Ez a megoldás garantálja, hogy egy külső partner eszköze ne jelentessen veszélyt a belső hálózatra.
– Kliens hálózat kialakítása különálló szegmensben : a vállalat belsős kliens számítógépei is leválasztásra kerültek a szerver zónától és minden előzőekben említett szegmenstől
– Menedzsment és felügyeleti hálózat: (belső link) Kialakítottunk továbbá egy külön szegmenst az adminisztrációs hozzáféréseknek és menedzsment interfészeknek. Ide csak az arra jogosult rendszergazdák léphetnek be, például VPN-en keresztül, többlépcsős azonosítást követően. Ez megakadályozza, hogy egy esetlegesen veszélyeztetett kliens gépről közvetlenül elérhetők legyenek az infrastruktúra vezérlő rendszerei.
A hálózatfejlesztési terv részeként természetesen nem csak a szegmentáció került fókuszba. Felülvizsgáltuk a tűzfal szabályzatokat, biztosítottuk a megfelelő betörés-érzékelő és megelőző rendszerek (IDS/IPS) beiktatását az egyes szegmensek közé, és javaslatot tettünk a titkosított kommunikáció alkalmazására, ahol releváns (például VoIP forgalom titkosítása, biztonságos menedzsment protokollok használata stb.). Emellett hangsúlyt kapott a naplózás és monitorozás (belső link): a javaslat szerint a fontos hálózati eszközök és szerverek esemény naplóit egy központi SIEM rendszerbe kell gyűjteni és folyamatosan elemezni, hogy időben azonosítható legyen bármilyen gyanús tevékenység. Külön javaslatot tettünk DNS Security alkalmazására, melynek elsődleges célja, hogy az ügyfél hálózatából a kártékony DNS-esk ne kerülhessenek feloldásra, valamint monitorozásra került az is, hogy milyen kliensekről érkeznek a kártékony DNS feloldási kérések, mivel ezen gépek nagy valószínűséggel malware fertőzött gépekké váltak. Mindezek az intézkedések összehangoltan növelik a hálózat biztonsági szintjét és érettségét. Külön
A végleges javaslat prezentálásakor az Unicorn szakértői részletesen ismertették az ügyféllel, hogy az új, szegmentált hálózati architektúrában miként kezelik majd biztonságosan a korábban problémás VoIP kapcsolatot is. Az ügyfél produktív infrastruktúrája immár védett, zárt hálózati zónába került, ahová a VoIP eszköz csak az előre meghatározott, kontrollált módon férhet hozzá (ha egyáltalán hozzá kell férnie). Ezzel a lépéssel a korábbi súlyos kockázat gyakorlatilag megszűnt. Az ügyfél vezetése megnyugvással fogadta a tervet, hiszen világossá vált számukra, hogy a javasolt fejlesztésekkel a hálózatuk érettsége és biztonsági szintje ugrásszerűen nőni fog.
Az Unicorn szakértelme és a hozzáadott érték
Ez az esettanulmány is jól mutatja, milyen fontos a megfelelő partner bevonása a hálózatbiztonsági kihívások kezelésébe. Az Unicorn csapata nagy tapasztalattal rendelkezik a hálózatbiztonság, IT audit és rendszerintegráció területén, ami az ilyen projektek sikerének kulcsa. Nem csupán a technológiai megoldásokban vagyunk jártasak, hanem értjük az üzleti szempontokat is: tudjuk, hogy egy fejlesztésnek nem szabad gátolnia a cég működését, sőt, ideálisan támogatnia kell azt. Éppen ezért minden ajánlásunkat – legyen szó akár hálózati szegmentációról, új biztonsági eszközök integrációjáról vagy folyamat fejlesztésről – az ügyfél egyedi igényeire szabva tesszük.
Az Unicorn szakértői az audit során nem csak a nyilvánvaló hibákat keresik, hanem a mélyebb összefüggéseket is vizsgálják. Jelen esetben is felismertük, hogy a probléma nem egyszerűen egy hibás beállítás volt, hanem a teljes hálózati architektúra hiányossága. Ilyen helyzetben átfogó megoldásra van szükség, nem elegendő egyetlen eszközt kicserélni vagy egy lyukat befoltozni. Csapatunk erőssége abban rejlik, hogy képesek vagyunk rendszerszinten gondolkodni és integrált fejlesztési tervet alkotni.
Ügyfeleink visszajelzései alapján az Unicornnal való együttműködés egyik nagy előnye a proaktív szemléletmód. Nem várjuk meg, míg a sebezhetőségekből valódi támadások lesznek, hanem már az audit fázisában igyekszünk minden kockázati tényezőt feltárni és rangsorolni. A jelen cikkben bemutatott esetre visszautalva: az IT audit keretében feltárt hiba azonnali beavatkozást igényelt, de az igazi érték az ezt követő stratégiai tervezésben és megvalósításban rejlett, amit az Unicorn csapata vitt sikerre. Mindezt szoros együttműködésben tettük az ügyfél IT-részlegével, hogy a megoldások átadhatók és fenntarthatók legyenek a jövőben is.
Végül, de nem utolsó sorban, érdemes kitérni a dokumentáció és tudásmegosztás fontosságára. Miután implementáltuk az új hálózati szegmentációt és biztonsági kontrollokat, részletes dokumentációt nyújtottunk át, és oktatást is tartottunk az ügyfél IT-csapatának. Így nem csak egy egyszeri beavatkozást kapott a megbízó, hanem hosszú távon is profitálhat abból a tudásból, amit átadtunk neki. Az Unicorn hisz abban, hogy a tájékozott és felkészült ügyféllel lehet a leghatékonyabban együttműködni – hiszen a hálózatbiztonság nem egy statikus állapot, hanem folyamatos odafigyelést igénylő közös érdek.
Konklúzió: biztonságos hálózat, biztonságos üzlet
A bemutatott eset jól rávilágít arra, hogy egy aprónak tűnő konfigurációs hiányosság – jelen esetben a hálózati szegmentáció elmaradása – milyen súlyos biztonsági rést képes ütni egy szervezet védelmi falán. Szerencsére az ügyfél időben lépett, és az Unicorn szakértőinek bevonásával sikerült megelőzni egy potenciális kibertámadást vagy adatvesztést. Azonnali intézkedéseink (tűzfalas izoláció) és hosszú távú javaslataink (újraszervezett, szegmentált hálózat) egyaránt hozzájárultak ahhoz, hogy a cég IT-infrastruktúrája immár érettebb és biztonságosabb legyen.
Ez a történet egyben üzenet minden vállalkozás számára: soha nem késő felülvizsgálni és fejleszteni a hálózat biztonságát. Érdemes rendszeresen auditáltatni az IT-rendszereket és szakértőkhöz fordulni, mielőtt a támadók találnák meg a gyenge pontokat. Az Unicorn csapata készséggel áll rendelkezésre, legyen szó akár megelőző biztonsági felmérésről, akár már meglévő probléma orvoslásáról. A hálózatbiztonságba fektetett energia és erőforrás nem költség, hanem befektetés a vállalat jövőjébe – hiszen a biztonságos hálózat végső soron a biztonságos üzlet alapja.