De-a v-ati ascunselea … prin retea

Cei mai multi IT manageri sunt constienti ca utilizatorii folosesc si alte dispozitive in afara de cele oferite de organizatie fie pentru a-si face treaba, fie in scop personal. Aceste dispozitive nu se afla sub administratia organizatiei si pot introduce probleme serioase de securitate daca se conecteaza la reteaua corporate. De ce sunt aceste dispozitive periculoase? Pentru ca cel mai adesea aceste dispozitive nu au update-urile de firmware la zi sau patch-urile de securitate instalate sau pot avea setari de securitate mai slabe decat ar trebui pentru ca toate aceste lucruri pica in sarcina utilizatorului care le amana sau chiar le ignora cu totul.

Acest tip de comportament din partea user-ului a primit numele de shadow IT si dispozitivul folosit de acesta de shadow IoT. Un dispozitiv shadow este un dispozitiv conectat la retea si despre care departamentul IT nu are nicio informatie si nicio masura de control, cum ar fi un telefon personal sau o tableta proprie. In anii recenti din ce in ce mai multe dispozitive de tip “wearables” (ceasuri smart sau tracker-e de fitness) insotesc utilizatorul care le conecteaza la retea pentru fi intotdeauna online si disponibil. Unii angajati si-au adus la birou si o boxa smart de tip Google Home sau Amazon Alexa ca asistent digital personal, iar cei indrazneti si-au adus si consola de jocuri ca sa se relaxeze la un meci de FIFA cu colegii 😊

Care sunt riscurile la care este supusa organizatia daca sunt folosite dispozitive shadow?

Atacatorii pot folosi diferite Tactici, Tehnici si Proceduri (TTPs) pentru a fura informatii sau pentru a cauza stricaciuni, dintre care cele mai notabile sunt:

  • botnet si DDoS: atacatorii pot infecta dispozitivele cu malware de tip Zombie care face ca sistemul victima sa treaca sub controlul lor. Sistemul victima poate fi folosit apoi, alaturi de altele, in atacuri coordonate de tip DDOS. Un exemplu in acest sens este atacul asupra furnizorului de servicii DNS Dyn care in 2016 a fost atacat de armata botnet numita Mirai formata din peste 600000 de dispozitive IoT.
  • exfiltrarea de date: dispozitivele vulnerabile pot fi folosite pentru a contacta un server de C&C prin care date sensibile sau confidentiale sa fie scoase din organizatie. Un canal de comunicatie des folosit de atacatori este protocolul DNS intrucat acesta reprezinta unul dintre pilonii pe care se bazeaza Internet. Astfel, adesea, acest protocol, care in mod normal este absolut legitim, este neinspectat de regulile de acces din firewall, bypass-and intreaga securitate a companiei.
  • ransomware: acest tip de malware cripteaza sistemul tinta si tine datele “prizoniere” pana cand nu este platita o rascumparare, de obicei sub forma de criptomonede. Un astfel de malware poate fi usor adus in interiorul retelei de un dispozitiv personal folosit de un angajat.

Ce se poate face pentru a elimina aceste amenintari sau macar pentru a minimiza efectul unui eventual atac reusit?

In primul rand, organizatia ar trebui sa puna la dispozitia angajatilor o politica de acces la retea. Si chiar mai mult, ar trebui sa incurajeze angajatii sa o urmeze si sa o aplice. Politica de acces trebuie sa specifice in mod foarte clar urmatorii parametrii:

  • cine are dreptul sa se conecteze la retea – care este identitatea utiizatorului
  • de pe ce dispozitiv se poate face conexiunea la retea – laptop, smartphone, tableta
  • din ce locatie poate fi initiata conexiunea la retea (wireless, VPN, cablu)
  • cand se poate face conexiunea la retea

Din punct de vedere tehnologic, aceasta politica de acces se implementeaza folosind o solutie de Network Access Control.

Cisco are in portofoliu sau de securitate produsul Cisco ISE care urmareste securizarea accesului oricarei persoane si oricarui dispozitiv se conecteaza la retea, pornind de la un model de tipul “zero trust” (nu se face nicio presupunere despre utilizator sau despre dispozitiv, pana la dovedirea identitatii, nu se are incredere in nimeni si nimic). Cisco ISE, printre alte functii si feature-uri, poate sa:

  • implementeze framework-ul AAA (Authentication, Authorization, Accounting)
  • ofere o vizibilitate completa asupra celor care doresc sa acceseze reteaua sau resursele acesteia
  • politici de securitate consistente, indiferent de modul de conectare al utilizatorilor la retea (wired sau wireless)
  • verificarea posturii: Cisco ISE identifica si remediaza acele dispozitive care nu trec de posture check
  • eliminarea malware-ului de pe dispozitivele infectate

Inginerii Dendrio va pot ajuta la definirea unei politici de acces in conformitate cu specificul activitatii organizatiei dumneavoastra si la aplicarea acesteia prin framework-ul AAA si Cisco ISE.

Alte masuri complementare de securitate ce pot fi implementate sunt:

  • la nivel de DNS printr-o solutie de Secure Internet Gateway (SIG) cum este Cisco Umbrella
  • contorizarea fiecarui dispozitiv conectat la retea printr-un software de IPAM (IP Address Management)
  • folosirea unui sistem de IPS care raspunde automat atunci cand este detectat un atac de securitate

Nu in ultimul rand, o masura de protectie foarte eficienta este vigilenta utilizatorilor care poate fi educata si stimulata. Cu putina atentie, utilizatorii pot recunoaste mailurile malitioase, fisierele suspecte sau link-urile “ciudate” si sa nu intre in contact cu ele, protejandu-se astfel pe sine, dar si organizatia.

Mihai Dumitrascu, Sr Systems Engineer