CerberPro: wzrok skierowany na cyberbezpieczeństwo
Ingram Micro, jako dystrybutor z wartością dodaną, wspiera współpracujących z nim partnerów między innymi poprzez świadczenie usług, za pomocą których można zapewnić wyższy poziom bezpieczeństwa w każdym środowisku IT.
Zamów bezpłatny Raport Bezpieczeństwa Twojej firmy.
Cyberbezpieczeństwo składa się z wielu elementów, a na pracę zapewniających je systemów oraz całej infrastruktury olbrzymi wpływ mają użytkownicy sieci oraz reguły polityki bezpieczeństwa. Niestety, firmy często skupiają się na biernym podejściu zawierzającym bezpieczeństwo stworzonej (czasami dosyć dawno) fortyfikacji w postaci kilku pudełek, do których od czasu do czasu ktoś zajrzy, jak też dawno zapomnianym regułom ochronnym na firewallu, traktowanym w myśl zasady „jak działa, to nie ruszaj”.
Na szczęście istnieje możliwość proaktywnego podejścia do tematu, które pozwala na wykroczenie poza dotychczasową sytuację. Mowa tu o szeroko rozumianym „polowaniu” na zagrożenia, któremu pracownicy działów bezpieczeństwa powinni poddawać swoją infrastrukturę czy konkretne hosty. Dzięki temu mogą dowiedzieć się, że coś niedobrego zaczyna dziać się w ich infrastrukturze, na przykład pojawiają się oznaki włamania (Indicator of Compromise, IoC).
Większość użytkowników zdaje sobie sprawę z konieczności aktualizacji systemu operacyjnego na komputerze, nie można jednak zapominać, że dokładnie takie samo podejście należy stosować wobec aplikacji, urządzeń sieciowych czy serwerów. Skutki braku skrupulatnego podejścia do aktualizacji można było zaobserwować niedawno na przykładzie luki w bibliotece Apache Log4j, która przyprawiła o palpitację serca masę instytucji, w szczególności administratorów IT czy działy bezpieczeństwa. Tymczasem takie sytuacje, związane z krytycznymi podatnościami, zdarzają się każdemu, nawet największym producentom. Dlatego w każdej sieci powinno być prowadzone okresowe badanie pod kątem luk bezpieczeństwa, pozwalające wykryć między innymi przestarzałe oprogramowanie, w którym mogą być obecne podatności stanowiące ewidentne zaproszenie dla napastników do infrastruktury klienta.
Badanie podatności pokazuje luki w oprogramowaniu, które mogą zostać wykorzystane przy atakach na infrastrukturę, ale oczywiście nie są to wszystkie możliwości stosowane przez atakujących. Dlatego warto przeprowadzić także testy penetracyjne – realizowany według kontrolowanego scenariusza symulowany wieloaspektowy atak, który ujawnia, czy z zewnątrz sieci można „przebić się” przez urządzenia brzegowe i dostać do znajdujących wewnątrz innych elementów infrastruktury.
Jednym z elementów scenariusza ataku penetracyjnego jest także weryfikacja czy zagrożeniem może być osoba (z reguły jest to „niezadowolony” pracownik) lub skompromitowane urządzenie wewnątrz sieci. Dość często zdarza się, że pracownik przychodzi do biura z zainfekowanym laptopem, który staje się źródłem infekcji segmentu sieci lub nawet całej firmy. Komputer ten, mimo że otwarty jest na nim tylko arkusz kalkulacyjny czy program pocztowy, w tle skanuje sieć i stara się przenikać dalej, wykorzystując ruch boczny (lateral movement).
Badania tego typu powinny być prowadzone regularnie, a wyniki pochodzących z nich raportów dokładnie analizowane i porównywane z poprzednimi. Dzięki temu zyskiwane są większe możliwości obrony przed przeniknięciem cyberprzestępców do sieciowej infrastruktury, bez obawy o utratę informacji czy kompromitację firmy.
Eksperci do dyspozycji
Ingram Micro oferuje pomoc partnerom handlowym i ich klientom w przeprowadzaniu testów penetracyjnych. Eksperci dystrybutora podchodzą do nich bez dostępu do szczegółowych diagramów sieci lub infrastruktury, a także bez żadnych kont ani dodatkowych informacji o użytkownikach (black box). Mogą prowadzić również testy typu white box, czy skanowanie podatności hostów lub aplikacji web. Przyjęta metodologia obejmuje wszystkie aspekty, począwszy od rekonesansu, przez modelowanie zagrożeń, analizę podatności, testy czy eksfiltrację. Wszystko to dopasowane jest do infrastruktury, profilu firmy czy zdefiniowanych indywidualnych wymagań.
Po zakończeniu fazy wykonawczej, inżynierowie Ingram Micro formalnie dokumentują wyniki. Następnie raport przechodzi wewnętrzną kontrolę jakości i dopiero wtedy trafia do klienta. Składa się z precyzyjnego podsumowania, a także narracji dla bardziej szczegółowego zrozumienia technicznych aspektów testu. Dzięki temu firmy mają szansę dowiedzieć się co udało się osiągnąć pentesterowi i co oznacza dana podatność – nie tylko z numerka czy nazwy, która nie powie zbyt wiele osobom spoza działów bezpieczeństwa. W następnym kroku przedstawiana jest informacja co zrobić, aby w kolejnej iteracji testu podjęte przez pentestera działanie nie przyniosło oczekiwanego skutku i żeby „rozbił się” o zmienione elementy.
Tego typu testy podatności czy penetracyjne to działania aktywne, a więc o charakterze inwazyjnym. Nie można jednak zapominać, że istnieją podejmowane przez cyberprzestępców działania nieinwazyjne. Mowa o tzw. białym wywiadzie (Open–Source Intelligence, OSINT), który, choć w pełni legalny, gdyż wykorzystywane są w nim ogólnie dostępne informacje, może posłużyć do ataku. Olbrzymim źródłem informacji na potrzeby białego wywiadu jest internet. Wystarczy wiedzieć, gdzie szukać, aby uzyskać dostęp do informacji pomocnych w przeprowadzeniu udanego ataku.
Klientom zainteresowanym weryfikacją tego, jak wiele wrażliwych informacji upubliczniają, Ingram Micro proponuje skorzystanie z autorskiego narzędzia EyeSight, które w szybki i całkowicie nieinwazyjny sposób, wykorzystując OSINT, przedstawia informacje o wybranej firmie. Dane wywiadowcze zebrane z publicznie dostępnych zasobów są oceniane w celu zidentyfikowania ryzyka i zagrożeń dla danego celu. Analizie poddawane są informacje znajdujące się w wyszukiwarkach, blogach, serwisach społecznościowych, metadanych i innych plikach – wszystko, co publicznie jest dostępne w internecie. Jedyne, co jest potrzebne do przygotowania raportu, to nazwa domeny do przeskanowania.
Wszystkie wymienione, oferowane przez Ingram Micro usługi, dostępne są w ramach platformy Cerber Pro. Dodatkowe informacje dotyczące testów podatności, penetracyjnych oraz narzędzie EyeSight, a także formularz kontaktowy można znaleźć na stronie cerberpro.pl.
Trzy pytania do… Michała Porady, Business Development Managera w Ingram Micro
- Jak w obecnych czasach wyglądają trendy dotyczące zainteresowania usługami cyberbezpieczeństwa? Firmy coraz częściej sięgają po różnego rodzaju usługi o proaktywnym charakterze. Dzieje się to w reakcji na obecną sytuację i jest oznaką dojrzałości w podejściu do cyberbezpieczeństwa. Korzystanie z testów penetracyjnych nie jest już tylko domeną największych firm, które są do tego zobligowane. Mniejsze firmy też są nimi zainteresowane, ale nie mają możliwości wykonać tego typu ćwiczeń we własnym zakresie, więc potrzebują wsparcia zewnętrznej firmy. Jako Ingram Micro wychodzimy naprzeciw takim wymaganiom i oferujemy pomoc w postaci naszych usług zarówno dla małych, jak i dużych instytucji.
- Z jakich komponentów składa się stworzone przez Ingram Micro narzędzie EyeSight i do kogo jest adresowane? Traktujemy EyeSight jako wstęp do dalszych usług. Tak jak w przypadku modelu Cyber Kill Chain, zaczynamy od rekonesansu. Patrzymy na to, co już jest widoczne na temat klienta w sieci. Biorąc pod uwagę dotychczasową współpracę z firmami, wyniki takiego rekonesansu bywają bardzo ciekawe. Platforma korzysta z wielu różnych popularnych narzędzi open source, ale również tych komercyjnych. Wszystko to jest dodatkowo obudowane pracą analityków, którzy łączą zebrane, czasami bardzo różne od siebie dane oraz tworzą jeden przejrzysty i czytelny obraz. Z EyeSight mogą korzystać wszystkie firmy, bez względu na wielkość, a tym samym w szybki i prosty sposób sprawdzić elementy, które – choć często łatwo dostępne – nie są najprostsze do analizy.
- Co można znaleźć w takim raporcie? Wiele ciekawych informacji, które oczywiście są zróżnicowane w zależności od charakteru i skali działalności firmy. Podstawą jest zbadanie domeny klienta w taki sposób, aby zdobyć dane o publicznych adresach IP, otwartych portach i znalezionych na nich usługach. Ujawniamy także obecność informacji dotyczących uwierzytelniania poczty elektronicznej w standardzie DMARC, nieaktualne oprogramowanie, w którym występują określone podatności oraz prezentujemy masę rekomendacji komentujących wyszukiwane artefakty. Analizowana jest również reputacja domeny, linki, adresy e-mail, w tym również informacje o tym, czy nie były widziane w dużych wyciekach.
Dodatkowe informacje: Michał Porada, Business Development Manager, Ingram Micro, michal.porada@ingrammicro.com
Podobne artykuły
Wideokonferencje: czas na indywidualne rozwiązania
Powszechna praca zdalna i hybrydowa „rozpędziła” rynek rozwiązań do wideokonferencji. Nieuchronne wzrosty sprzedaży może hamować brak standaryzacji i interoperacyjności między poszczególnymi platformami.
Rubrik: ransomware nam niestraszny
Rubrik zaprojektował rozwiązanie do backupu z funkcją gwarantującą ochronę zabezpieczanych danych przed zewnętrznymi zagrożeniami.
GenAI odmieni podejście do bezpieczeństwa
Zanim zespoły ds. bezpieczeństwa w pełni skorzystają z mechanizmów sztucznej inteligencji do obrony infrastruktury i zasobów, będą musiały mierzyć się z nowymi typami ataków, prowadzonych przez cyberprzestępców właśnie z jej użyciem.