Zabezpečení komunikační infrastruktury, bezpečnostní audit a penetrační testy

V současné době roste riziko napadení sítě ve všech segmentech komunikační infrastruktury. Může se jednat o klasické datové struktury ale i například o systémy zabezpečující hlasovou komunikaci anebo systémy pro výměnu citlivých informací mezi datovými entitami interní infrastruktury. Nebezpečným výsledkem úspěšného průniku do sítě může být buď znefunkčnění komunikační infrastruktury,nebo dokonce i únik citlivých informací mimo společnost.
Drtivá většina útoků, jejichž cílem je neoprávněné získání informací, má původ v uvnitř firemní sítě a typickýmútočníkem(vědomím anebo nevědomím)je ve většině případů přímo zaměstnanec společnosti, který tuto činnost provádí buď záměrně anebo jeho osobní počítač byl infikován škodlivým SW mimo síť společnosti. V případě útoků z nitra sítě nepomůže zabezpečení sítě proti vnějším hrozbám, přičemž při nastavení bezpečnostních mechanizmů a prvků infrastruktury je kladen důraz právě na tento typ zabezpečení a zabezpečení interní části sítě je neprávem opomínáno.

Zabezpečení a ochrana před externí útoky

Systémy bránící síť proti vnějším hrozbám vyhodnocují standardní vzorce chování útočníka případně anomálie v datovém provozu na síti. Zpravidla se jedná o kombinace několika systémů, které mají chránit datový provoz, jsou to zejména firewally, IDS/IPS systémy, aplikační proxy, antiviry a systémy pro ochranu před DoS a DDoS útoky.

Zabezpečení a ochrana před interními útoky

Uživatel interní sítě potřebuje kvůli své práci přistupovat a využívat systémy přímo v interní síti, jejichž zabezpečení však již není tak silné. Tato koncepce dává útočníkovi, kterému se podaří vystupovat v síti v roli klasického uživatele, téměř neomezené možnosti. Nastavení komplexního zabezpečení sítě potom eliminuje i riziko útoků, jejichž zdroj se nachází uvnitř organizace.

Implementace zabezpečení infrastruktury

Výsledkem implementace nového zabezpečení v síti nebo analýzy zabezpečení ve stávající síti a provedení korekčních opatření je dosažení komplexního zabezpečení celé organizace.Výstupem je návrh potřebných opatření, jejichž cílem je eliminace útoků jak z venku tak z nitra sítě. Speciálně pro zamezení útoků z nitra sítě se stává výborným nástrojem extrémně silná a propracovaná kontrola přístupu uživatelů do sítě, kterou je možné nasadit přímo na hranici vstupu do sítě tj. v místě, kde jednotliví uživatelé do sítě vstupují. Nasazení vysoce dostupné a komplexní autentizační infrastruktury s cílovým používáním standardů umožňuje zachytit riziko ohrožení sítě a dat ještě na začátku vstupu uživatele do sítě, stejně jako vhodné nastavení zařízení v perimetru sítě dokáže odhalit a zabránit útokům ještě na hranici perimetru sítě.

Prvky sítě, kterých se týká zabezpečení komunikační infrastruktury,můžeme rozdělit do následujících skupin:
- prvky WAN infrastruktury
- prvky páteřní infrastruktury
- prvky přístupové uživatelské infrastruktury
- prvky přístupové infrastruktury datových center
- prvky infrastruktury pro řešení WiFi
- prvky VoIP infrastruktury
- prvky video infrastruktury
- aplikační servery komunikační infrastruktury
- prvky infrastruktury perimetru
- prvky load-balancingu datových center
- systémy dohledu a správy

Ve stávající síti je možno riziko napadení snížit jak doporučeným bezpečnostním nastavením sítě a též i samotnou architekturou a návrhem sítě, která klade důraz na segmentaci jednotlivých typů uživatelů, koncových a cílových zařízení s cílem vytvoření komunikační matice definující možnosti a omezení vzájemné komunikace.
Důležitou součástí je také Bezpečnostní politika organizace.

Bezpečnostní auditkomunikační infrastruktury

Hlavním cílem bezpečnostních auditů je zjistit skutečný stav implementovaných bezpečnostních pravidel a ochranných mechanismů ve firemní komunikační infrastruktuře a zároveň je porovnat s definovaným standardem – Bezpečnostní politikou.

Zabezpečení síťové infrastruktury zahrnuje:

1. Konsolidace výchozích podkladů
2. Analýzu aktuálního stavu zabezpečení infrastruktury
3. Porovnání aktuálního stavu s Bezpečnostní politikou, mezinárodními standardy a doporučeními výrobců
4. Vyhodnocení a návrh nastavení zabezpečení pro:
- směrovací protokoly
- nastavení L2 security
- IP servisní protokoly
- komunikaci na úrovni IP protokolu
- komunikaci na signalizační úrovni jednotlivých systémů
- přístupy do bezdrátové infrastruktury.
- posouzení možností stávajících nástrojů pro vyhodnocování událostí
- infrastrukturu perimetru
- infrastrukturu detekce anomálií

5. Návrh doporučení pro zvýšení zabezpečení

V rámci služeb bezpečnostního auditu realizujeme tyto činnosti:
• posouzení bezpečnostních aspektů komunikační infrastruktury vzhledem k požadavkům organizace
• identifikování slabých míst pomocí expertní analýzy
• doporučení a návrh vhodných bezpečnostních opatření
• vyhodnocení postupů a procesů spojených s jednotlivými prvky auditovaného ICT
• ověření reálné bezpečnosti systému prostřednictvím penetračních testů

Penetrační testy

Penetrační testy tvoří velice důležitou součást bezpečnostních auditů. Používáme různé techniky pro pokusy proniknutí do různých částí IS/IT infrastrukturyzvenčí a zevnitř. Výsledkem těchto testů a případných průniků je odhalení slabých míst ve stávajicí ochraně (data přenášená, data uložená) s následnou definicí rizik. Penetrační testy vyhledávají a aplikují metody pro napadení IS tak, jak by k tomu mohlo dojít při projevech počítačové kriminality. Tyto aktivity mají za účel prověřit zabezpečení IS vůči napadení a současně ukázat analyzované organizaci, kde existují slabá místa a kudy může být informační systém napaden. Slabá místa v informačních systémech jsou hackery prakticky trvale vyhledávána a používané systémy jsou testovány na možnosti napadení. Aby bylo možno čelit jejich útokům, je nutné podrobně sledovat a testovat IS/ITtěmito způsoby.

Jelikož samostatné penetrační testy nestačí, doplňujeme tato testování o tzv. Red Teaming, který obsahuje sociální útoky, reakce personálu, tipování hesel, testování IDS apod. Pokud je tato metoda prováděna skrytě, má výhodu v otestování reakcí zaměstnanců firmy. Jak se například vypořádají s fyzickým narušením? Zda se příjde na to, že se „někdo“ přihlásili pod servisním účtem? Půjčí vám na chvíli někdo svůj počítač atp.

Složitým rozhodnutím bývá vhodný okamžik pro penetrační testy. Řada společností penetrační testy odkládá pod záminkami, až bude nový firewall, máme webovou prezentaci hostovanou a do sítě nám přichází pouze emaily, máme čerstvě vybudovaný systém, a ten je přeci v pořádku, máme pravidelně aktualizovaný antivir.
Toto jsou velmi naivní tvrzení, že na penetrační testy je čas kdykoliv a je více než vhodné je pravidelně opakovat. Vždyť k napadení počítačů a odepření jejich služby může nastat kdykoliv, třeba jen lavinovým rozšířením infikovaného emailu. Nebo třeba zprávou ze Skype... ta přijde od známé a důvěryhodné osoby, a protože komunikace Skype je šifrována, tak nedojde k její kontrole antivirovým programem a hromadné nakažení počítačů je dílem okamžiku a takových situací může nastat mnoho.

Výsledky penetračních testů prezentujeme ve srozumitelné formě jak pro IT, tak pro management společnosti. Součástí zprávy je klasifikace problémů a doporučení na odstranění zjištěných nedostatků.

Veškeré námi prováděné testy se provádějí metodou "etického hackingu“.

Disponujeme celkem 5 certifikovanými konzultanty, kteří zodpovídají za návrh, realizaci a následnou podporu námi dodávaných řešení. Naši konzultanti jsou certifikovanými odborníky výrobců Cisco, Microsoft a VMware.
Jsme držiteli těchto osobních certifikací:

• 2x Cisco CCIE – Cisco CertifiedInternetwork Expert, specializace Routing&Switching
• 1x Cisco CCVP – Cisco Certified Voice Professional
• 1x Cisco CCSP – Cisco CertifiedSecurity Professional
• 1x Cisco DCNI-DS - Cisco Data Center NetworkingInfrastructure Design Specialist
• 1x Cisco DCNI-SS - Cisco Data Center NetworkingInfrastructure Support Specialist
• 2x Microsoft MCP - Microsoft Certified Professional, specializace Implementing, Managing, and Maintaining a Windows Server Network Infrastructure
• 2x VMware VTSP - VMwareTechnical Sales Professional

Poskytujeme podporu našim zákazníkům v režimu 365x24x7 s garantovanou dobou odezvy a opravy dle specifikovaných SLA. Máme k dispozici dohledové systémy založené na platformách CiscoWorks, Microsoft System Center OperationsManager a VMwarevCenter.

Závěr

Ve valné většině sítí, pokud jsou již některé mechanizmy zabezpečení implementovány, jsou málokdy tyto principy a mechanizmy aplikovány plošně v rámci řešení komplexní komunikační infrastruktury. Dále také nedochází k periodické kontrole a aktualizaci nastavení zabezpečení s ohledem na technický pokrok v oblasti možností napadení cílových systémů.

Implementace bezpečnostních opatření a nasazení doporučených řešení bezpečnosti infrastruktury dokáže vytvořit koncept tzv. "self-defending network" což můžeme volně přeložit jako síť, která je schopna ubránit se do určité míry sama.

Technologičtí partneři