Zaopatrzyłeś już każde stanowisko komputerowe w firmie w puszkę Faradaya, a może przeprowadzasz treningi wśród pracowników z wyciągania kabla sieciowego na czas? Nie? To dobrze, bo są łatwiejsze i skuteczniejsze metody umożliwiające natychmiastowe izolowanie zainfekowanych urządzeń końcowych od twojej sieci komputerowej.
Systemy kontroli dostępu, bo o nich mowa, odgrywają aktualnie centralną rolę w infrastrukturze firmowej. Jest to śmiała teza, ma ona jednak swoje uzasadnienie. Wyjaśniamy, dlaczego tak jest. NAC jest typowym policjantem, władzą wykonawczą odpowiedzialną za egzekwowanie zdefiniowanych polityk bezpieczeństwa. Kiedy opowiadamy klientom, w jaki sposób automatyzujemy procesy i usprawniamy działania związane z bezpieczeństwem organizacji, na początku podchodzą z lekką nieufnością, szybko jednak przekonują się do naszych propozycji.
Przyjmijmy założenia. Firma posiada lepiej lub gorzej, ale jednak skonfigurowanego NGFW co jest obecnie absolutnym standardem, a do tego centralnie zarządzany system ochrony końcówek. Posiadanie takich systemów bezpieczeństwa jest absolutnie minimalną wersją ochrony zasobów informatycznych przedsiębiorstwa.
Jak wygląda atak na taką infrastrukturę? Jednym z najczęściej stosowanych scenariuszy ataku jest zainfekowanie urządzenia końcowego poprzez atak na użytkownika poczty. Następnie połączenie do Command & Control (C&C) i prowadzenie kolejnych, wcześniej zaplanowanych działań. Poprawnie przeprowadzony atak jest trudny do wykrycia, ale możemy sobie wyobrazić sytuację, gdy po udanej infekcji następuje próba połączenia do centrum C&C (chyba każdy kontroluje ruch wychodzący na FW?) jest to okazja dla NGFW do wykrycia takiego incydentu i …
No właśnie… i blokuje, ale co tam się na tej stacji dzieje, to już zadanie dla kolegi zza biurka. Odebrał wiadomość (może to być alarm z NGFW lub jakiegokolwiek innego systemu) i pobiegł, ruszył pędem i w odległości 2 m od komputera rzucił się do przodu i wyciągnął patchcord ze ściany (albo nakrył delikwenta puszką Faradaya).
Tak, tu zawsze liczy się czas, a automatyzacja działań polega właśnie na tym, że po pierwsze nie czekamy na powiadomienie z systemu (NGFW, SIEM’a czy jakiegokolwiek innego), ponieważ jest on zintegrowany z NACVIEW, a po drugie następuje automatyczne, niemal natychmiastowe wykluczenie podejrzanej stacji z sieci komputerowej. Działaniem może być przeniesienie jej do kwarantanny albo rozłączenie sesji z wykorzystaniem brutalnego wyłączenia portu na przełączniku. Da się?
Da i to z wieloma różnymi systemami. Może następnym razem o automatyzacji, ale już bez takich drastycznych scenariuszy. Tymczasem życzymy każdemu, żeby nie musiał nerwowo reagować na zdarzenia w sieci.