Bezpečnostní incidenty často začínají tam, kde byste je nejméně čekali – u základních chyb v konfiguraci. Jak je opravit?

Nešifrované komunikace, plain-textové autentizace, chybná segmentace, neaktualizované operační systémy a aplikace nebo nezabezpečené služby, které se dají snadno přehlédnout, ale mohou mít vážné dopady na provoz celé organizace. Tyto chyby otevírají dveře do infrastruktury potenciálním útočníkům. 

Mnoho z těchto problémů přitom můžete jednoduše identifikovat a opravit. Podívejme se na nejběžnější chyby a způsoby, jak je rychle vyřešit.

Nezabezpečené služby v perimetru organizace 

Problém: Služby jako webové servery, RDP (Remote Desktop Protocol) nebo SSH (Secure Shell) vystavené do internetu bez dostatečné ochrany jsou snadným cílem pro útočníky.

Služby vystavené na perimetru často zůstávají přehlédnuté nebo špatně nakonfigurované, což zvyšuje jejich zranitelnost. Útočníci pak tyto slabiny využívají k širokému spektru útoků jako jsou brute force útoky, exploity nezabezpečených verzí softwaru nebo prosté zneužití miskonfigurace, kdy nezabezpečené služby slouží jako brána k dalším částem infrastruktury.

Absence omezení přístupu, například podle geografických IP nebo specifických rozsahů, zvyšuje riziko útoků z celého světa. Při nedostatečném logování a monitoringu pak může průnik zůstat dlouhou dobu nezpozorován.

Doporučené kroky:
  • Nasaďte NGFW (Next-Generation Firewall) s WAF (Web Apllication Filtering) pro detekci a blokaci škodlivé komunikace.
  • Omezte přístup pomocí whitelistingu IP adres a pravidel geolokace, například povolením IP pouze adres z konkrétních regionů.
  • Ideálně nevystavujte služby do internetu, pokud to není nezbytné, a řiďte přístup k službám pomocí ZTNA nebo klientské VPN.

Tip: Pravidelný audit exponovaných služeb pomůže odhalit slabiny a zvýší celkovou ochranu.

Vzdálený přístup pomocí VPN 

Problém: Nesprávná konfigurace VPN umožňuje přístup do celých síťových segmentů místo jen do konkrétních služeb. To výrazně zvyšuje riziko lateral movementu a kompromitace celé sítě.

Bez omezení přístupu na konkrétní služby a viditelnosti aktivit uživatelů se VPN může stát slabým článkem zabezpečení. Přechod na moderní přístupové metody, jako je ZTNA (Zero Trust Network Access), poskytuje výrazně vyšší úroveň bezpečnosti.

Doporučené kroky:
  • Omezte přístup pouze na nezbytné služby.
  • Zaveďte monitoring VPN aktivit, aby bylo možné detekovat podezřelé chování uživatelů.
  • Přejděte na ZTNA nebo klientskou VPN s granulární kontrolou a řízením přístupu a lepším zabezpečením.

Obcházení bezpečnostních politik v rámci vzdáleného přístupu 

Problém: Dodavatelé často obcházejí přístupová pravidla organizace použitím neautorizovaných zařízení nebo softwaru. To otevírá přímý přístup do interní infrastruktury, a vážně tak narušuje ochranu sítě.

Častým scénářem je nasazení „rough“ routerů s mobilním připojením (4G/5G), které terminují VPN tunely přímo do infrastruktury organizace. Takový postup obchází stávající bezpečnostní politiky organizace a otevírá přímý přístup do interní sítě.

Stejně problematické je využití softwarových nástrojů, jako je SoftEther, které umožňují vytvářet VPN spojení přes protokol HTTPS na jakoukoliv stanici v síti organizace, kde je daný software nainstalovaný. Tato komunikace vypadá jako běžný provoz, a proto často uniká detekci běžných firewallů.

Výsledkem je skrytý přístup, který může útočník nebo nespokojený zaměstnanec zneužít k neautorizovaným aktivitám nebo kybernetickým útokům.

Doporučené kroky:
  • Provádějte pravidelné audity na základě analýzy síťové komunikace, abyste identifikovali neautorizovaná zařízení, podezřelé chování a komunikační vektory.
  • Používejte pouze schválené metody vzdáleného přístupu, například ZTNA nebo klientskou VPN.
  • Zakažte používání neautorizovaných zařízení a software pro vzdálený přístup.

Tip: GREYCORTEX Mendel vám pomůže identifikovat nestandardní přístupové metody a zajistí lepší kontrolu nad vzdálenými přístupy.

Nebezpečné prostupy mezi síťovými segmenty 

Problém: Chybná segmentace a řízení komunikace mezi sítěmi umožňuje zařízením z méně zabezpečených sítí přístup k interním zdrojům, což výrazně zvyšuje bezpečnostní rizika.

Jedním z hlavních principů návrhu sítí je segmentace a řízení komunikace mezi síťovými segmenty. Často se však objevují případy, kdy zařízení z oddělených sítí (třeba z free wifi pro hosty) mají přístup k některým interním systémům, například k DNS nebo DHCP serverům. Tato zařízení, která obvykle neodpovídají bezpečnostním standardům organizace, mohou představovat závažné riziko, pokud není komunikace správně řízena.

Doporučené kroky:
  • Správně segmentujte síťblokujte neoprávněné komunikace mezi segmenty, které nemají být propojeny.
  • Monitorujte provoz mezi síťovými segmenty pro detekci neoprávněných komunikací.
  • Provádějte pravidelné audity konfigurace síťové infrastruktury.

Tip: GREYCORTEX Mendel poskytuje přehled o síťové komunikaci mezi segmenty a pomáhá identifikovat slabá místa.

Nešifrovaná komunikace a plain-textová autentizace 

Problém: Používání nešifrovaných protokolů, jako HTTP, Telnet nebo TFTP, a plain-textové autentizace vystavuje organizaci vysokému riziku odposlechu a zcizení přístupových údajů.

Tento problém často vyplývá ze starších systémů nebo zařízení bez podpory moderních šifrovaných protokolů, případně z chybné konfigurace. Útočníci mohou zneužít nešifrovanou komunikaci k odposlechu citlivých dat. U starších systémů, které nelze rychle nahradit, je klíčové vyhodnotit riziko, přijmout potřebná opatření a stanovit plán jeho odstranění ve střednědobém horizontu. 

Doporučené kroky:
  • Přejděte na šifrované protokoly (například HTTPS, SSH, SFTP).
  • Identifikujte zařízení nebo systémy, které nepodporují šifrování, a naplánujte jejich modernizaci.

Tip: Aktivní monitoring šifrovacích protokolů pomáhá včas odhalit zranitelnosti.

Zastaralé nebo slabé šifrovací standardy 

Problém: Zastaralé protokoly, jako je TLS 1.0/1.1, neposkytují dostatečnou ochranu proti moderním hrozbám a vystavují organizaci riziku odposlechů a útoků.

Pokud jde o chybnou konfiguraci protokolů s možností přechodu na novější verzi, proveďte nápravu okamžitě. V případech, kdy je nutný upgrade nebo výměna systému, pečlivě vyhodnoťte riziko a naplánujte kroky k jeho odstranění ve střednědobém horizontu.

Doporučené kroky:
  • Aktualizujte šifrovací standardy na moderní verze, jako TLS 1.2/1.3.
  • Identifikujte systémy využívající zastaralé protokoly a stanovte plán jejich modernizace.
  • Minimalizujte přístup k systémům se zastaralými šifrovacími protokoly.

Tip: GREYCORTEX Mendel identifikuje systémy využívající zastaralé šifrovací protokoly.

Dotazování na externí DNS servery 

Problém: Komunikace zařízení z interní infrastruktury na externí DNS servery zvyšuje riziko úniku citlivých dat o infrastruktuře organizace a zneužití technikou DNS tunnelingu.

Zařízení v interní, serverové nebo technologické síti by měla využívat pouze interní DNS servery spravované organizací. Pouze interní DNS server, který se případně dotazuje nadřazeného DNS, může komunikovat externě. Externí DNS dotazy jsou rizikové zejména v prostředích, kde se používají méně zabezpečené, například IoT zařízení nebo pracovní stanice bez odpovídající ochrany.

Pokud se klientské stanice dotazují externích DNS serverů, otevírá to potenciální bezpečnostní rizika, jako je přesměrování na servery pod kontrolou útočníků (DNS spoofing), sběr citlivých dat nebo využití DNS tunnelingu pro skrytou komunikaci.

Doporučené kroky:
  • Zajistěte, aby interní zařízení komunikovala pouze s autorizovaným interním DNS serverem, který jediný se dotazuje externě na svůj nadřazený DNS server.
  • Monitorujte DNS provoz pro detekci anomálií, jako jsou neoprávněné dotazy na veřejné DNS servery.
  • Blokujte externí DNS dotazy na úrovni firewallu, aby se zabránilo obcházení interní infrastruktury.

Tip: GREYCORTEX Mendel pomáhá odhalit zařízení komunikující s neautorizovanými servery a umožní lépe chránit vaši síť.

Nevyužívaná IPv6 komunikace 

Problém: Aktivní IPv6 komunikace na zařízeních, kde není cíleně využívána, zbytečně zatěžuje síť a zvyšuje složitost správy.

V mnoha organizacích dochází k situaci, kdy zařízení používají jak IPv4, tak IPv6 adresy, aniž by byl IPv6 záměrně využíván. Pokud je na takových koncových zařízeních IPv6 povolen, vede to k přidělení několika IP adres na jedno rozhraní.

Tento stav sice není provozní miskonfigurací, ale generuje zbytečné IPv6 multi-cast a any-cast dotazy, které zvyšují provoz v síti.

Doporučené kroky:
  • Zakažte IPv6 na všech zařízeních, kde není nutný. Tím snížíte zbytečný provoz.
  • Pravidelně monitorujte IPv6 provoz pro identifikaci neefektivních toků.

Tip: Před úplnou deaktivací IPv6 vždy ověřte kompatibilitu aplikací a zařízení, která by mohla tento protokol využívat.

Efektivní prevence síťových hrozeb začíná u správné konfigurace

Výše uvedené konfigurační nedostatky nejsou ojedinělé – vyskytují se pravidelně při auditech sítí různých organizací. Zatímco některé lze snadno odstranit změnou konfigurace, jiné vyžadují systematický přístup k modernizaci infrastruktury nebo systému. Klíčem k úspěchu je však jejich včasná identifikace.

GREYCORTEX Mendel poskytuje komplexní přehled o síťové komunikaci a pomáhá odhalit bezpečnostní rizika, jako je nešifrovaná komunikace, problematické síťové prostupy či rizikové vzdálené přístupy.

Bezpečnost vaší sítě začíná u důkladného přehledu o jejím stavu. Mendel vám může pomoci identifikovat slabá místa a minimalizovat rizika dříve, než se stanou palčivým problémem. 

Nechte si provést audit sítě a získejte přehledná doporučení na míru vaší organizaci. 

 

Kategorie