fbpx

Business

Bezpečnostní incident v NASA vlastně není z pohledu bezpečnostního specialisty ničím výjimečným. Jediné, co ho činí výjimečné, je právě fakt, že se to stalo v NASA.

Když ani všechna bezpečnostní řešení nestačí

Zpráva o tom, že neznámí hackeři si skrze Raspberry Pi odnesli z NASA přes 500 MB dat obletěla svět. Mimo jiné nám ukázala, že ani potenciálně nejlépe zabezpečené instituce nejsou nedobytné a lidský faktor hraje stále zásadní roli. Minule jsme vám také slíbili, že se podíváme na to, kde se Jet Propulsion Laboratory stala chyba a jak se proti hackerským útokům lépe chránit.

 

V prvé řadě selhal v Jet Propulsion Laboratory faktor fyzické bezpečnosti. Je s podivem, že někdo dokázal přijít dovnitř a připojit se s vlastním zařízením a v pohodě se autentizovat v síti. Vyplývá z toho, že fyzické restrikce v přístupu k síti neexistovaly, případně byly minimální. Představte si například, že kdokoliv s přístupem do vaší sítě má přístup k managementu switchů nebo dokonce firewallu. Od obchodníka až po sekretářku. A k tomu administrátora, kterému je to jedno. Taky vám to nepřijde úplně košer?

Podle zprávy vydané NASA Office of Inspector General Office of Audits vyšlo najevo, že zneužitý účet externího uživatele byl autorizován pro přístup k oblastem sítě, které nijak nesouviseli s výkonem jeho práce. To dalo útočníkovy mnohem vetší záběr v jeho podvratné činnosti. S tímhle problémem by mohlo pomoci například řešení CyberArk, které řeší správu a monitoring privilegovaných účtů. Správná segmentace sítě ve spojení s přesným určením přístupů pro interní zaměstnance, lokální adminy či externisty je stavebním pilířem každé bezpečné sítě.

 

Neautorizované dění v síti

Raspberry Pi bylo v síti zapojené a komunikovalo se světem půl roku bez povšimnutí. Z toho lze vyvodit, že se vší pravděpodobností došlo k exfiltraci dat pomocí DNS tunnelingu (protože se přeneslo jen malé množství dat za dlouhou dobu). O potenciálních nebezpečích protokolu DNS už jsme psali a jedním z účinných řešení je Infoblox Firewall. Admin by dále potřeboval účinné nástroje, které by mu v reálném čase zobrazily, kdo je zrovna zalogovaný v síti a co tam dělá. A aby v okamžiku, pokud by byl v síti někdo neautorizovaný, sepnul alarm. V této souvislosti se jako ideální nástroj jeví  ExtremeControl.

Špatným řešením ale není ani pasivní monitoring dění v síti, který by zvládl odhalit anomálie a upozornit admina. Běžné zařízení totiž rozhodně neposílá ven ze sítě malé množství dat výhradně přes DNS. Špičkou v oboru pasivního monitoringu je například česká společnost Flowmon Networks.

 

Co je to platné

Z výše zmíněné zprávy také vyplývá, že admini Jet Propulsion Laboratory podobné nástroje jako jsem popsal výše měli. To mě přivádí k odvážné teorii, že s nimi admini prostě neuměli zacházet. Komplexnost bezpečnostních nástrojů mohla být nad jejich síly, tak je prostě neřešili. Zároveň neměli vypracované žádné doporučené postupy v případě ohrožení nebo ustanovené procesy. Ono taky – snažte se, když ani jako admin nemáte v pracovní smlouvě definováno, že vaší povinností je řešit problémy a anomálie…

 

Poučení: Ani všechna řešení světa nestačí…

…Když to admin neumí nakonfigurovat a hlavně následně spravovat. Je to smutná pravda. Bez schopného admina jsou veškeré popsané nástroje jen zbytečným žroutem proudu.

Bezpečnostní incident v NASA vlastně není z pohledu bezpečnostního specialisty ničím výjimečným. Jediné, co ho činí výjimečné, je právě fakt, že se to stalo v NASA. Je to ale zároveň vzkaz výrobcům bezpečnostních řešení – zkuste zapracovat na uživatelském rozhrání. Čím přívětivější je, tím lépe se s ním pracuje. A tím stoupá šance, že bude nastaven správně. Jak říkají Američané: „Just a thought…“

 

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -
DALŠÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?