V předchozím díle jsme se s Peterem Šinaľem, výkonným ředitelem společnosti
Trusted Network Solutions, podívali, jaká je situace na poli ochrany firemní infrastruktury.
Představili jsme si hlavní přínosy penetračních testů a uvedli praktické zkušenosti z oblasti zabezpečení externí síťové infrastruktury – České firmy ve víru kybernetické bezpečnosti.
Dnes se společně zaměříme na bezpečnost fyzického perimetru organizace. Zjistíme, že obsahuje mnohem více IT technologií, než by se na první pohled mohlo zdát, a řekneme si, jak se účinně bránit vůči útokům využívajících nedostatky právě na fyzické vrstvě perimetru.
Peter, co představuje fyzická bezpečnost?
Zabezpečení fyzického perimetru organizace vyžaduje, mimo standardní zabezpečení v podobě uzamykatelných dveří, plotů a kamer, také ochranu ethernetových zásuvek, tiskáren nebo IoT zařízení.
V každodenní praxi jde zejména o nekompromisní kontrolu návštěv, řízení přístupu prostřednictvím čipových karet nebo řízení přístupu k ethernetovým zásuvkám. A právě u této poslední technologie se nejčastěji objevují nejzávažnější zranitelnosti.
U tak triviální věci, jako je zásuvka?
Naše zkušenosti opakovaně prokázaly, že řízení přístupu k ethernetovým zásuvkám (standard 802.1X) bez implementace MACsec (802.1AE) lze poměrně lehce obejít, a následně tak přistupovat k interní síti už bez omezení.
Potěšující však není, že organizace, které se o implementaci MACsec samy pokusí, čeká celá řada problémů. Ukazuje se totiž, že je to pro ně velmi složité, někdy dokonce až nemožné.
Nemusí tomu ale tak být, pokud začnou vyvíjet dostatečný tlak na své dodavatele síťových řešení a požadovat po nich dodávku včetně implementace MACsec. Dodavatelé si tak zajisté i tuto technologii rádi osvojí.
Využíváte pro ochranu ethernetových zásuvek standard 802.1x?
A co přístupové karty? Je pro kontrolu vstupu dostatečná implementace řešení přístupových karet, a dokáže takový systém odradit fyzického narušitele?
Systém přístupových karet není, co se týče kvality a úrovně zabezpečení, na tom nikterak dobře, protože v případě cíleného útoku představují tyto karty v tuzemském prostředí pro narušitele poměrně lehký cíl.
Útočníkovi často stačí pomocí vlastní čtečky asi o velikosti krabičky od zápalek přečíst identifikátor karty od některého ze zaměstnanců např. během oběda v blízké restauraci a ten pak nahrát na svoji vlastní kartu. To mu umožní získat komfortní přístup do budovy společnosti.
Jaké zkušenosti máte s kontrolou návštěv?
V případě kontrol návštěv často zjišťujeme fakt, že organizace tento úkon neprovádějí dostatečně důsledně – slabá místa například existují v podobě nepřítomnosti recepce nebo nezabezpečeného přístupu z jiných, alternativních vstupních prostor – často jde třeba o garáže, služební výtah nebo boční vchod, který využívají zaměstnanci na kuřáckou pauzu.
V těchto případech zpravidla platí, že pokud si útočník pro průnik vybere ideální čas, např. v průběhu ranních příchodů nebo obědové pauzy, pak dokáže snadno proniknout do budovy společně s řadou dalších zaměstnanců.
Sestavíme penetrační test přesně na míru vaší firmy
Co tedy dělat pro zvýšení ochrany fyzického perimetru?
■ Pokud implementujete protokol 802.1X, požadujte od dodavatele síťové infrastruktury a dalších prvků i nasazení MACsec
■ Požadujte, aby přístupové karty a čtečky využívaly šifrované technologie pro řízení přístupu
■ Vyžadujte nošení přístupových a identifikačních karet na viditelných místech nejen v případě návštěvních osob, ale i po svých zaměstnancích
■ Zmapujte si místa, odkud by bylo možné proniknout do firemních prostor bez autorizace, a doplňte je o vhodné prostředky pro autentizaci
Důvěřovat technologiím tedy nestačí?
Bezpečný perimetr – jak ten síťový, tak fyzický – vyžaduje vhodné organizační politiky, striktní dodržování pravidel a v neposlední řadě správně aplikované technologie.
Jen tak dosáhnete vysoké míry bezpečnosti vůči neoprávněnému průniku do organizace. A nezávislá verifikace v podobě penetračních testů organizacím pomůže odhalit nedostatky dříve, než se o to pokusí skutečný útočník.
Penetrační testy odhalí včas skryté hrozby
Jak to vypadá s bezpečností v souvislosti se samotnými uživateli a jak chráněné jsou ve skutečnosti firemní bezdrátové sítě, vám přiblížíme v příštím díle.
Partnerem seriálu IT bezpečná firma je:
Seriál vychází rovněž v tištěném SecurityWorldu, kde kromě něj najdete i celou řadu dalších témat týkajících se problematiky firemní bezpečnosti.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU