Hálózati szegregációs vizsgálat

Itt van néhány valós példa (és esettanulmány), amikor a helytelen/szegényes hálózati szegmentálás vezetett ahhoz, hogy egy incidens nagyobb károkat okozzon, mint amennyit lehetett volna, ha jól elkülönített hálózatok lettek volna. Utána néhány tanulság is.

Esetek, ahol rossz szegmentálás súlyosbított egy incidenset

• Target (2013) – harmadik fél hozzáférés + fizetési hálózat gyenge elkülönítése

• A Target adatlopásánál a támadók először egy HVAC (HVAC = fűtés, szellőzés, légkondicionálás) cégtől lopták el a bejelentkezési adatokat. Computerworld
• Ezeket az adatokat felhasználva bejutottak a Target hálózatába, ahol nem volt kellő szegmentálás, így elérhették a POS (PointOfSale) rendszereket, amelyek érzékeny bankkártyaadatokat kezeltek. Számítógépvilág
• A gyenge elkülönítés miatt az alsóbbrendű partner hozzáférése („low trust” hálózati szegmens) felhasználhatóvá vált arra, hogy a támadó a legsérülékenyebb, legkritikusabb komponensekhez is hozzáférjen. Számítógépvilág

• Equifax (2017) – belső hálózati mozgás (lateral movement) segítése azzal, hogy hiányzott a szigorú szegmentálás

• Az Equifaxincidensnél az egyik elem, ami súlyosbította a helyzetet, az volt, hogy belső hálózati erőforrásokhoz túl sok minden hozzáférhető volt. Nincs megfelelő elkülönítés a szerverek, alkalmazások, adatbázisok között. Wikipedia+ 1
• A támadók kihasználták az Apache Struts sebezhetőséget, de miután beléptek, további rendszerekre tudtak áttérni (lateral movement), egészen az érzékeny fogyasztói adatok tároló infrastruktúráig. Wikipédia+ 1

• Clorox (2023) – rosszul szegmentált hálózati infrastruktúra növelte a támadás következményeit

• A Clorox egyik támadásnál (ransomware jelleggel) az derült ki, hogy a hálózatuk nem volt elég jól szegmented, így amikor egy ponton behatoltak, gyorsan tudtak hatókört növelni, és több ITrendszer is érintett lett. tufin.com
• A hibás elkülönítés következtében nagy volt a működésleállás, megrongálódott szállítás, megrendelések feldolgozásának időbeli késései, valamint a pénzügyi veszteség jelentős volt. tufin.com

• Globális papírgyártó vállalat – OT hálózat sebezhetősége + elkülönítés hiánya = nagy termelésleállás

• Egy nagy papírgyártó cég OT (Operational Technology) hálózatában történt ransomware támadás. Az elkülönítés hiánya miatt a támadás nem csak az informatika (IT) rendszereket érintette, hanem a termelési rendszereket is magas kár keletkezett. verveindustrial.com
• Különösen a termelés volumene esett vissza, tonnákban mérhető kiesés volt, mert a támadók képesek voltak mozgásba hozni a fertőzést az OT szegmensek felé is. Verve Industrial

Tanulságok – mire érdemes figyelni hálózati szegmentálásnál

• Legkisebb jogosultság: csak azok a rendszerek/hálózati szegmensek kapjanak hozzáférést más szegmensekhez, amelyeknek valóban szükségük van. Ha nincs, akkor meg kell akadályozni a kommunikációt köztük.
• Partner / harmadik fél hozzáférés kezelése: külsős cégek (pld. karbantartás, HVAC, beszállítók) hozzáférését izolálni kell, ne legyen közvetlen elérésük érzékeny rendszerekhez.
• IT és OT hálózat elkülönítése: ha egy vállalatnak van fizikai irányítási/vezérlési rendszere (pld. gyártósor, érzékelők, SCADA), ezek ne legyenek szoros hálózati közelben az IT hálózattal.
• Monitoring és forgalom vizsgálat: ha rossz szegmenseket használnak, fontos, hogy legyenek belső tűzfalszabályok, IDS/IPS, és trafficinspect, más szóval láthatóság (visibility) és észlelés.
• Tervezett redundancia és választerv: ha egy szegmens kompromittálódik, legyen terv, hogy az milyen hatással van, hogyan lehet elszigetelni, helyreállítani.