- Verkkolaitteiden auditointi paljastaa todellisen varaston, infrastruktuurin tilan ja haavoittuvuudet ennen kuin ne aiheuttavat käyttökatkoksia tai tietomurtoja.
- Ohjelmisto- ja laitteistotyökalut sekä protokollat, kuten SNMP, LLDP, NetFlow ja ARP, mahdollistavat topologian selvittämisen ja liikenteen perusteellisen analysoinnin.
- Hyvä menetelmä yhdistää fyysisen ja loogisen tarkastelun, sisäisen ja ulkoisen tietoturvatestauksen sekä tulosten strukturoidun analyysin selkeine suosituksineen.
- Jatkuva verkon valvonta ja analysointi ovat kriittisiä suorituskyvyn, saatavuuden, määräystenmukaisuuden ja kyberhyökkäyksiltä suojautumisen ylläpitämiseksi.
Yrityksen verkostosta on tullut koko liiketoiminnan hermostoJos se epäonnistuu, tuotanto pysähtyy, pääsy kriittisiin sovelluksiin katkeaa ja vakavan tietoturvahäiriön, kuten seuraavan, riski kasvaa merkittävästi: kyberhyökkäykset EspanjassaLaitteiden päällä pitäminen ja "selaaminen" ei enää riitä; on välttämätöntä tietää, mitä kaapeleiden ja Wi-Fi-verkon kautta todella tapahtuu, kuka yhdistää, miten infrastruktuuri toimii ja mitkä ovet ovat avoinna mahdollisille hyökkääjille.
Hyvä verkkolaitteiden analyysi yhdistää auditoinnin, valvonnan ja tietoturvatarkastuksen. vastaamaan keskeisiin kysymyksiin: Onko verkko oikean kokoinen? Onko vanhentuneita laitteita, jotka hidastavat suorituskykyä? Onko tietoturva-aukkoja? tietokonevirukset Vai huonosti toteutettuja protokollia? Mitä liikennettä tulee internetiin ja lähtee sieltä, ja mihin kohteisiin? Tässä artikkelissa käymme läpi yksityiskohtaisesti, miten tätä analyysia lähestytään ja mitä työkaluja ja tekniikoita käytetään sekä yritys- että teollisuusympäristöissä.
Miksi verkon analysointi ja auditointi on niin tärkeää?
Verkkotarkastusten avulla voit selvittää infrastruktuurin "terveydentilan" ja ennakoida ongelmia ennen kuin ne aiheuttavat laajan käyttökatkoksen tai tietoturvaloukkauksen. Nämä analyysit voivat havaita virheellisiä kokoonpanoja, suorituskyvyn pullonkauloja, tukemattomia laitteita, haavoittuvuuksia, sisäisiä ja ulkoisia uhkia tai jopa virheellisesti muodostettuja kehyksiä, jotka voivat horjuttaa päätejärjestelmien vakautta.
Yritysverkoissa keskitytään yleensä internet-yhteyteen.Koska se on yleensä koko organisaation kuormitetuin ja kriittisin linkki, huono kaistanleveyden hallinta tai ulkoinen hyökkäys voi jättää koko työvoiman ilman palvelua. Teollisuusverkoissa haaste on kuitenkin erilainen: suljettujen tai huonosti dokumentoitujen protokollien määrä edellyttää usein erikoistuneiden analysaattoreiden käyttöä, jotka pystyvät ymmärtämään jokaisen kehyksen ja validoimaan sen toteutuksen.
Tiettyjen ongelmien ratkaisemisen lisäksiOrganisaatiot kääntyvät verkkoanalyysin ja -auditoinnin puoleen, kun niiden on arvioitava, mitä ne ovat todellisuudessa ottaneet käyttöön, valmistauduttava merkittävään infrastruktuuripäivitykseen, täytettävä sääntelyvaatimukset (esim. PCI DSS rahoitusalalla) tai yksinkertaisesti varmistettava, että verkko pysyy linjassa nykyisten liiketoimintatarpeiden kanssa.
Nämä auditoinnit eivät rajoitu tietoturvaanHe tarkastelevat myös saatavuutta, suorituskykyä, palvelun laatua, valvontaprosesseja, käyttöoikeuksien hallintaa ja hallintoa, jotta voidaan laatia virallinen raportti, joka sisältää haavoittuvuudet, riskit ja selkeät suositukset johdolle ja tekniselle tiimille.
Verkko- ja IT-infrastruktuurin täydellinen tarkastus
Analyysin ensimmäinen osa sisältää koko IT-infrastruktuurin perusteellisen tarkastelun.: palvelimet (mukaan lukien miten perustaa kotipalvelinTähän sisältyvät kytkimet, reitittimet, palomuurit, langattomat tukiasemat, sähköjärjestelmät, strukturoitu kaapelointi, päätelaitteet ja teollisuusympäristöissä ohjaus- ja automaatiolaitteet. Tavoitteena on varmistaa, että kaikki laitteistot on asianmukaisesti dokumentoitu, valmistajan tukemia ja optimaalisessa toimintakunnossa.
Tässä vaiheessa laaditaan yleensä erittäin yksityiskohtainen inventaario. Tämä tietokanta tallentaa mallit, laiteohjelmistoversiot, laitteen ominaisuudet, käytettävissä olevat liitännät, asennetut moduulit, yhteensopivuuden hallintaprotokollien (SNMP, NetFlow, sFlow jne.) kanssa ja elinkaaren virstanpylväspäivämäärät (myynnin loppu, tuen loppu, käyttöiän loppu). Tämä työ voidaan tehdä manuaalisesti tai erityisillä tarkastustyökaluilla, jotka automatisoivat suuren osan etsintäprosessista.
IT-infrastruktuurin auditoinnit eivät rajoitu vain fyysiseen inventaarioonHe arvioivat myös, kuinka hyvin sisäiset kontrollit, verkon erottelu, korkean käytettävyyden mekanismit, konfiguraation standardointi ja IT-hallinto on suunniteltu. Ajatuksena on varmistaa, noudatetaanko parhaita käytäntöjä vai onko ajan myötä kertynyt "korjauksia".
Hyvin suunniteltu infrastruktuuriarviointi auttaa mitoittamaan ja suojaamaan verkkoa paremminSe parantaa skaalautuvuutta, lisää vakautta, vähentää seisokkiaikoja ja hyödyntää olemassa olevaa teknologiaa tehokkaammin. Tämä sisältää muun muassa ennakoivan ja inkrementaalisen valvonnan, ennaltaehkäisevät mekanismit korkean käytettävyyden saavuttamiseksi, resurssien optimoinnin ja konsolidoinnin sekä parannetun toiminnan näkyvyyden.
Samanaikaisesti IT-varmennuspalvelut keskittyvät tietojen suojaamiseen Nojaamme tietoturvan viiteen pilariin: eheys, saatavuus, todennus, luottamuksellisuus ja kiistämättömyys. Tämä sisältää sisäisiä ja ulkoisia infrastruktuuritarkastuksia, sertifiointipalveluita, liiketoiminnan sietokykyanalyysin sekä yksityisyys- ja tietosuojakäytäntöjen tarkastelut.
Palvelin- ja tietoliikennehuone: verkon fyysinen sydän
Palvelin- ja tietoliikennehuoneessa sijaitsevat verkon kriittiset elementit.Fyysiset palvelimet, kehäpalvelimet, pääreitittimet, ydinkytkimet, patch-paneelit ja monissa tapauksissa tallennus- ja virtualisointilaitteet. Kaikissa verkkolaitteiden vakavasti otettavissa analyyseissä on kiinnitettävä erityistä huomiota tähän alueeseen.
Fyysiset näkökohdat ovat aivan yhtä tärkeitä kuin loogiset.Tarkastetaan ympäristön lämpötila, laitteiden puhtaus ja pölyn kertyminen, telineiden kaapeloinnin oikea järjestely, porttien ja kaapeleiden merkinnät, virtalähteen ja datan riittävä erottelu sekä fyysinen pääsy huoneeseen (avainten, korttien, kameroiden, sisään- ja poistumistietueiden hallinta).
Pääasiallisen internetyhteyden tarjoava reititin ansaitsee yksityiskohtaisen analyysin.Tarkistetaan, että palveluntarjoajan tarjoama yhteys on vakaa, turvallinen ja riittävän kapasiteetin omaava, että laitteistossa on vähintään gigabitin Ethernet-portteja, että se tukee tarvittavia valvontaprotokollia ja että palvelun laatu- ja kaistanleveyden hallintakäytännöt on määritelty hyvin.
Myös huoneeseen tulevan ja sieltä lähtevän kaapeloinnin kunto tarkistetaan.varmistamalla, että luokka (5e, 6 tai korkeampi) vastaa vaadittuja nopeuksia, että RJ45-paneelien ja -pistorasioiden päätteet ovat oikein ja että ei ole liitoksia tai "tilapäisiä" kytkentöjä, jotka voisivat rajoittaa siirtokapasiteettia tai aiheuttaa linkkivirheitä.
Lopuksi tarkastellaan apujärjestelmiä, kuten UPS-laitteita, ilmastointia ja antureita.Oikein mitoitettu UPS-laite mahdollistaa palvelimien ja tietoliikenteen pysymisen aktiivisina riittävän kauan, jotta järjestelmälliset varmuuskopiot voidaan suorittaa ja laitteet sammuttaa ilman tietojen vioittumisen riskiä. Jäähdytys ja ympäristön valvonta ovat avainasemassa laitteiston käyttöiän pidentämisessä ja odottamattomien seisokkien estämisessä.
Kytkentä-, liitäntä- ja kaapelointilaitteet
Kytkimet vastaavat liikenteen älykkäästä jakamisesta kaikkien Ethernetin kautta kytkettyjen laitteiden joukossa. Analyysin aikana arvioidaan, riittävätkö niiden kytkentäkapasiteetti, porttien lukumäärä ja nopeus (Fast Ethernet, Gigabit, 10 GbE) nykyiselle ja tulevalle kuormitukselle ja rajoittaako verkon kokonaissuorituskykyä vanhentunut elektroniikka.
Vanhojen kytkimien löytäminen on melko yleistä. Nämä laitteet, jotka eivät saavuta 1000 Mbps:n nopeutta, toimivat pullonkauloina keskeisissä kohdissa ja estävät palvelimien, tallennuslaitteiden ja työasemien välistä tiedonsiirtoa. Näiden laitteiden havaitseminen ja vaihtaminen vaikuttaa välittömästi käyttäjien kokemaan suorituskykyyn.
Langattomat tukiasemat (AP) ovat myös olennainen osa analyysiaNiiden sijainti tarkistetaan tasaisen kuuluvuuden varmistamiseksi, ja varmistetaan, että ne on kytketty tarvittavaa kaistanleveyttä tukeviin verkkopistorasioihin, että niillä on riittävä teho (PoE tarvittaessa) ja että niiden suojauskonfiguraatiot (WPA2/WPA3, VLANit, asiakkaan eristys) ovat oikein.
Rakenteisen kaapeloinnin tyypillä ja laadulla on valtava vaikutus suorituskykyynUusissa asennuksissa on suositeltavaa käyttää vähintään luokan 5e tai 6 kaapelointia tai uudempaa, jotta gigabitin nopeudet tai jopa 10 gigabitin nopeudet lyhyillä etäisyyksillä voidaan luotettavasti tukea. Luokan lisäksi tarkistetaan liittimet, seinälevyt, kytkentäjohdot ja niiden oikea sijoittelu kaapelihyllyissä ja -putkissa.
Yhteydet ja sähkösuojaus tarkistetaan erityisesti palvelimen sijainnissa.Helppokulkuinen sijainti, gigabitin tai nopeampi yhteys verkon ytimeen, yhteydet redundantteihin UPS-laitteisiin ja riittävä jäähdytys ylikuumenemisen estämiseksi. Kaikki nämä tekijät vaikuttavat suoraan käyttäjien käyttämien palveluiden vakauteen.
Liitettyjen laitteiden ja verkon tietoturvan analysointi
Yksi verkkolaitteiden analysoinnin keskeisistä tavoitteista on tietää, ketkä ovat yhteydessä verkkoon.Verkkoskannausten, SNMP-kyselyiden, ARP- ja MAC-taulukoiden tarkastelun sekä etsintätyökalujen avulla tunnistetaan kaikki läsnä olevat laitteet: tietokoneet, palvelimet, tulostimet, IP-kamerat, IoT-laitteet, teollisuuslaitteet, matkapuhelimet jne. ja tarkistetaan, onko niillä käyttöoikeus.
Verkkoon liittyvien laitteiden hallinta on tärkeää riskien minimoimiseksi"Fantomilaitteiden" tai luetteloimattomien laitteiden olemassaolo on usein portti tietoturvaloukkauksiin. Teollisuusverkoissa laitteistoanalysaattorit voivat jopa varmistaa, että laitteet toteuttavat oikein protokollia, kuten Modbusin tai DNP3:n, estäen odottamattoman toiminnan.
Verkkoturvallisuustarkastus kattaa useita tasojaLooginen rakenne analysoidaan (jako VLAN-verkkoihin, demilitarisoituihin vyöhykkeisiin ja vierasverkkoihin), palomuurikäytännöt ja käyttöoikeusluettelot tarkistetaan, salasanat ja todennusmenetelmät auditoidaan ja haittaohjelmien torjuntaratkaisut, IDS/IPS ja varmuuskopiojärjestelmät varmennetaan.
Tässä vaiheessa haavoittuvuuden arviointi on tärkeää.Inventaarion ja kerätyn datan perusteella tilintarkastajat yrittävät "hyökätä" verkkoon ensin ulkopuolelta (simuloiden ulkoista hyökkääjää) ja sitten sisältäpäin (olettaen, että sisäinen laite on vaarantunut). Tavoitteena on ketjuttaa yhteen pieniä heikkouksia, kunnes ne saavuttavat korkean tason käyttöoikeudet ja osoittavat todellisen vaikutuksen.
Haavoittuvuuksien hyödyntämisen jälkeen suoritetaan aina manuaalinen tarkistus. erottaakseen väärät positiiviset tulokset todellisista ongelmista, tunnistaakseen systeemiset syyt ja priorisoidakseen lieventäviä toimenpiteitä. Tulokset kootaan johdon raporttiin, johon liitetään teknisiä ja liiketoimintasuosituksia: vanhentuneiden laitteiden korvaaminen, kokoonpanomuutokset, käytäntöjen tiukentaminen, henkilöstön koulutus jne.
Verkkoanalyysityökalut: ohjelmisto ja laitteisto
Verkkoliikenteen ja laitteiden käyttäytymisen analysointiin on olemassa kaksi pääasiallista työkaluperhettä.ohjelmistopohjaiset ratkaisut, jotka ovat yleensä yleisiä ja kykenevät tulkitsemaan laajalti dokumentoituja protokollia, sekä laitteistoratkaisut, jotka on suunnattu enemmän tiettyihin ympäristöihin (erityisesti teollisuusympäristöihin) ja jotka tukevat hyvin erityisiä protokollia.
Tunnetuimpia ohjelmistopohjaisia verkkoanalysaattoreita ovat Wireshark, TCPDump ja Windump.Esimerkiksi Wireshark kaappaa kehyksiä reaaliajassa ja antaa sinun analysoida ne kerros kerrokselta näyttäen lähde- ja kohdeosoitteet, portit, protokollaliput ja sovelluksen sisällön. Se on hyödyllinen sekä virheiden diagnosoinnissa että sen tutkimisessa, täyttävätkö paketit määritykset.
Verkkoinventaarion ja kartoituksen alueella Käytössä on työkaluja, kuten SolarWinds, Open-AudIT ja NetformX, jotka pystyvät löytämään laitteita, luomaan topologiakaavioita, yhdistämään laitteiden välisiä suhteita ja luomaan kattavia raportteja. Muut ratkaisut, kuten Nessus ja Nipper, keskittyvät tietoturvan arviointiin, kokoonpanojen tarkasteluun, parhaiden käytäntöjen ehdottamiseen ja haavoittuvuuksien, kuten..., havaitsemiseen. piilotettu kyberhyökkäys selaimissa.
Suorituskyvyn arviointiin ja yksityiskohtaiseen liikenneanalyysiinWiresharkin lisäksi käytetään apuohjelmia, kuten iperf, ntop tai NetFlow/sFlow -vuoanalyysijärjestelmiä, jotka auttavat ymmärtämään, kuka kuluttaa eniten kaistanleveyttä, mitkä sovellukset tuottavat eniten liikennettä ja miten kuormitus vaihtelee ajan kuluessa.
Laitteistoanalysaattorit, erittäin yleisiä teollisuuden ohjausjärjestelmissäNe sisältävät tyypillisesti edistyneitä ominaisuuksia, kuten protokollan toteutusten testaamiseen tarkoitetun fuzzerin, signaalien ja taajuuksien tarkistamiseen tarkoitetun oskilloskoopin sekä sähköpaneelianalysaattorit. Tuotteet, kuten Achilles, Netdecoder tai Line Eye, on erityisesti suunniteltu toimimaan Ethernet-, sarja- (RS-232, RS-485), kuitu- ja muiden medialiitäntöjen kanssa.
Menetelmiä verkkoliikenteen kaappaamiseen ja analysointiin
Jotta ohjelmistoanalysaattori voi tutkia verkkoliikennettäOn välttämätöntä, että kiinnostuksen kohteena olevat kehykset saavuttavat laitteiston, johon ne on asennettu. Tämä voidaan saavuttaa useilla tavoilla: kytkemällä vanha keskitin, jossa kaikki liikenne toistetaan kaikkien porttien kautta, konfiguroimalla peilattu portti (SPAN) kytkimeen tai käyttämällä erityisiä laitteita, kuten verkko-TAP-laitteita.
Peilatun portin käyttö kytkimessä on yleisin vaihtoehto nykyaikaisissa verkoissa.Kytkintä ohjataan kopioimaan kaikki liikenne yhdestä tai useammasta portista tai VLANista nimettyyn porttiin, johon analysaattori on kytketty. Tämä mahdollistaa kytkimen läpi kulkevan tiedon tarkan seurannan, vaikka on tärkeää huomata, että liiallinen liikenne voi ylikuormittaa peilatun portin ja aiheuttaa epäonnistuneita kaappaustietoja.
Verkko-TAPit ovat laitteita, jotka on suunniteltu lisäämään "läpinäkyvä" havaintopiste. kahden verkkosegmentin välillä. Ne replikoivat liikenteen analysaattoriin häiritsemättä tiedonsiirtoa ja tukevat tyypillisesti erilaisia fyysisiä medioita ja nopeuksia. Teollisuus- tai tehtäväkriittisissä ympäristöissä, joissa konfiguraatioiden vaihtaminen ei ole toivottavaa, ne ovat erittäin arvostettu vaihtoehto.
Suuri ero ohjelmisto- ja laitteistoanalysaattoreiden välillä Ensimmäiset keskittyvät ensisijaisesti kaappausten seurantaan ja analysointiin (myös jälkikäteen), kun taas jälkimmäiset lisäävät aktiivisen protokollan testausominaisuudet, fyysisen signaalin mittauksen ja synteettisen liikenteen generoinnin, mikä on elintärkeää teollisuuslaitteiden validoinnissa ilman julkisen valmistajan dokumentaation käyttöä.
Analysaattorien käyttö on joka tapauksessa suunniteltava. Tuotantoon vaikuttamisen välttämiseksi protokollan toteutustestien tai fuzz-kampanjoiden tulisi olla suoritettavissa laboratorioympäristöissä tai silloin, kun pääjärjestelmä ei ole käytössä, koska ne tuottavat virheellisiä paketteja, jotka voivat jättää verkon tai ohjaimet epävakaaseen tilaan.
Laitteiden ja topologian löytämiseen tarkoitetut protokollat ja tekniikat
Verkkolaitteiden analysoinnin keskeinen osa on topologian automaattinen löytäminen ja laitteiden väliset suhteet. Tämä saavutetaan yhdistämällä erilaisia protokollia ja tekniikoita, joiden avulla hallintatyökalut voivat siirtyä laitteesta toiseen, kunnes koko verkkokartta on piirretty.
SNMP on yleisin verkonhallintaprotokollaYhteensopivat laitteet (reitittimet, kytkimet, palomuurit, tulostimet jne.) sisältävät SNMP-agentin, joka vastaa hallintakyselyihin UDP:n kautta välttäen TCP-yhteyden aiheuttaman lisäkuormituksen. Hallitut tiedot on järjestetty objektitunnisteiksi (OID) MIB-tietokannoissa, jotka tallentavat laskureita, rajapintojen tiloja, edelleenlähetystaulukoita, mustetasoja, porttitilastoja ja paljon muuta.
LLDP-protokolla (Link Layer Discovery Protocol) tarjoaa toisen perustavanlaatuisen tiedonJokainen sitä tukeva laite mainostaa säännöllisesti tietoja itsestään (laitetyyppi, tunniste, portti) välittömille naapureilleen tasolla 2. Nämä naapurit tallentavat tiedot omiin MIB-tietokantoihinsa, jotta hallintatyökalut voivat ketjuttaa naapureita yhteen fyysisen topologian rekonstruoimiseksi.
Jopa yksinkertaiset apuohjelmat, kuten ping, ovat edelleen hyödyllisiä etsinnän kannalta.Lähettämällä ICMP-kaiutuspyyntöjä ja tarkistamalla, kuka vastaa, on mahdollista havaita aktiiviset laitteet aliverkossa. Tämä tekniikka on yksinkertainen, mutta yhdistettynä SNMP:hen, ARP:hen ja muihin menetelmiin se auttaa inventaarion täydentämisessä.
ARP-protokolla, joka vastaa IP-osoitteiden yhdistämisestä MAC-osoitteisiinTätä hyödynnetään myös auditoinneissa. Kyselemällä reitittimien ja kytkimien ARP-välimuistia SNMP:n kautta hallintaohjelmisto voi rakentaa oman tietokannan reiteistä, aliverkoista sekä kerroksen 2 ja kerroksen 3 naapureista ja jatkaa tätä rekursiivista prosessia, kunnes kaikki tunnetut segmentit on katettu.
Verkkoliikenteen analysointi, NetFlow ja edistynyt näkyvyys
Yksittäisten pakettien sieppaamisen lisäksi monet organisaatiot käyttävät virtausanalyysiä. saadaksesi koostetun kuvan liikenteestä. Teknologiat, kuten NetFlow (Cisco), sFlow, J-Flow tai IPFIX, vievät verkkokeskustelujen yhteenvedot keskitettyyn kerääjään, joka tallentaa ja esittää ne graafisesti.
Työkalut, kuten NetFlow Analyzer, vastaavat kyseisen virtausdatan keräämisestä.Ne korreloivat nämä tiedot ja luovat raportteja, jotka sisältävät tietoja siitä, kuka kuluttaa kaistanleveyttä, mitkä sovellukset tuottavat eniten liikennettä, mitä portteja ja protokollia käytetään ja miten verkon käyttö on kehittynyt eri ajanjaksojen aikana. Niiden avulla voit tarkastella sekä reaaliaikaista dataa (minuutin tarkkuudella) että historiallista dataa tunneilta, päiviltä, kuukausilta tai neljännesvuosilta.
Nämä liikenneanalyysijärjestelmät tarjoavat yleensä erittäin kattavia koontinäyttöjäjossa voit yhdellä silmäyksellä tunnistaa, mikä käyttöliittymä, sovellus, käyttäjä, isäntä tai keskustelu kuluttaa resursseja. Raportit viedään tyypillisesti CSV- tai PDF-muodossa, mikä on erityisen hyödyllistä esitettäessä niitä ylemmälle johdolle ja perusteltaessa investointeja tai käytäntömuutoksia.
Toinen mielenkiintoinen seikka on kyky havaita poikkeavaa käyttäytymistä. itse liikennevirtojen kautta: epätavallisia piikkejä liikenteessä tiettyihin portteihin, palvelunestohyökkäyksiä muistuttavia kaavoja, outoja käyttöehtoarvoja sisältäviä virtoja tai väärin muotoiltuja paketteja. Luokittelemalla nämä tapahtumat voidaan tunnistaa sisäisiä tai ulkoisia uhkia, mikä mahdollistaa nopean reagoinnin.
Liikenneanalysaattoreista on myös tulossa keskeinen rikostutkinnan työkalu mahdollisen tunkeutumisen sattuessa. Säilyttämällä yksityiskohtaiset tiedot verkossa tapahtuneesta ne mahdollistavat tapahtuman rekonstruoinnin: mitä laitteita oli mukana, kuinka paljon tietoa vuoti ja milloin epäilyttävät käyttökerrat tapahtuivat.
Verkkotarkastuksen jäsentäminen ja toteuttaminen askel askeleelta
Jokainen vankka verkon tietoturvatarkastus tai -arviointi perustuu kolmeen päävaiheeseenSuunnittelu, toteutus ja jälkitarkastus. Suunnitteluvaiheen ohittaminen tai minimointi johtaa yleensä turhautumiseen ja ajanhukkaan, koska käyttöoikeuksia, tietoja tai työkaluja havaitaan puuttuvan kesken projektin.
Suunnitteluvaiheessa laajuus määritellään tarkasti.: mitä laitteita on mukana (yleensä reitittimet, kytkimet, palomuurit ja turvalaitteet, työasemat ja sovelluspalvelimet pois lukien, ellei toisin mainita), mitä tavoitteita on (inventaario, vaatimustenmukaisuus, vianmääritys, suorituskyvyn parantaminen), mitä määräyksiä sovelletaan ja mitä työikkunoita käytetään.
Myös sidosryhmien sitoutuminen varmistetaanIlman johdon ja teknisen tiimin tukea täydellisen verkkotarkastuksen suorittaminen on käytännössä mahdotonta, koska se vaatii käyttöoikeudet (SNMP, Telnet, SSH), väliaikaisia määritysmuutoksia (kuten SNMP:n tai SPANin käyttöönotto) ja jopa tietokoneita tai kannettavia tietokoneita, joilla on riittävästi kapasiteettia tarvittavien työkalujen suorittamiseen.
Työkalun valinta on toinen tärkeä seikka tässä vaiheessaPienissä verkoissa voidaan valita manuaalisempi lähestymistapa, jossa yhdistetään laite laitteelta, mutta keskisuurissa ja suurissa ympäristöissä on yleensä välttämätöntä käyttää automaattisia etsintäratkaisuja, konfiguraatioanalyysiä, haavoittuvuusskannereita ja liikenneanalysaattoreita.
Kun suunnitelma on laadittu, auditoinnin toteutus alkaa.Kun tunnistetiedot on valmisteltu ja työkalu määritetty (SNMP-yhteisömerkkijonot, Telnet/SSH-käyttäjätunnukset ja -salasanat, IP-alueet tai siemenlaitteet), etsintäprosessi alkaa. Verkon koosta riippuen tämä vaihe voi kestää muutamasta tunnista useisiin päiviin.
Kun tiedonkeruu on valmis, alkaa jälkitarkastusvaihe.jossa kaikkia tuloksia analysoidaan perusteellisesti: raportit luodaan, riskit tunnistetaan, haavoittuvuudet priorisoidaan vaikutusten mukaan, väärät positiiviset erotellaan ja laaditaan selkeät suositukset. Osa raportista keskittyy liiketoimintakieleen (sähkökatkon kustannukset, oikeudelliset riskit, vaikutukset tuottavuuteen) ja toinen osa on puhtaasti teknistä.
Verkkoturvallisuusarviointien yksityiskohtaiset vaiheet
Perusteellisempien tietoturvatarkastusten yhteydessä Asiantuntijat jakavat työn yleensä useisiin hyvin eriytettyihin teknisiin vaiheisiin varmistaakseen, ettei mikään nurkka jää tarkistamatta.
Ensimmäinen vaihe on jalanjälkianalyysi ja tiedonkeruuTässä luodaan verkon fyysinen ja virtuaalinen inventaario: laitteisto, ohjelmistot, lisenssit, verkkotunnukset, IP-alueet, julkaistut palvelut, reitit, tietoturvakäytännöt, jo käytössä olevat valvontaprosessit jne. Tavoitteena on saada mahdollisimman täydellinen verkkomalli ja tietoturvaprofiili.
Toinen vaihe keskittyy haavoittuvuuksien analysointiin ja arviointiin ulkoisesta näkökulmastaKerättyä tietoa hyödyntäen tavoitteena on tunkeutua verkkoon hyödyntämällä matalan tason heikkouksia, jotka yhdessä voivat tarjota pääsyn arkaluonteisiin tietoihin tai kriittisiin järjestelmiin.
Kolmannessa vaiheessa toistetaan samaa strategiaa, mutta organisaation sisältä.Skenaariossa oletetaan, että hyökkääjä on jo päässyt sisään (esimerkiksi tietojenkalasteluviestin tai tartunnan saaneen USB-muistin kautta) ja yrittää laajentaa käyttöoikeuksiaan ja siirtyä laajemmalle alueelle. Tämä testaa sisäisten puolustusmekanismien ja järjestelmän segmentoinnin vahvuutta.
Neljännessä vaiheessa jokainen hyödynnetty haavoittuvuus tarkistetaan manuaalisesti.Tämä sisältää kokoonpanojen, versioiden, korjaustiedostojen ja mahdollisten vaihtoehtoisten hyökkäysvektorien tarkistamisen. Tämä varmennus estää resurssien investoinnin sellaisten ongelmien korjaamiseen, joita ei voida aidosti hyödyntää tai joilla on vain vähän vaikutusta organisaation erityiseen kontekstiin.
Lopuksi suoritetaan kattava haavoittuvuusanalyysi. tunnistaakseen mallit ja perimmäiset syyt: suunnitteluvirheet, käytäntöjen puute, koulutuksen puute, tukemattomat laitteet, säännöllisen testauksen puute jne. Tämän jälkeen määritellään priorisoidut toimintasuunnitelmat, jotka IT-osaston on toteutettava yhteistyössä johdon kanssa.
Sekä verkkotarkastukset että IT-infrastruktuuritarkastukset ovat välttämättömiä varmistaakseen, että yrityksen tietokonejärjestelmät ovat vankkoja, niitä voidaan käyttää luottavaisin mielin ja että ne tarjoavat korkeimman mahdollisen yksityisyyden ja suojan yhä monimutkaisempia kyberuhkia vastaan.
Verkkolaitteiden perusteellinen analyysi yhdistettynä jatkuvaan valvontaan, hyviin työkaluihin ja säännöllisiin tarkastuksiin Se tekee eron organisaation välillä, joka reagoi ongelmiin liian myöhään, ja sellaisen, joka havaitsee viat, hyökkäykset ja pullonkaulat ajoissa, välttäen liiketoiminnan keskeytykset, tietojen menetyksen ja rangaistukset määräysten noudattamatta jättämisestä.
