LAN säkerhetslandskap

FHRP Koncepten              Åtkomstkontroll

”Säkerhetslandskap” är ett begrepp som beskriver de hot och risker som finns i vår digitala miljö, samt de försvarssätt vi använder för att skydda oss. Det handlar om att förstå vilka typer av attacker som är vanliga, som t.ex. phishing eller skadlig programvara, och hur vi kan försvara oss mot dem. Säkerhetslandskapet ändras hela tiden när nya hot dyker upp och gamla hot utvecklas. Att förstå det hjälper oss att vara förberedda och skapa starka skydd för våra datorer, nätverk och viktig information.

Enligt SANS-institutet kommer 95% av alla nätverksattacker mot företag från framgångsrika spear phishing försök.

Nyhetsmedier rapporterar ofta om attacker mot företagsnätverk. En enkel sökning på internet för ”senaste nätverksattackerna” ger aktuell information om pågående attacker. Dessa attacker involverar oftast en eller flera av följande:

  • Distributed Denial of Service (DDoS) – Detta är en koordinerad attack från många enheter, kallade zombies, med avsikt att försämra eller stoppa allmänhetens tillgång till en organisations webbplats och resurser.
  • Data Breach (Dataintrång) – Detta är en attack där en organisations dataservrar eller slutenheter komprometteras för att stjäla konfidentiell information.
  • Malware (Skadlig programvara) – Detta är en attack där en organisations nätverksenheter infekteras med skadlig programvara som orsakar en rad problem. Till exempel krypterar ransomware som WannaCry, som visas i figuren, data på en dator och låser åtkomsten till den tills en lösensumma betalas.

Nätverkssäkerhetsenheter

För att skydda nätverkets yttre gränser mot obehörig åtkomst är olika typer av nätverkssäkerhetsenheter nödvändiga. Dessa kan omfatta VPN-aktiverade routrar, brandväggar av nästa generation (NGFW) och nätverksåtkomstkontrollenheter (NAC).

  • VPN-aktiverad Router – Denna typ av router kan skapa säkra virtuella privata nätverk (VPN) för att tillåta säker kommunikation över offentliga nätverk, som internet, till företagets interna nätverk. Detta är särskilt användbart för fjärrarbetare som behöver åtkomst till företagets resurser från distans.
  • NGFW – En NGFW (nästa generations brandvägg eller New Generation Firewall) erbjuder stateful packet inspection, synlighet och kontroll över applikationer, ett nästa generations intrångsskyddssystem (NGIPS), avancerat skydd mot skadlig programvara (AMP) och URL-filtrering.
  • NAC – En NAC-enhet (Network Access Control) tillhandahåller autentisering, auktorisering och redovisning (AAA-tjänster). Cisco Identity Services Engine (ISE) är ett exempel på en NAC-enhet.

Skydd av slutpunkter (Endpoint security)

Switchar och trådlösa åtkomstpunkter kopplar samman enheter som datorer, telefoner och skrivare, vilka kallas ”slutpunkter” eller ”endpoints” inom nätverkssäkerhet. Dessa slutpunkter är ofta mål för LAN-specifika attacker från externa nätverk, vilket gör skydd av dem viktigt – något som kallas ”Endpoint Protection”.

Slutpunkter inkluderar både fysiska enheter som datorer, telefoner och surfplattor, och virtuella enheter som molntjänster och webbaserade applikationer. De kan också vara anställdas egna enheter, kända som ”BYOD” (Bring Your Own Device), och tilldelas unika IP-adresser för identifiering på nätverket.

Med framväxten av Internet of Things (IoT) omfattar slutpunkter nu även enheter som passerkortläsare, säkerhetskameror och smarta termostater, eftersom allt fler enheter blir nätverksanslutna.

Slutpunkter är särskilt sårbara för malware-attacker via e-post eller webbsurfning. Traditionellt har de skyddats med säkerhetslösningar som antivirus, brandväggar och intrångsförhindrande system (HIPS). Idag krävs en kombination av moderna säkerhetssystem för bästa skydd.

  • Networ Access Control, NAC – AAA tjänster
  • Advanced Malware Protection, AMP – programvara
  • Email Security Appliance, ESA – e-postsäkerhet
  • Web Security Appliance, WSA – webbsäkerhet

Figuren visar en enkel topologi som representerar alla nätverkssäkerhetsenheter och lösningar för slutpunkter som diskuteras i detta avsnitt.

Cisco Email Security Appliance – ESA

En rapport från Ciscos Talos Intelligence Group visade att 85% av all e-post som skickades under juni 2019 var spam. Bland dessa är phishing attacker en särskilt destruktiv typ av spam, där användare lockas att klicka på skadliga länkar eller öppna infekterade bilagor. Spear phishing fokuserar specifikt på högt uppsatta anställda eller chefer med tillgång till känsliga inloggningsuppgifter, vilket är kritiskt i nutidens säkerhetslandskap.

Cisco ESA är en säkerhetsenhet designad för att övervaka e-posttrafik via Simple Mail Transfer Protocol (SMTP). Den får kontinuerliga uppdateringar från Cisco Talos, vilka detekterar och analyserar hot genom att samla och korrelera data från en global databas. Denna hotintelligens hämtas av Cisco ESA var tredje till femte minut. Här är några av de huvudsakliga funktionerna hos Cisco ESA:

  • Blockera kända hot.
  • Åtgärda mot smygande skadlig programvara som undkom initial detektion.
  • Kassera e-postmeddelanden med dåliga länkar (som visas i figuren).
  • Blockera tillgång till nyligen infekterade webbplatser.
  • Kryptera innehåll i utgående e-post för att förhindra dataförlust.

I figuren kasserar Cisco ESA e-postmeddelanden med dåliga länkar.

  1. En hotaktör skickar en phishing-attack till en viktig dator i nätverket.
  2. Brandväggen vidarebefordrar all e-post till ESA.
  3. ESA analyserar e-posten, loggar den och om den innehåller skadlig programvara kasseras e-posten.

Cisco Web Security Appliance

Cisco Web Security Appliance (WSA) är en lösning som skyddar mot webbaserade hot och hjälper organisationer att säkra och kontrollera sin webbtrafik. WSA kombinerar skydd mot skadlig programvara, applikationskontroll, policyhantering för användning och rapportering.

WSA ger organisationer full kontroll över internetåtkomst. Funktioner som chatt, video, ljud och meddelanden kan tillåtas, begränsas med tids- eller bandbreddsregler, eller blockeras helt, baserat på organisationens behov. WSA inkluderar URL-svartlistning, URL-filtrering, skanning av skadlig kod, kategorisering av webbplatser, webbapplikationsfiltrering samt kryptering och dekryptering av webbtrafik.

I exemplet försöker en anställd på företaget ansluta till en svartlistad webbplats via sin smartphone.

1. En användare försöker ansluta till en svartlistad webbplats.
2. Brandväggen skickar vidare förfrågan till WSA.
3. WSA utvärderar och skickar ett nekande meddelande till användaren

FHRP Koncepten              Åtkomstkontroll