LAN säkerhetskoncept

Nyhetsmedier rapporterar ofta om attacker mot företagsnätverk. En enkel sökning på internet för ”senaste nätverksattackerna” ger aktuell information om pågående attacker. Dessa attacker involverar oftast en eller flera av följande:

  • Distributed Denial of Service (DDoS) – Detta är en koordinerad attack från många enheter, kallade zombies, med avsikt att försämra eller stoppa allmänhetens tillgång till en organisations webbplats och resurser.
  • Data Breach (Dataintrång) – Detta är en attack där en organisations dataservrar eller slutenheter komprometteras för att stjäla konfidentiell information.
  • Malware (Skadlig programvara) – Detta är en attack där en organisations nätverksenheter infekteras med skadlig programvara som orsakar en rad problem. Till exempel krypterar ransomware som WannaCry, som visas i figuren, data på en dator och låser åtkomsten till den tills en lösensumma betalas.

Nätverkssäkerhetsenheter

För att skydda nätverkets yttre gränser mot obehörig åtkomst är olika typer av nätverkssäkerhetsenheter nödvändiga. Dessa kan omfatta VPN-aktiverade routrar, brandväggar av nästa generation (NGFW) och nätverksåtkomstkontrollenheter (NAC).

  • VPN-aktiverad Router – Denna typ av router kan skapa säkra virtuella privata nätverk (VPN) för att tillåta säker kommunikation över offentliga nätverk, som internet, till företagets interna nätverk. Detta är särskilt användbart för fjärrarbetare som behöver åtkomst till företagets resurser från distans.
  • NGFW – En NGFW (nästa generations brandvägg eller New Generation Firewall) erbjuder stateful packet inspection, synlighet och kontroll över applikationer, ett nästa generations intrångsskyddssystem (NGIPS), avancerat skydd mot skadlig programvara (AMP) och URL-filtrering.
  • NAC – En NAC-enhet (Network Access Control) omfattar autentisering, auktorisering och redovisning (AAA-tjänster). I större företag kan dessa tjänster vara integrerade i en enhet som kan hantera åtkomstpolicyer för en mängd olika användare och enhetstyper. Cisco Identity Services Engine (ISE) är ett exempel på en NAC-enhet.

Skydd av slutpunkter

Switchar och trådlösa åtkomstpunkter fungerar som anslutningsenheter som kopplar samman slutenheter som datorer och andra liknande apparater, vilka är kända inom nätverkssäkerhet som slutpunkter eller ”endpoints” på engelska. Dessa slutpunkter är ofta utsatta för de LAN-specifika attackerna från externa nätverk som diskuteras i detta avsnitt, vilket belyser behovet av att skydda dem. Detta behov återspeglas i den engelska termen ”Endpoint Protection”.

Men många attacker kan också ha sitt ursprung inifrån nätverket. Om en intern datoranvändare infiltreras, kan den bli en start för en angripare att få tillgång till kritiska systemenheter, såsom servrar och känslig data.

Slutpunkter kan vara fysiska enheter såsom datorer, bärbara datorer, skrivare, telefoner och surfplattor, eller virtuella slutpunkter som molntjänster, webbaserade applikationer och andra nätverksåtkomliga resurser såsom anställdas egna enheter som oftast refereras till som ”bring your own device(BYOD).  Slutpunkter tilldelas en nätverksspecifik IP-adress som identifierar varje enhet på ett nätverk.

Definitionen av slutpunkter har utvidgats med tillägget av Internet of Things (IoT)-enheter på våra nätverk för att inkludera, till exempel, passerkortläsare, säkerhetskameror och till och med termostater för fisktankar, eftersom allt blir IP-aktiverat och nätverksanslutet.

Slutpunkter är särskilt känsliga för malware-relaterade attacker som uppstår genom e-post eller webbsurfning. Dessa slutpunkter har traditionellt använt traditionella dator-fokuserad (host-based) säkerhetsfunktioner, såsom antivirus/antimalware, brandväggar och system för intrångsförhindring (Host-based Intrusion Prevention System, HIPS). Idag skyddas slutpunkter dock bäst genom en kombination av följande säkerhetssystem:

  • Networ Access Control, NAC – AAA tjänster
  • Advanced Malware Protection, AMP – programvara
  • Email Security Appliance, ESA – e-postsäkerhet
  • Web Security Appliance, WSA – webbsäkerhet

Figuren visar en enkel topologi som representerar alla nätverkssäkerhetsenheter och lösningar för slutpunkter som diskuteras i detta avsnitt.

Cisco Email Security Appliance – ESA

Säkerhetsenheter för innehåll ger detaljerad kontroll över e-post och webbsurfning för en organisations användare.

En rapport från Ciscos Talos Intelligence Group visade att 85% av all e-post som skickades under juni 2019 var spam. Bland dessa är phishing-attacker en särskilt destruktiv typ av spam, där användare lockas att klicka på skadliga länkar eller öppna infekterade bilagor. Spear phishing fokuserar specifikt på högt uppsatta anställda eller chefer med tillgång till känsliga inloggningsuppgifter, vilket är kritiskt i nutidens säkerhetslandskap. Enligt SANS-institutet kommer 95% av alla nätverksattacker mot företag från framgångsrika spear phishing-försök.

Cisco ESA är en säkerhetsenhet designad för att övervaka e-posttrafik via Simple Mail Transfer Protocol (SMTP). Den får kontinuerliga uppdateringar från Cisco Talos, vilka detekterar och analyserar hot genom att samla och korrelera data från en global databas. Denna hotintelligens hämtas av Cisco ESA var tredje till femte minut. Här är några av de huvudsakliga funktionerna hos Cisco ESA:

  • Blockera kända hot.
  • Åtgärda mot smygande skadlig programvara som undkom initial detektion.
  • Kassera e-postmeddelanden med dåliga länkar (som visas i figuren).
  • Blockera tillgång till nyligen infekterade webbplatser.
  • Kryptera innehåll i utgående e-post för att förhindra dataförlust.

I figuren kasserar Cisco ESA e-postmeddelanden med dåliga länkar.

  1. En hotaktör skickar en phishing-attack till en viktig dator i nätverket.
  2. Brandväggen vidarebefordrar all e-post till ESA.
  3. ESA analyserar e-posten, loggar den och om den innehåller skadlig programvara kasseras e-posten.

Cisco Web Security Appliance

Cisco Web Security Appliance (WSA) är en teknologi för att mildra webbaserade hot. Den hjälper organisationer att hantera utmaningarna med att säkra och kontrollera webbtrafik. Cisco WSA kombinerar avancerat skydd mot skadlig programvara, synlighet och kontroll av applikationer, policykontroller för godtagbart användande och rapportering.

Cisco WSA ger fullständig kontroll över hur användare får tillgång till internet. Vissa funktioner och applikationer, såsom chatt, meddelanden, video och ljud, kan tillåtas, begränsas med tids- och bandbreddsgränser eller blockeras enligt organisationens krav. WSA kan utföra svartlistning av URL, URL-filtrering, skanning av skadlig programvara, kategorisering av URL, filtrering av webbapplikationer samt kryptering och dekryptering av webbtrafik.

I figuren försöker en intern företagsanställd använda en smartphone fjärr att ansluta till en känd svartlistad webbplats.

1. En användare försöker ansluta till en webbplats.
2. Brandväggen skickar vidare webbplatsförfrågan till WSA.
3. WSA utvärderar och skickar ett nekande meddelande till användaren