VÝSLEDKY A NÁLEZY ZA PROVĚŘOVANÉ OBDOBÍ

Transkript

1 VÝSLEDKY A NÁLEZY ZA PROVĚŘOVANÉ OBDOBÍ Období: Vypracovali: AUTOR

2 OBSAH 1. MANAŽERSKÉ SHRNUTÍ ÚVOD IDENTIFIKOVANÉ NÁLEZY RAT: Strojová komunikace do Číny RAT: Infikované zařízení s potenciálním únikem dat APT: Odchozí DNS tunel do Ruska RAT: Zjišťování IP adresy pomocí Čínské služby Navštívení nebezpečné URL Používání služby TOR Odchozí portscan na port 1 UDP Skenování portů v interní síti Aktualizace hackerského nástroje Kali linux Trojan Llac.bdmP Zranitelné verze JAVA Malware na mobilních zařízeních Anomální množství komunikačních partnerů na SMB Zálohování mimo společnost přes otevřený protokol Anomální upload dat do internetu Používání p2p sítí a torrentu Stahování potencionálně infikovaných souborů PROVOZNÍ DOHLED Zahlcení VOIP komunikace Opakovaně vysoký ART na HTTP serveru Problémy se navázáním DB připojení na síti Anomálie na službě Remote Desktop Protocol (RDP) Přehled nejnavštěvovanějších URL adres Lokální MS-SQL servery Vlastnosti SQL serverů Lokální doménové řadiče (DC) Používání IPv6 v interní síti POSTUP PROVÁDĚNÍ Období celkového stavu Eliminace false positive detekcí

3 5.4. Detekce známých útoků a hrozeb Detekce neznámých útoků a hrozeb Analýza dodržování bezpečnostních politik Analýza výkonosti sítě a aplikací Ověření kritických systémů

4 1. Manažerské shrnutí Průběžná zpráva prezentuje výsledky detekčních nástrojů GREYCORTEX MENDEL v prostředí zákazníka. Následující tabulka shrnuje výsledky z analýzy síťového provozu. Oblast analýzy (metoda) Pokročilé neznámé útoky (prediktivní analýza detekce anomálií pomocí strojového učení) Cílené hrozby (detekce strojového chování) Známé projevy škodlivého chování (detekce na základě behaviorálních pravidel) Známé hrozby a dříve popsané útoky (detekce pomocí sady přes pravidel signatur) Porušení definovaných komunikačních politik Porušení bezpečnostních politik (ověření zásad dobré praxe) Výkonnost sítě a aplikací (automatická detekce anomálií) Ověření kritických systémů Výsledky analýzy Nebyly identifikovány projevy probíhajících cílených a neznámých útoků. Identifikované anomálie byly pravděpodobně způsobeny chybnou konfigurací. Nebyly identifikovány kritické nebo závažné nedostatky či hrozby, pouze incidenty jako malware typu Adware nebo PUP (Potentialy Unwanted Programs) a neúspěšné pokusy o přihlášení na SMB úložiště. Dále byly identifikovány projevy interních scanů, které pravděpodobně přísluší internímu auditu. Mezi hlavní nedostatky patří přítomnost aplikace DropBox a četnost pokusů o přímý přístup do internetu mimo proxy. Dále doporučujeme zvážit použití šifrované komunikace HTTPS u aplikací dostupných z prostředí internetu vyžadující autentizaci. V síti se nachází řada aplikací, které jsou dotazovány ale již neexistují, nebo mají časté výpadky. Rychlost sítě a odezva aplikací nedosahovala hodnot, které by způsobily významnější problémy nebo nedostupnost aplikací. Nebyly nalezeny zásadní nedostatky. Mezí hlavní hrozby vidíme chybu v konfiguraci umožňující přístup k interní proxy z internetu. 4

5 2. Úvod V dokumentu jsou shrnuty výsledky z analýzy síťového provozu získané za pomoci nástroje GREYCORTEX MENDEL. MENDEL slouží k analýze provozu a detekci pokročilých nebo jinak skrytých malware a provozních anomálií za pomocí strojového učení a umělé inteligence. Produkt je určen k celkovému bezpečnostnímu a provoznímu monitoringu síťové infrastruktury. Cílem bylo identifikovat hrozby ohrožující datovou síť, včetně analýzy těchto hrozeb. Data jsou analyzovaná za období 2019 a byla monitorována prostřednictvím pasivního odposlechu interní sítě. Systém MENDEL je provozován prostřednictvím HW senzoru GREYCORTEX MENDEL All In One 500, který zvládá analýzu na úrovni 0,5 Gbit/s. Obrázek 1: Zapojení GREYCORTEX MENDEL pomocí zrcadleného portu Nasazení této technologie v infrastruktuře v zrcadlícím módu je neinvazivní, tedy žádným způsobem nenarušuje chod procesů. 5

6 3. Identifikované nálezy 3.1. RAT: Strojová komunikace do Číny Critical Zdrojové IP: Na zařízení x.x.x.x byla detekována strojová komunikace do Číny či do dalších netypických zemí. Dále jsou na počítači používány služby typu torrent. Zařízení se mimo jiné připojuje na IP adresy s nízkou reputací služby TOR. Riziko Je vysoká pravděpodobnost, že zařízení je infikováno škodlivým software, prostřednictvím kterého může být zařízení ovládáno, případně může docházet k únikům dat a krádeži citlivých informací. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zkontrolovat počítač na přítomnost malwaru, obnovit ze zálohy nebo přeinstalovat. Zamezit pomocí politiky používání torrentů interní sítě v organizaci a informovat uživatele. 6

7 3.2. RAT: Infikované zařízení s potenciálním únikem dat Critical Zdrojové IP: Byla detekována strojová komunikace na web xxx ze zařízení. Webové stránky tvrdí, že může uživatel vydělávat peníze pro charitu. V základu se jedná o distribuovaný Bitcoin miner. Podobný typ charitních software bývá častým nosičem jiných malware. Podobně je tomu i v našem případě. Modul IDS objevil podezřelou komunikaci. Může se jednat malware typu Kbot.worm, který obsahuje backdoor. Dále bylo odesláno 5 MB dat na zařízení v Anglii. Riziko Je vysoká pravděpodobnost, že zařízení je infikováno škodlivým software, prostřednictvím kterého může být zařízení ovládáno, případně může docházet k únikům dat a krádeži citlivých informací. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zařízení doporučujeme odpojit ze sítě a přeinstalovat případně obnovit ze zálohy. 7

8 3.3. APT: Odchozí DNS tunel do Ruska Critical Zdrojové IP: Ze zařízení x.x.x.x byl zjištěn DNS tunel přes port xxx vůči ruské IP adrese. Zařízení posílalo data, která neodpovídají formátu DNS protokolu. Zároveň odcházely výrazně větší datagramy, než je v sítí běžné. Riziko Existuje riziko v podobě cíleného úniku dat společnosti. Uživatel může přes tunel skrývat další nekalé aktivity. Doporučení Zařízení doporučujeme odpojit od sítě a vykonat na něm forenzní analýzu. Zjistit důvod proč uživatel DNS tunel používá. Dále doporučujeme zvážit možnost zamezit DNS komunikaci na firewallu mimo vlastních DNS serverů. 8

9 3.4. RAT: Zjišťování IP adresy pomocí Čínské služby High Zdrojové IP Zařízení opakovaně komunikuje s Čínskou adresou, která byla bezpečnostními společnostmi označena jako nedůvěryhodná. Adresa je asociovaná s různými typy malwaru a trojských koní. Použitá webová služba slouží zjišťování veřejné IP adresy zařízení, pod kterou vstupuje do prostředí internetu. Riziko Je vysoká pravděpodobnost, že zařízení je infikováno škodlivým software, prostřednictvím kterého může být zařízení ovládáno, případně může docházet k únikům dat a krádeži citlivých informací. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zkontrolovat počítač na přítomnost malwaru, obnovit ze zálohy nebo přeinstalovat. Pak ověřit, že daná komunikace už neprobíhá. 9

10 3.5. Navštívení nebezpečné URL High Zdrojové IP: Zařízení navštívilo web který se nachází na blacklistu Zeus botnetu. Stránka neobsahuje žádný obsah a je otázkou, jak se zařízení na daný web dostalo. Je pravděpodobné, že požadavek vyvolal škodlivý program a ne uživatel. Riziko Je vysoká pravděpodobnost, že zařízení je infikováno škodlivým software, prostřednictvím kterého může být zařízení ovládáno, případně může docházet k únikům dat a krádeži citlivých informací. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zkontrolovat počítač na přítomnost malwaru, obnovit ze zálohy nebo přeinstalovat. Pak ověřit, že daná komunikace už neprobíhá. 10

11 3.6. Používání služby TOR Medium Zdrojové IP: Výše zmíněné stanice komunikovali pomocí služby TOR. Jedná se o anonymizací službu, která se často zneužívá k nákupu nelegálního charakteru, či páchání trestní činnosti. Účastníci této komunikace jsou globálně monitorování bezpečnostními vládními službami. Síť TOR bývá často využívána pro anonymizovanou komunikaci malware. Riziko Riziko spočívá především v poškození dobrého jména společnosti, případně zneužití kompromitovaného zařízení. Doporučení Doporučujeme zjistit zdroj komunikace. V případe, že se potvrdí infekce malwarem vhodné je zařízení přeinstalovat, či obnovit ze zálohy. Pokud uživatel službu TOR používá, je doporučeno ho na to upozornit a používání služby TOR zakázat bezpečnostní politikou. 11

12 3.7. Odchozí portscan na port 1 UDP Medium Zdrojové IP: Ze stanice bylo provedeno několik skenování portu vůči externím adresám do internetu v různých zemích. Může se jednat o legitimní zastaralou P2P aplikaci nebo projev přítomnosti malware, který se snaží kontaktovat mateřský botnet. Riziko Existuje riziko v podobě infekce zařízení malwarem, co může způsobit únik dat, nebo poškození dobrého jména společnosti. Zejména skenování portů může způsobit to, že se veřejná IP adresa společnosti dostane na seznam blacklistovaných adres a bude na ní nahlíženo jako na nepřátelskou. Doporučení Stanici doporučujeme analyzovat a zjistit, co danou aktivitu způsobuje. Vhodné řešení je pak stanici přeinstalovat. 12

13 3.8. Skenování portů v interní síti Medium Zdrojové IP: Detekovali jsme opakované skenování portů ze zařízení. Celá podsíť byla skenována za účelem najít služby FTP(21), HTTP(80), HTTP-Alt(8080), SMB(445). Na vybraných zařízení byly skenovány další porty jako 137, 161, S nejvyšší pravděpodobností se jedná o legitimní aktivitu administrátora za účely cíleného auditu sítě. Může se však jednat i o projev přítomnosti malware. Riziko Skenování portů je přípravní fáze pro další možný útok. Taktéž se může jednat o infekci malwarem. Doporučení Doporučujeme ověřit identifikovanou událost s uživatelem. V případě, kdy se nejednalo o jeho aktivitu, doporučujeme ověřit zdrojovou stanici na přítomnost malwaru, popřípadě obnovit ze zálohy, nebo reinstalovat. 13

14 3.9. Aktualizace hackerského nástroje Kali linux Medium Zdrojové IP: Na zmíněné stanici se aktualizoval operační systém Kali linux, který slouží zejména pro penetrační testy a hacking. Bylo zjištěno stahováni nových balíku pro tuto distribuci. Riziko Hrozí použití některých z nástrojů k penetraci interních systémů, čímž by uživatel mohl získat vyšší privilegia, než mu patří a dostat se neoprávněně k datům společnosti. Doporučení Uživatele upozornit, pokud systém nepoužívá k testování infrastruktury v rámci náplně práce, aby ho nepoužíval a odstranil. 14

15 3.10. Trojan Llac.bdmP Medium Zdrojové IP: Zařízení je infikováno trojským koněm Trojan.Llac.bdm, který se váže k exploitaci zranitelností prohlížeče v operačním systému MS Windows. Může si stahovat další malware a poskytuje útočníkovi vzdálený přístup. Obecně je malware používán k šíření cílené reklamy a generování prokliků. Při analýze byl infikován stroj, na kterém se zkoušelo připojit na daný odkaz. Riziko Hrozí další kompromitace systémů a následný únik dat společnosti. Doporučení Zařízení doporučujeme odpojit ze sítě a přeinstalovat případně obnovit ze zálohy. 15

16 3.11. Zranitelné verze JAVA Medium Zdrojové IP - Java/1.7.0_55 - Java/1.7.0_25 - Java/1.7.0_91 - Java/1.7.0_55 - Java/1.7.0_45 Zmíněná zařízení a další používají zastaralou verzi JAVA komponent. Riziko Používání zastaralých komponent JAVA je bezpečnostní riziko za využití známých chyb. V případě verze Java/1.7.0_x je riziko vysoké, některé zranitelnosti mají CVE skóre 10. Doporučení Doporučujeme dané stanice aktualizovat. 16

17 3.12. Malware na mobilních zařízeních Medium Zdrojové IP: android android android xiaomi Na desítkách mobilních zařízeních byli detekovány různé typy malware trojans, backdoor atd. Riziko Hlavní riziko spočívá především v neoddělené struktuře sítě, kdy mobilní zařízení mají přístup do produkčního segmentu. Přistupují na služby doménových řadičů, pomocí nástroje ping ověřují přítomnost jiných zařízení v síti atd. Podle typu malware hrozí únik dat ze zařízení. Doporučení Doporučujeme oddělit Wi-Fi segment mobilních a BYOD zařízení od ostatní sítě společnosti. 17

18 3.13. Anomální množství komunikačních partnerů na SMB Low Zdrojové IP: Stanice se připojuje na velké množství dalších stanic na službu MS Samba na portu X, přičemž přenáší větší množství dat. Takovéto chování modul NBA označil jako anomální, protože toto zařízení komunikovalo s příliš mnoha komunikačními partnery oproti naučenému modelu na zařízení z minulosti. Může se jednat o auditní nástroj, nebo o anomální chování uživatele či malware. Riziko Pokud se nejedná o auditní nástroj, může se jednat o malware typu Ransomware, který šifruje uživatelem připojené disky, nebo o podivnou aktivitu uživatele. Doporučení Analyzovat zařízení a zkontrolovat příčinu uvedeného chování. 18

19 3.14. Zálohování mimo společnost přes otevřený protokol Low Zdrojové IP: Zařízení permanentně komunikuje s cloudovou službou, která slouží jako externí zálohovací médium prostřednictvím otevřené nešifrované komunikace. Riziko Existuje riziko v podobě cíleného úniku dat společnosti. Další riziko spočívá v odposlechu autentizačních údajů a přístupu k uloženým informacím. Doporučení Doporučujeme zvážit použití externích zálohovacích zařízení s pochybnou mírou zabezpečení. 19

20 3.15. Anomální upload dat do internetu Low Zdrojové IP: Ze stanice byl detekován upload dat na úložiště uschovna.cz o velkosti několik stovek MB. Modul NBA detekoval anomálii na odchozích datech, protože model zařízení byl mnohonásobně překročen. Může se jednat o legitimní aktivitu či cílený únik dat. Riziko V případě, že došlo k úniku dat, je pravděpodobné, že citlivé informace (dokumenty, přístupové údaje, informace o společnosti apod.) mohli společnost opravdu opustit. Tyto data pak můžou být využity pro další činnost, např. prodej konkurenci vymáhaní odměny za vrácení/zničení zcizených dokumentů. Případné finanční ztráty je možné odhadnout pouze na základě míry důvěrnosti (klasifikace) a hodnoty dokumentů, které se nacházely na dané stanici nebo na síťových zdrojích, ke kterým měla stanice nebo uživatel přístup. Doporučení Doporučujeme zjistit příčinu 20

21 3.16. Používání p2p sítí a torrentu Low Zdrojové IP Nejen uvedená stanice pravidelně komunikuje se službami typu torrent. Riziko Uživatelé pomocí torrentu můžou stahovat nelegální obsah, nebo i nechtěně sdílet interní know-how společnosti. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zamezit pomocí politiky používání interní sítě v organizaci a informovat uživatele. 21

22 3.17. Stahování potencionálně infikovaných souborů Low Zdrojové IP: Bylo identifikováno stažení souboru aplikace MS Excel, který v sobě obsahoval další zapouzdřený soubor. Jedná se o poměrně častý vektor útoku, kdy je modifikován veřejně stahovaný soubor s cílem infikovat dané zařízení. Riziko Existuje riziko v podobě kompromitace zařízení. Doporučení Je vhodné uživatele upozornit, že není bezpečné stahovat tyto typu souborů z nedůvěryhodných zdrojů. Preventivně je vhodné stanici proskakovat antivirovým programem. 22

23 4. Provozní dohled 4.1. Zahlcení VOIP komunikace Info IP: Zařízení s uvedenou IP adresou se opakovaně (10000x) neúspěšně snažilo provést registraci hovoru. Pravděpodobně se jednalo o chybnou konfiguraci. V opačném případě se jedná o DoS útok na VoIP server. 23

24 4.2. Opakovaně vysoký ART na HTTP serveru Info IP: Byly zaznamenány opakované vysoké časy odpovědí ART (Application Response Time). Server běžně odpovídá v čase maximálně do 6 sekund. V identifikovaných časech doba odezvy dosahovala 113 sekund. 24

25 4.3. Problémy se navázáním DB připojení na síti Info IP: Na uvedeném IP adrese databázového serveru došlo ke zpomalení komunikace z důvodu síťového zpoždění. Třístranný handshake byl navázán po 30 sekundách, v průměru za jednu minutu naměřené zpoždění asi 10 sekund oproti běžnému stavu 0,023 sekundy. 25

26 4.4. Anomálie na službě Remote Desktop Protocol (RDP) Info IP: Bylo detekována anomálie na zařízení na službě RDP. Server na této služeb normálně odpovídá ihned. V úterý Application Response Time (ART) narostl až na 33 sekund. 26

27 4.5. Přehled nejnavštěvovanějších URL adres Info Přehled nejnavštěvovanějších URL adres. 27

28 4.6. Lokální MS-SQL servery Info Přehled 21 aktivních zařízení, které mají vystavenou službu MS-SQL Mapa komunikace z lokálními službami MS-SQL na portech. 28

29 4.7. Vlastnosti SQL serverů Info IP: ServerSQL (x.x.x.x ) Max ART 30s, Duration 5min. OtherSQL (x.x.x.x ) Performance to 30Mbps, 25s average ART 29

30 30

31 4.8. Lokální doménové řadiče (DC) Info 31

32 4.9. Používání IPv6 v interní síti Info IP: Některé zařízení se snaží komunikovat po IPv6 ve vnitřní síti. Jedná se ICMPv6, konkrétně o ping na IPv6. Dále se objevila komunikace na port X. Žádná lokální zařízení s IPv6 adresami nekomunikují do internetu. 32

33 5. Postup provádění 5.1. Období Rozsah auditovaného období je celkového stavu Cílem je zjištění aktuální provozní situace sítě dle měřených metrik. Přehled o počtu aktivních zařízení, použitých vendorech, provozu na síti, množství přenášených dat : V monitorované síti a všech jejích podsítích je přítomno celkem cca 1500 až 2000 aktivních zařízení. Provoz v průběhu 24 hodin dosahuje v průměru do cca 100Mbps, od 16:00 do cca 23:00 pak nastává špička kdy provoz atakuje hranici 1Gbps. Aktivita dle podsítí 24h záznam 33

34 Aktivita dle zařízení 24h záznam 34

35 5.3. Eliminace false positive detekcí Proběhla eliminace chybných detekcí (FP) k zvýšení přehlednosti výstupu aplikace. Seznam detekovaných FP lze zobrazit se závažností Detekce známých útoků a hrozeb Detekce známých útoků a hrozeb Typy útoků a hrozeb Známé projevy škodlivého chování skenování sítě a zařízení enumerace dat detekce hádání hesel DoS a DDoS útoky apod. Známé hrozby a dříve popsané útoky malware pro běžná zařízení malware pro mobilní zařízení trojské koně útoky na aplikační a DB servery zranitelnosti na straně klientských aplikací (JAVA, Flash, MS Office, prohlížeče ) aktuální hrozby phishing, trojans komunikace s blacklistovanými zařízeními (IP adresa, doména) Metoda Behaviorální detekce na úrovni toků za pomoci pravidel pro detekci očekávatelných projevů útoků. Detekce známých útoků na základě denně aktualizované sady detekčních pravidel (přes ) a blacklistů ( až záznamů). Příklady detekčních kategorií: Attack Response, Botcc, Chat, Current Events, DNS, DOS, Exploit, File, FTP, Games, ICMP, IMAP, Malware, Mobile Malware, Netbios, POP3, P2P, Policy, RPC, SCADA, Scan, Shellcode, SQL, TELNET, TFTP, TLS-Events, TOR, Trojans, User Agents, VOIP, Web Client, Web Server, Worms. : Nebyly identifikovány žádné zásadní nedostatky či hrozby. V rámci detekovaných incidentů byly identifikovány pouze drobné bezpečnostní hrozby či malware typy Adware, nebo PUP (Potentialy Unwanted Programs). Dále byly identifikovány projevy interních scanů, které pravděpodobně přísluší internímu auditu. 35

36 5.5. Detekce neznámých útoků a hrozeb Detekce neznámých a cílených útoků a hrozeb Typy útoků a hrozeb Pokročilé neznámé útoky útoky na uživatelské účty komunikace s botnetem úniky dat obecně anomální chování uživatelů a zařízení Cílené hrozby RAT Remote Access Trojan APT Advanced Persistent Threat AVT Advanced Volatile Threat Metoda Prediktivní analýza = detekce anomálií na základě změny automaticky naučeného chování na různých úrovních monitorované sítě. Jedná se o odchylky od normálu na úrovni sítě, podsítě, daného zařízení a aktivních služeb na daném zařízení. Detekce strojového chování = odlišení projevů malware od lidské legitimní komunikace prostřednictvím periodických vzorů chování. : Nebyla potvrzena žádná hrozba. Jediné podezření spadá na pokusy o aktivní komunikaci na uložiště akamai bez použití proxy serveru, pravděpodobně se však jedná o legitimní aplikace pokoušející se o update s chybným nastavením odchozí brány Analýza dodržování bezpečnostních politik Ověření s bezpečnostními zásadami a politikami Příklady nálezů Porušení komunikační politiky Nedostupné služby a zařízení Vznik nových nepovolených služeb a zařízení Nepovolené komunikační vektory Porušení bezpečnostních politik používání anonymizačních (Tor) a P2P sítí hraní her a používání nepovolených aplikací prověrka šifrovaná komunikace nepovolené DNS servery tunelovaný DNS provoz používání zranitelných a zastaralých aplikací apod. Ověřované politiky Kontrola povolených a zakázaných služeb, prostupů a sítových politik srovnání pozorované komunikační matice a uživatelem definovaných politik. Zásady dobré praxe v síťové bezpečnosti využívání nepovolených aplikací. : Mezi hlavní nedostatky patří přítomnost aplikace DropBox a četnost pokusů o přímý přístup do internetu mimo proxy. Dále doporučujeme zvážit použití šifrované komunikace HTTPS u aplikací dostupných z prostředí internetu vyžadující autentizaci. 36

37 V síti se nachází řada aplikací, které jsou dotazovány ale již neexistují, nebo mají časté výpadky Analýza výkonosti sítě a aplikací Výkonnost sítě a aplikací Příklady měřených veličin NPM Network Performance Monitoring objem a rychlost přenesených dat, síťových toků a paketů počet komunikačních partnerů, aktivních hostů,... APM Application Performance Monitoring rychlost přenosu dat na síti rychlost aplikační odezvy Monitorovaná oblast Výkonost sítě na úrovni celé sítě, jednotlivých podsítí, hostů a na nich běžících službách. Rychlost odezvy aplikací měřitelných na síti vč. automatické detekce anomálií bez nutnosti nastavovat manuální limitní hodnoty pro sledované služby. Analýza výkonnosti aplikací nebyla prováděna. Rychlost sítě (Round Trip Time) nikde nedosahoval časů, které by způsobovali problémy nebo nedostupnost aplikací. V rámci výkonosti aplikací (Application Response Time) byly zaznamenány občasné problému u řady aplikací, z toho důvodu nejsou reportovány a doporučujeme projít ruční vizualizaci jednotlivých aplikací Ověření kritických systémů Byly prověřeny kritické systémy z pohledu fungování sítě a společnosti. Zaměřili jsme se především na ové servery, interní proxy servery, DNS a administrativní služby. Nebyly nalezeny zásadní nedostatky. Mezí hlavní hrozby vidíme chybu v konfiguraci umožňující přístup k interní proxy z internetu. 37