VÝSLEDKY A NÁLEZY ZA PROVĚŘOVANÉ OBDOBÍ

Podobné dokumenty
Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Monitorování datových sítí: Dnes

PB169 Operační systémy a sítě

Flow Monitoring & NBA. Pavel Minařík

Není cloud jako cloud, rozhodujte se podle bezpečnosti

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Co se skrývá v datovém provozu?

Kybernetické hrozby - existuje komplexní řešení?

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/ , Modernizace výuky

FlowMon Monitoring IP provozu

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

FlowMon Vaše síť pod kontrolou

Audit bezpečnosti počítačové sítě

Flow monitoring a NBA

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

Co vše přináší viditelnost do počítačové sítě?

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Proč prevence jako ochrana nestačí? Luboš Lunter

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Uživatel počítačové sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Jak využít NetFlow pro detekci incidentů?

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zabezpečení v síti IP

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Botnet. Stručná charakteristika

Řešení počítačové sítě na škole

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Bezpečnostní monitoring v praxi. Watson solution market

Cíl útoku: uživatel. Michal Tresner AEC, spol. s r.o.

Identifikátor materiálu: ICT-3-03

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

SADA VY_32_INOVACE_PP1

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

CISCO CCNA I. 8. Rizika síťového narušení

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

SMĚRNICE Bezpečnost počítačové sítě a ochrana osobních údajů

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Desktop systémy Microsoft Windows

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Monitoring provozu poskytovatelů internetu

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Enterprise Mobility Management AirWatch & ios v businessu

Koncept. Centrálního monitoringu a IP správy sítě

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Představení Kerio Control

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

OBSAH: Změny v dokumentu: Verze 1.0

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Firewally a iptables. Přednáška číslo 12

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Enterprise Mobility Management AirWatch - představení řešení. Ondřej Kubeček březen 2017

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Kybernetické hrozby jak detekovat?

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

FlowGuard 2.0. Whitepaper

Sledování výkonu aplikací?

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

P2P komunikace I/O modulů řady E1200 I/O moduly s komunikací přes mobilní telefonní sítě

Aktivní bezpečnost sítě

Nová áplikáce etesty Př í přává PC ž ádátele

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Úvod - Podniková informační bezpečnost PS1-2

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Analýza malware pro CSIRT

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Petr Šnajdr, bezpečnostní expert ESET software spol. s r.o.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Vývoj Internetových Aplikací

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Next-Gen antiviry. Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018

Směrnice Bezpečnost počítačové sítě a ochrana osobních údajů.

Firewall, IDS a jak dále?

Implementácia bezpečnostného dohľadu v organizáciách štátnej a verejnej správy. Martin Senčák, Beset, Bratislava Vladimír Sedláček, Greycortex, Brno

Zabezpečení kolejní sítě

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Bezpečnostní politika společnosti synlab czech s.r.o.

Strategie sdružení CESNET v oblasti bezpečnosti

Obrana sítě - základní principy

Avast Business Antivirus Pro Plus

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Inteligentní analýza bezpečnostních událostí (iabu)

Transkript:

VÝSLEDKY A NÁLEZY ZA PROVĚŘOVANÉ OBDOBÍ Období: 00.00.2019 00.00.2019 Vypracovali: AUTOR

OBSAH 1. MANAŽERSKÉ SHRNUTÍ... 4 2. ÚVOD... 5 3. IDENTIFIKOVANÉ NÁLEZY... 6 3.1. RAT: Strojová komunikace do Číny... 6 3.2. RAT: Infikované zařízení s potenciálním únikem dat... 7 3.3. APT: Odchozí DNS tunel do Ruska... 8 3.4. RAT: Zjišťování IP adresy pomocí Čínské služby... 9 3.5. Navštívení nebezpečné URL... 10 3.6. Používání služby TOR... 11 3.7. Odchozí portscan na port 1 UDP... 12 3.8. Skenování portů v interní síti... 13 3.9. Aktualizace hackerského nástroje Kali linux... 14 3.10. Trojan Llac.bdmP... 15 3.11. Zranitelné verze JAVA... 16 3.12. Malware na mobilních zařízeních... 17 3.13. Anomální množství komunikačních partnerů na SMB... 18 3.14. Zálohování mimo společnost přes otevřený protokol... 19 3.15. Anomální upload dat do internetu... 20 3.16. Používání p2p sítí a torrentu... 21 3.17. Stahování potencionálně infikovaných souborů... 22 4. PROVOZNÍ DOHLED... 23 4.1. Zahlcení VOIP komunikace... 23 4.2. Opakovaně vysoký ART na HTTP serveru... 24 4.3. Problémy se navázáním DB připojení na síti... 25 4.4. Anomálie na službě Remote Desktop Protocol (RDP)... 26 4.5. Přehled nejnavštěvovanějších URL adres... 27 4.6. Lokální MS-SQL servery... 28 4.7. Vlastnosti SQL serverů... 29 4.8. Lokální doménové řadiče (DC)... 31 4.9. Používání IPv6 v interní síti... 32 5. POSTUP PROVÁDĚNÍ... 33 5.1. Období... 33 5.2. celkového stavu... 33 5.3. Eliminace false positive detekcí... 35 2

5.4. Detekce známých útoků a hrozeb... 35 5.5. Detekce neznámých útoků a hrozeb... 36 5.6. Analýza dodržování bezpečnostních politik... 36 5.7. Analýza výkonosti sítě a aplikací... 37 5.8. Ověření kritických systémů... 37 3

1. Manažerské shrnutí Průběžná zpráva prezentuje výsledky detekčních nástrojů GREYCORTEX MENDEL v prostředí zákazníka. Následující tabulka shrnuje výsledky z analýzy síťového provozu. Oblast analýzy (metoda) Pokročilé neznámé útoky (prediktivní analýza detekce anomálií pomocí strojového učení) Cílené hrozby (detekce strojového chování) Známé projevy škodlivého chování (detekce na základě behaviorálních pravidel) Známé hrozby a dříve popsané útoky (detekce pomocí sady přes 40.000 pravidel signatur) Porušení definovaných komunikačních politik Porušení bezpečnostních politik (ověření zásad dobré praxe) Výkonnost sítě a aplikací (automatická detekce anomálií) Ověření kritických systémů Výsledky analýzy Nebyly identifikovány projevy probíhajících cílených a neznámých útoků. Identifikované anomálie byly pravděpodobně způsobeny chybnou konfigurací. Nebyly identifikovány kritické nebo závažné nedostatky či hrozby, pouze incidenty jako malware typu Adware nebo PUP (Potentialy Unwanted Programs) a neúspěšné pokusy o přihlášení na SMB úložiště. Dále byly identifikovány projevy interních scanů, které pravděpodobně přísluší internímu auditu. Mezi hlavní nedostatky patří přítomnost aplikace DropBox a četnost pokusů o přímý přístup do internetu mimo proxy. Dále doporučujeme zvážit použití šifrované komunikace HTTPS u aplikací dostupných z prostředí internetu vyžadující autentizaci. V síti se nachází řada aplikací, které jsou dotazovány ale již neexistují, nebo mají časté výpadky. Rychlost sítě a odezva aplikací nedosahovala hodnot, které by způsobily významnější problémy nebo nedostupnost aplikací. Nebyly nalezeny zásadní nedostatky. Mezí hlavní hrozby vidíme chybu v konfiguraci umožňující přístup k interní proxy z internetu. 4

2. Úvod V dokumentu jsou shrnuty výsledky z analýzy síťového provozu získané za pomoci nástroje GREYCORTEX MENDEL. MENDEL slouží k analýze provozu a detekci pokročilých nebo jinak skrytých malware a provozních anomálií za pomocí strojového učení a umělé inteligence. Produkt je určen k celkovému bezpečnostnímu a provoznímu monitoringu síťové infrastruktury. Cílem bylo identifikovat hrozby ohrožující datovou síť, včetně analýzy těchto hrozeb. Data jsou analyzovaná za období 2019 a byla monitorována prostřednictvím pasivního odposlechu interní sítě. Systém MENDEL je provozován prostřednictvím HW senzoru GREYCORTEX MENDEL All In One 500, který zvládá analýzu na úrovni 0,5 Gbit/s. Obrázek 1: Zapojení GREYCORTEX MENDEL pomocí zrcadleného portu Nasazení této technologie v infrastruktuře v zrcadlícím módu je neinvazivní, tedy žádným způsobem nenarušuje chod procesů. 5

3. Identifikované nálezy 3.1. RAT: Strojová komunikace do Číny Critical Zdrojové IP: Na zařízení x.x.x.x byla detekována strojová komunikace do Číny či do dalších netypických zemí. Dále jsou na počítači používány služby typu torrent. Zařízení se mimo jiné připojuje na IP adresy s nízkou reputací služby TOR. Riziko Je vysoká pravděpodobnost, že zařízení je infikováno škodlivým software, prostřednictvím kterého může být zařízení ovládáno, případně může docházet k únikům dat a krádeži citlivých informací. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zkontrolovat počítač na přítomnost malwaru, obnovit ze zálohy nebo přeinstalovat. Zamezit pomocí politiky používání torrentů interní sítě v organizaci a informovat uživatele. 6

3.2. RAT: Infikované zařízení s potenciálním únikem dat Critical Zdrojové IP: Byla detekována strojová komunikace na web xxx ze zařízení. Webové stránky tvrdí, že může uživatel vydělávat peníze pro charitu. V základu se jedná o distribuovaný Bitcoin miner. Podobný typ charitních software bývá častým nosičem jiných malware. Podobně je tomu i v našem případě. Modul IDS objevil podezřelou komunikaci. Může se jednat malware typu Kbot.worm, který obsahuje backdoor. Dále bylo odesláno 5 MB dat na zařízení v Anglii. Riziko Je vysoká pravděpodobnost, že zařízení je infikováno škodlivým software, prostřednictvím kterého může být zařízení ovládáno, případně může docházet k únikům dat a krádeži citlivých informací. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zařízení doporučujeme odpojit ze sítě a přeinstalovat případně obnovit ze zálohy. 7

3.3. APT: Odchozí DNS tunel do Ruska Critical Zdrojové IP: Ze zařízení x.x.x.x byl zjištěn DNS tunel přes port xxx vůči ruské IP adrese. Zařízení posílalo data, která neodpovídají formátu DNS protokolu. Zároveň odcházely výrazně větší datagramy, než je v sítí běžné. Riziko Existuje riziko v podobě cíleného úniku dat společnosti. Uživatel může přes tunel skrývat další nekalé aktivity. Doporučení Zařízení doporučujeme odpojit od sítě a vykonat na něm forenzní analýzu. Zjistit důvod proč uživatel DNS tunel používá. Dále doporučujeme zvážit možnost zamezit DNS komunikaci na firewallu mimo vlastních DNS serverů. 8

3.4. RAT: Zjišťování IP adresy pomocí Čínské služby High Zdrojové IP Zařízení opakovaně komunikuje s Čínskou adresou, která byla bezpečnostními společnostmi označena jako nedůvěryhodná. Adresa je asociovaná s různými typy malwaru a trojských koní. Použitá webová služba slouží zjišťování veřejné IP adresy zařízení, pod kterou vstupuje do prostředí internetu. Riziko Je vysoká pravděpodobnost, že zařízení je infikováno škodlivým software, prostřednictvím kterého může být zařízení ovládáno, případně může docházet k únikům dat a krádeži citlivých informací. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zkontrolovat počítač na přítomnost malwaru, obnovit ze zálohy nebo přeinstalovat. Pak ověřit, že daná komunikace už neprobíhá. 9

3.5. Navštívení nebezpečné URL High Zdrojové IP: Zařízení navštívilo web http://xxx, který se nachází na blacklistu Zeus botnetu. Stránka neobsahuje žádný obsah a je otázkou, jak se zařízení na daný web dostalo. Je pravděpodobné, že požadavek vyvolal škodlivý program a ne uživatel. Riziko Je vysoká pravděpodobnost, že zařízení je infikováno škodlivým software, prostřednictvím kterého může být zařízení ovládáno, případně může docházet k únikům dat a krádeži citlivých informací. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zkontrolovat počítač na přítomnost malwaru, obnovit ze zálohy nebo přeinstalovat. Pak ověřit, že daná komunikace už neprobíhá. 10

3.6. Používání služby TOR Medium Zdrojové IP: Výše zmíněné stanice komunikovali pomocí služby TOR. Jedná se o anonymizací službu, která se často zneužívá k nákupu nelegálního charakteru, či páchání trestní činnosti. Účastníci této komunikace jsou globálně monitorování bezpečnostními vládními službami. Síť TOR bývá často využívána pro anonymizovanou komunikaci malware. Riziko Riziko spočívá především v poškození dobrého jména společnosti, případně zneužití kompromitovaného zařízení. Doporučení Doporučujeme zjistit zdroj komunikace. V případe, že se potvrdí infekce malwarem vhodné je zařízení přeinstalovat, či obnovit ze zálohy. Pokud uživatel službu TOR používá, je doporučeno ho na to upozornit a používání služby TOR zakázat bezpečnostní politikou. 11

3.7. Odchozí portscan na port 1 UDP Medium Zdrojové IP: Ze stanice bylo provedeno několik skenování portu vůči externím adresám do internetu v různých zemích. Může se jednat o legitimní zastaralou P2P aplikaci nebo projev přítomnosti malware, který se snaží kontaktovat mateřský botnet. Riziko Existuje riziko v podobě infekce zařízení malwarem, co může způsobit únik dat, nebo poškození dobrého jména společnosti. Zejména skenování portů může způsobit to, že se veřejná IP adresa společnosti dostane na seznam blacklistovaných adres a bude na ní nahlíženo jako na nepřátelskou. Doporučení Stanici doporučujeme analyzovat a zjistit, co danou aktivitu způsobuje. Vhodné řešení je pak stanici přeinstalovat. 12

3.8. Skenování portů v interní síti Medium Zdrojové IP: Detekovali jsme opakované skenování portů ze zařízení. Celá podsíť byla skenována za účelem najít služby FTP(21), HTTP(80), HTTP-Alt(8080), SMB(445). Na vybraných zařízení byly skenovány další porty jako 137, 161, 4899... S nejvyšší pravděpodobností se jedná o legitimní aktivitu administrátora za účely cíleného auditu sítě. Může se však jednat i o projev přítomnosti malware. Riziko Skenování portů je přípravní fáze pro další možný útok. Taktéž se může jednat o infekci malwarem. Doporučení Doporučujeme ověřit identifikovanou událost s uživatelem. V případě, kdy se nejednalo o jeho aktivitu, doporučujeme ověřit zdrojovou stanici na přítomnost malwaru, popřípadě obnovit ze zálohy, nebo reinstalovat. 13

3.9. Aktualizace hackerského nástroje Kali linux Medium Zdrojové IP: Na zmíněné stanici se aktualizoval operační systém Kali linux, který slouží zejména pro penetrační testy a hacking. Bylo zjištěno stahováni nových balíku pro tuto distribuci. Riziko Hrozí použití některých z nástrojů k penetraci interních systémů, čímž by uživatel mohl získat vyšší privilegia, než mu patří a dostat se neoprávněně k datům společnosti. Doporučení Uživatele upozornit, pokud systém nepoužívá k testování infrastruktury v rámci náplně práce, aby ho nepoužíval a odstranil. 14

3.10. Trojan Llac.bdmP Medium Zdrojové IP: Zařízení je infikováno trojským koněm Trojan.Llac.bdm, který se váže k exploitaci zranitelností prohlížeče v operačním systému MS Windows. Může si stahovat další malware a poskytuje útočníkovi vzdálený přístup. Obecně je malware používán k šíření cílené reklamy a generování prokliků. Při analýze byl infikován stroj, na kterém se zkoušelo připojit na daný odkaz. Riziko Hrozí další kompromitace systémů a následný únik dat společnosti. Doporučení Zařízení doporučujeme odpojit ze sítě a přeinstalovat případně obnovit ze zálohy. 15

3.11. Zranitelné verze JAVA Medium Zdrojové IP - Java/1.7.0_55 - Java/1.7.0_25 - Java/1.7.0_91 - Java/1.7.0_55 - Java/1.7.0_45 Zmíněná zařízení a další používají zastaralou verzi JAVA komponent. Riziko Používání zastaralých komponent JAVA je bezpečnostní riziko za využití známých chyb. V případě verze Java/1.7.0_x je riziko vysoké, některé zranitelnosti mají CVE skóre 10. Doporučení Doporučujeme dané stanice aktualizovat. 16

3.12. Malware na mobilních zařízeních Medium Zdrojové IP: android android android xiaomi Na desítkách mobilních zařízeních byli detekovány různé typy malware trojans, backdoor atd. Riziko Hlavní riziko spočívá především v neoddělené struktuře sítě, kdy mobilní zařízení mají přístup do produkčního segmentu. Přistupují na služby doménových řadičů, pomocí nástroje ping ověřují přítomnost jiných zařízení v síti atd. Podle typu malware hrozí únik dat ze zařízení. Doporučení Doporučujeme oddělit Wi-Fi segment mobilních a BYOD zařízení od ostatní sítě společnosti. 17

3.13. Anomální množství komunikačních partnerů na SMB Low Zdrojové IP: Stanice se připojuje na velké množství dalších stanic na službu MS Samba na portu X, přičemž přenáší větší množství dat. Takovéto chování modul NBA označil jako anomální, protože toto zařízení komunikovalo s příliš mnoha komunikačními partnery oproti naučenému modelu na zařízení z minulosti. Může se jednat o auditní nástroj, nebo o anomální chování uživatele či malware. Riziko Pokud se nejedná o auditní nástroj, může se jednat o malware typu Ransomware, který šifruje uživatelem připojené disky, nebo o podivnou aktivitu uživatele. Doporučení Analyzovat zařízení a zkontrolovat příčinu uvedeného chování. 18

3.14. Zálohování mimo společnost přes otevřený protokol Low Zdrojové IP: Zařízení permanentně komunikuje s cloudovou službou, která slouží jako externí zálohovací médium prostřednictvím otevřené nešifrované komunikace. Riziko Existuje riziko v podobě cíleného úniku dat společnosti. Další riziko spočívá v odposlechu autentizačních údajů a přístupu k uloženým informacím. Doporučení Doporučujeme zvážit použití externích zálohovacích zařízení s pochybnou mírou zabezpečení. 19

3.15. Anomální upload dat do internetu Low Zdrojové IP: Ze stanice byl detekován upload dat na úložiště uschovna.cz o velkosti několik stovek MB. Modul NBA detekoval anomálii na odchozích datech, protože model zařízení byl mnohonásobně překročen. Může se jednat o legitimní aktivitu či cílený únik dat. Riziko V případě, že došlo k úniku dat, je pravděpodobné, že citlivé informace (dokumenty, přístupové údaje, informace o společnosti apod.) mohli společnost opravdu opustit. Tyto data pak můžou být využity pro další činnost, např. prodej konkurenci vymáhaní odměny za vrácení/zničení zcizených dokumentů. Případné finanční ztráty je možné odhadnout pouze na základě míry důvěrnosti (klasifikace) a hodnoty dokumentů, které se nacházely na dané stanici nebo na síťových zdrojích, ke kterým měla stanice nebo uživatel přístup. Doporučení Doporučujeme zjistit příčinu 20

3.16. Používání p2p sítí a torrentu Low Zdrojové IP Nejen uvedená stanice pravidelně komunikuje se službami typu torrent. Riziko Uživatelé pomocí torrentu můžou stahovat nelegální obsah, nebo i nechtěně sdílet interní know-how společnosti. Hlavní riziko spočívá v ohrožení dobrého jména společnosti a úniku citlivých informací. Doporučení Zamezit pomocí politiky používání interní sítě v organizaci a informovat uživatele. 21

3.17. Stahování potencionálně infikovaných souborů Low Zdrojové IP: Bylo identifikováno stažení souboru aplikace MS Excel, který v sobě obsahoval další zapouzdřený soubor. Jedná se o poměrně častý vektor útoku, kdy je modifikován veřejně stahovaný soubor s cílem infikovat dané zařízení. Riziko Existuje riziko v podobě kompromitace zařízení. Doporučení Je vhodné uživatele upozornit, že není bezpečné stahovat tyto typu souborů z nedůvěryhodných zdrojů. Preventivně je vhodné stanici proskakovat antivirovým programem. 22

4. Provozní dohled 4.1. Zahlcení VOIP komunikace Info IP: Zařízení s uvedenou IP adresou se opakovaně (10000x) neúspěšně snažilo provést registraci hovoru. Pravděpodobně se jednalo o chybnou konfiguraci. V opačném případě se jedná o DoS útok na VoIP server. 23

4.2. Opakovaně vysoký ART na HTTP serveru Info IP: Byly zaznamenány opakované vysoké časy odpovědí ART (Application Response Time). Server běžně odpovídá v čase maximálně do 6 sekund. V identifikovaných časech doba odezvy dosahovala 113 sekund. 24

4.3. Problémy se navázáním DB připojení na síti Info IP: Na uvedeném IP adrese databázového serveru došlo ke zpomalení komunikace z důvodu síťového zpoždění. Třístranný handshake byl navázán po 30 sekundách, v průměru za jednu minutu naměřené zpoždění asi 10 sekund oproti běžnému stavu 0,023 sekundy. 25

4.4. Anomálie na službě Remote Desktop Protocol (RDP) Info IP: Bylo detekována anomálie na zařízení na službě RDP. Server na této služeb normálně odpovídá ihned. V úterý Application Response Time (ART) narostl až na 33 sekund. 26

4.5. Přehled nejnavštěvovanějších URL adres Info Přehled nejnavštěvovanějších URL adres. 27

4.6. Lokální MS-SQL servery Info Přehled 21 aktivních zařízení, které mají vystavenou službu MS-SQL Mapa komunikace z lokálními službami MS-SQL na portech. 28

4.7. Vlastnosti SQL serverů Info IP: ServerSQL (x.x.x.x ) Max ART 30s, Duration 5min. OtherSQL (x.x.x.x ) Performance to 30Mbps, 25s average ART 29

30

4.8. Lokální doménové řadiče (DC) Info 31

4.9. Používání IPv6 v interní síti Info IP: Některé zařízení se snaží komunikovat po IPv6 ve vnitřní síti. Jedná se ICMPv6, konkrétně o ping na IPv6. Dále se objevila komunikace na port X. Žádná lokální zařízení s IPv6 adresami nekomunikují do internetu. 32

5. Postup provádění 5.1. Období Rozsah auditovaného období je...2019...2019. 5.2. celkového stavu Cílem je zjištění aktuální provozní situace sítě dle měřených metrik. Přehled o počtu aktivních zařízení, použitých vendorech, provozu na síti, množství přenášených dat : V monitorované síti a všech jejích podsítích je přítomno celkem cca 1500 až 2000 aktivních zařízení. Provoz v průběhu 24 hodin dosahuje v průměru do cca 100Mbps, od 16:00 do cca 23:00 pak nastává špička kdy provoz atakuje hranici 1Gbps. Aktivita dle podsítí 24h záznam 33

Aktivita dle zařízení 24h záznam 34

5.3. Eliminace false positive detekcí Proběhla eliminace chybných detekcí (FP) k zvýšení přehlednosti výstupu aplikace. Seznam detekovaných FP lze zobrazit se závažností 0. 5.4. Detekce známých útoků a hrozeb Detekce známých útoků a hrozeb Typy útoků a hrozeb Známé projevy škodlivého chování skenování sítě a zařízení enumerace dat detekce hádání hesel DoS a DDoS útoky apod. Známé hrozby a dříve popsané útoky malware pro běžná zařízení malware pro mobilní zařízení trojské koně útoky na aplikační a DB servery zranitelnosti na straně klientských aplikací (JAVA, Flash, MS Office, prohlížeče ) aktuální hrozby phishing, trojans komunikace s blacklistovanými zařízeními (IP adresa, doména) Metoda Behaviorální detekce na úrovni toků za pomoci pravidel pro detekci očekávatelných projevů útoků. Detekce známých útoků na základě denně aktualizované sady detekčních pravidel (přes 40.000) a blacklistů (60.000 až 100.000 záznamů). Příklady detekčních kategorií: Attack Response, Botcc, Chat, Current Events, DNS, DOS, Exploit, File, FTP, Games, ICMP, IMAP, Malware, Mobile Malware, Netbios, POP3, P2P, Policy, RPC, SCADA, Scan, Shellcode, SQL, TELNET, TFTP, TLS-Events, TOR, Trojans, User Agents, VOIP, Web Client, Web Server, Worms. : Nebyly identifikovány žádné zásadní nedostatky či hrozby. V rámci detekovaných incidentů byly identifikovány pouze drobné bezpečnostní hrozby či malware typy Adware, nebo PUP (Potentialy Unwanted Programs). Dále byly identifikovány projevy interních scanů, které pravděpodobně přísluší internímu auditu. 35

5.5. Detekce neznámých útoků a hrozeb Detekce neznámých a cílených útoků a hrozeb Typy útoků a hrozeb Pokročilé neznámé útoky útoky na uživatelské účty komunikace s botnetem úniky dat obecně anomální chování uživatelů a zařízení Cílené hrozby RAT Remote Access Trojan APT Advanced Persistent Threat AVT Advanced Volatile Threat Metoda Prediktivní analýza = detekce anomálií na základě změny automaticky naučeného chování na různých úrovních monitorované sítě. Jedná se o odchylky od normálu na úrovni sítě, podsítě, daného zařízení a aktivních služeb na daném zařízení. Detekce strojového chování = odlišení projevů malware od lidské legitimní komunikace prostřednictvím periodických vzorů chování. : Nebyla potvrzena žádná hrozba. Jediné podezření spadá na pokusy o aktivní komunikaci na uložiště akamai bez použití proxy serveru, pravděpodobně se však jedná o legitimní aplikace pokoušející se o update s chybným nastavením odchozí brány. 5.6. Analýza dodržování bezpečnostních politik Ověření s bezpečnostními zásadami a politikami Příklady nálezů Porušení komunikační politiky Nedostupné služby a zařízení Vznik nových nepovolených služeb a zařízení Nepovolené komunikační vektory Porušení bezpečnostních politik používání anonymizačních (Tor) a P2P sítí hraní her a používání nepovolených aplikací prověrka šifrovaná komunikace nepovolené DNS servery tunelovaný DNS provoz používání zranitelných a zastaralých aplikací apod. Ověřované politiky Kontrola povolených a zakázaných služeb, prostupů a sítových politik srovnání pozorované komunikační matice a uživatelem definovaných politik. Zásady dobré praxe v síťové bezpečnosti využívání nepovolených aplikací. : Mezi hlavní nedostatky patří přítomnost aplikace DropBox a četnost pokusů o přímý přístup do internetu mimo proxy. Dále doporučujeme zvážit použití šifrované komunikace HTTPS u aplikací dostupných z prostředí internetu vyžadující autentizaci. 36

V síti se nachází řada aplikací, které jsou dotazovány ale již neexistují, nebo mají časté výpadky. 5.7. Analýza výkonosti sítě a aplikací Výkonnost sítě a aplikací Příklady měřených veličin NPM Network Performance Monitoring objem a rychlost přenesených dat, síťových toků a paketů počet komunikačních partnerů, aktivních hostů,... APM Application Performance Monitoring rychlost přenosu dat na síti rychlost aplikační odezvy Monitorovaná oblast Výkonost sítě na úrovni celé sítě, jednotlivých podsítí, hostů a na nich běžících službách. Rychlost odezvy aplikací měřitelných na síti vč. automatické detekce anomálií bez nutnosti nastavovat manuální limitní hodnoty pro sledované služby. Analýza výkonnosti aplikací nebyla prováděna. Rychlost sítě (Round Trip Time) nikde nedosahoval časů, které by způsobovali problémy nebo nedostupnost aplikací. V rámci výkonosti aplikací (Application Response Time) byly zaznamenány občasné problému u řady aplikací, z toho důvodu nejsou reportovány a doporučujeme projít ruční vizualizaci jednotlivých aplikací. 5.8. Ověření kritických systémů Byly prověřeny kritické systémy z pohledu fungování sítě a společnosti. Zaměřili jsme se především na emailové servery, interní proxy servery, DNS a administrativní služby. Nebyly nalezeny zásadní nedostatky. Mezí hlavní hrozby vidíme chybu v konfiguraci umožňující přístup k interní proxy z internetu. 37

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář