Interné siete: jednoduché minimum, ktoré naozaj znižuje incidenty

Väčšina kybernetických incidentov nezačína spektakulárnym útokom zvonku. Začína sa v internej sieti, na bežnej pracovnej stanici, zle nakonfigurovanom serveri alebo v segmente, kde má „všetko ku všetkému príliš blízko". Práve preto sú interné siete jedným z najdôležitejších, no zároveň najviac podceňovaných prvkov celkovej kybernetickej bezpečnosti organizácie.

Interná sieť nie je automaticky bezpečná

Dlho prevládal predpoklad, že interná sieť je dôveryhodné prostredie. Dnes je tento pohľad nielen zastaraný, ale priamo nebezpečný. Útočník, ktorý získa prístup do internej siete, napríklad prostredníctvom phishingu alebo kompromitovaného zariadenia, naráža v mnohých organizáciách na minimum prekážok. Pohybuje sa laterálne medzi systémami, eskaluje oprávnenia a spôsobuje škody dlho predtým, než je odhalený.

Princíp, z ktorého treba vychádzať, je jednoznačný: interná sieť musí byť riadená a kontrolovaná rovnako dôsledne ako perimeter. Nemá byť otvoreným priestorom bez hraníc, ale prostredím s definovanými pravidlami, prehľadom a mechanizmami kontroly.

Segmentácia ako prvá línia vnútornej obrany

Jedným z najúčinnejších a zároveň najprístupnejších opatrení je segmentácia siete. Nejde o zložité architektúry dostupné len veľkým organizáciám, ale o základné oddelenie logicky odlišných celkov infraštruktúry.

Minimálny model segmentácie by mal zahŕňať aspoň päť zón: bežné pracovné stanice zamestnancov, serverová infraštruktúra, dedikovaná administrátorská zóna s jumphostom, hosťovská Wi-Fi sieť úplne oddelená od internej prevádzky a zóna pre IoT a OT zariadenia, teda tlačiarne, kamery a priemyselné technológie. Každá z týchto zón predstavuje iný rizikový profil a vyžaduje iný režim kontroly.

Segmentácia plní jednoduchú, no kľúčovú funkciu: obmedzuje dosah incidentu. Kompromitovanie jedného segmentu nesmie automaticky znamenať kompromitovanie celej infraštruktúry.

Prestupy pod kontrolou

Segmentácia má reálny efekt len vtedy, ak sú prestupy medzi segmentmi aktívne riadené. Každý prestup by mal mať jasný a zdokumentovaný účel, mal by byť pravidelne revidovaný a neoprávnené alebo dočasné výnimky by mali zostávať skutočnou výnimkou, nie pravidlom.

Nezdokumentované prestupy, typicky výsledok operatívnych riešení prijatých pod časovým tlakom, patria medzi najčastejšie príčiny incidentov. Organizácia o nich postupne prestane vedieť a útočník ich využíva presne vtedy, keď to nikto nečaká.

Rovnaká logika platí pre komunikáciu medzi pracovnými stanicami: bežné počítače by si navzájom nemali umožňovať vzdialenú plochu ani zdieľanie súborov. Administrátorské prístupy by mali prebiehať výhradne cez chránený a monitorovaný jumphost v administrátorskej zóne.

Staršie protokoly a zabudnuté nastavenia

Interné siete sú v mnohých organizáciách plné takzvaných historických nastavení, teda protokolov a funkcií, ktoré sa nikdy explicitne nezakázali, pretože fungujú a nikto sa ich nedotkol. Práve tieto prvky sú terčom bežných techník laterálneho pohybu.

Medzi konkrétne odporúčania patrí aktivácia podpisovania SMB, ktoré chráni prenosy súborov pred podvrhom, deaktivácia starých mechanizmov rozlišovania mien v lokálnej sieti, ktoré umožňujú jednoduché odpočúvanie prevádzky, a preferencia moderných autentifikačných mechanizmov pred staršími protokolmi. Nejde o sofistikované opatrenia, ide o konfiguračnú hygienu, ktorá systematicky eliminuje celú kategóriu bežných útokov.

Správa oprávnení a administrátorských účtov

Administrátorské účty sú najvyššou hodnotou v internej sieti a zároveň najfrekventovanejším cieľom útočníkov. Preto je nevyhnutné pristupovať k nim so zodpovedajúcou dôslednosťou.

Bežní používatelia by nemali mať lokálne administrátorské práva. Lokálne administrátorské heslá na každom zariadení by mali byť unikátne a automaticky rotované. Na tento účel slúži nástroj LAPS (Local Administrator Password Solution), ktorý je dostupný a nasaditeľný aj v menších prostrediach. Pre všetky administrátorské prístupy a jumphost je nevyhnutné viacfaktorové overenie.

Cieľom nie je obmedzovať správcov v ich práci. Cieľom je znížiť pravdepodobnosť zneužitia oprávnení, úmyselného aj náhodného, a minimalizovať dosah v prípade, že k úniku predsa len dôjde.

Viditeľnosť a základný monitoring

Čo organizácia nevidí, to nevie chrániť. Centralizované logovanie nie je výsadou veľkých bezpečnostných operačných centier, v základnej forme je dostupné každej organizácii a jeho absencia patrí medzi najzávažnejšie prevádzkové medzery.

Minimum s reálnym efektom zahŕňa centralizovaný zber logov prihlásení do domény, udalostí na serveroch a DNS dotazov. Na to nadväzuje niekoľko základných upozornení: opakované neúspešné prihlásenia, vznik nových lokálnych administrátorských účtov, podozrivé spúšťanie skriptov a pokusy o RDP prístup mimo povolených zón.

Rovnako dôležitou vrstvou je EDR (Endpoint Detection and Response) na všetkých zariadeniach, doplnený o firewall s blokovaním prichádzajúcich spojení na úrovni pracovných staníc a základné obmedzenie spúšťania kódu z rizikových priečinkov, akými sú dočasné súbory alebo priečinky stiahnutých súborov. Tieto opatrenia spoločne výrazne zvyšujú pravdepodobnosť včasného odhalenia útoku.

Zálohy, ktoré prežijú aj ransomware

Zálohovanie je posledná poistka a práve preto musí obstáť aj v najhoršom scenári. Zlatým štandardom zostáva pravidlo 3-2-1-1-0: tri kópie dát na dvoch rôznych médiách, jedna kópia uložená mimo lokality, jedna kópia offline alebo v nemodifikovateľnom úložisku (immutable backup) a nula chýb pri testovanej obnove.

Zálohovanie bez pravidelného testovania obnovy je ilúzia bezpečnosti. Organizácie, ktoré si uvedomujú túto skutočnosť, pravidelne overujú obnovu aspoň kritických systémov a vedia, že v prípade ransomwarového útoku majú reálnu a overenú cestu späť.

Dokumentácia ako podmienka kontroly

Bez aktuálnej dokumentácie sa aj dobre nastavená sieť postupne stáva neprehľadnou, a to pre správcov, audítorov aj samotné vedenie organizácie. Dokumentácia sieťovej architektúry nemusí zachytávať každý port a každé pravidlo, no musí byť aktuálna, zrozumiteľná a použiteľná v praktickom kontexte vrátane riešenia incidentu pod časovým tlakom.

Rozumné minimum dokumentácie umožňuje organizácii porozumieť vlastnej architektúre, rýchlo reagovať na odchýlky a preukázať nastavenia pri externej kontrole alebo audite. Dokumentácia nie je byrokracia, je to nástroj riadenia.

Metodická podpora a vzorové dokumenty

Organizácie, ktoré chcú systematicky pristupovať k zabezpečeniu interných sietí, nájdu praktickú oporu v Jednotnom metodickom rámci dostupnom na Centrálnom portáli kybernetickej bezpečnosti. Súčasťou sú vzorové dokumenty pokrývajúce segmentáciu, správu prístupov aj zálohovanie, ako aj kontrolné body, vďaka ktorým organizácia dokáže pravidelne overovať dodržiavanie nastavení a identifikovať odchýlky skôr, než sa zmenia na incident.

Takto sa z bezpečnosti internej siete stáva štandardizovaný a opakovateľný proces, nie jednorazový projekt závislý od individuálnych znalostí konkrétneho správcu.

Záver: minimum s reálnym efektom

Zabezpečená interná sieť nie je tá s najzložitejšou architektúrou. Je to tá, ktorej nastaveniu organizácia rozumie, má ju pod kontrolou a vie ju obhájiť pri audite. Opisované minimum, teda segmentácia, riadené prestupy, správa oprávnení, základný monitoring, zálohovanie a dokumentácia, predstavuje kombináciu opatrení zvládnuteľnú aj pre menšie organizácie, ktorej efekt sa prejaví v znížení počtu aj závažnosti incidentov.

Kybernetická bezpečnosť interných sietí nie je o dokonalosti. Je o konzistentnosti.