Jak wyjaśnimy poniżej, czynności te mogą być wykorzystywane jako część rutyny. Pamiętaj, że bezpieczeństwo naszych sieci musi być obecne przez cały czas, nie tylko w obliczu potencjalnego scenariusza cyberataku. Lub, jeśli padliśmy już ofiarą danego ataku, lepiej zapobiegać, niż później rozwiązać lub łagodzić cyberatak.
Analiza portu
Pierwszą rzeczą, którą musimy zrobić, jest skanowanie portów. Dzięki temu dowiesz się, które drzwi są otwarte. Musimy pamiętać, że jeden lub więcej otwartych portów pozwala każdemu w Internecie spróbować „komunikować się” z naszą siecią. Taka próba komunikacji może oznaczać atak zagrażający bezpieczeństwu i integralności samej sieci. Powinniśmy otwierać tylko te porty, których używamy i odpowiednio chronić aplikacje, które „nasłuchują” tych portów i nie pozostawiać ich otwartych.
W zależności od polityki Twojej organizacji możesz skorzystać z narzędzia, które masz do dyspozycji lub poprosić o pozwolenie na korzystanie z takiego, które nie jest wymagane przez wewnętrzne przepisy. Jeśli masz mniejszy rozmiar i pojemność sieci, możesz wybrać takie narzędzia, jak narzędzia TCPing , wysoce zalecany program, który jest całkowicie darmowy i uruchamia się bezpośrednio z wiersza poleceń systemu Windows. Ta aplikacja poinformuje nas, czy drugi komputer z systemem Windows ma otwarte porty, czy nie, abyśmy mogli kontrolować konfigurację zapory.
Zapora systemu Windows powinna zawsze blokować dostęp z zewnątrz, czego wcześniej nie robiliśmy na zewnątrz, dzięki czemu zmniejszymy ekspozycję naszych usług zarówno na domową, jak i lokalną sieć roboczą.
Teraz, jeśli potrzebujesz narzędzi z większą liczbą funkcji i wyższym poziomem szczegółowości, sugerujemy wybór Nmap my Zenmap ten Różnica między nimi polega na tym, że Zenmap ma interfejs graficzny, co nie ma miejsca w przypadku Nmap, ale Zenmap jest oparty na Nmap, więc będziemy mieli dokładnie taką samą funkcjonalność. Te dwa programy pozwolą nam wykonywać różne bardzo zaawansowane skanowanie portów przy użyciu różnych technik.
Jeśli Twoja infrastruktura sieciowa działa w systemie Windows, zaleca się sprawdzenie, na które porty ma odpowiadać Uwierzytelnianie na poziomie sieci ten Musimy pamiętać, że ten rodzaj uwierzytelniania to polityka sieciowa, którą można aktywować w dowolnym momencie. Domyślnie jest to wyłączone. W poniższym filmie udostępniamy samouczek referencyjny, aby pokazać Ci krok po kroku, jak to zrobić. Sprawdzony przypadek to Windows Server 2016, ale kroki są stosunkowo takie same dla najnowszych wersji.
Zwróć uwagę na logi serwera DNS i zapory sieciowe
W logach możemy znaleźć cenne informacje, które pomogą nam w poszukiwaniu potencjalnych podatności. Przede wszystkim zwróć uwagę na ruch wychodzący z Twojej sieci. Upewnij się, że zalogowani użytkownicy korzystają tylko z narzędzi dostępu zdalnego autoryzowanych przez Twoją organizację. W przypadku wykrycia aktywności związanej z nieautoryzowanym programem, przeanalizuj, które narzędzie i jaki to był serwer.
W związku z tym coś, co pomoże ci uniknąć korzystania z nieautoryzowanych programów, to: nie zezwalaj na instalację programów różni się od tego, czego może potrzebować użytkownik. Innymi słowy, zawsze pytaj o dostęp administratora. Różni się to jednak w zależności od zasad każdej organizacji i tego, czy użytkownik korzysta z własnych komputerów.
Ważne jest, aby jasno określić, jakiego rodzaju programów lub aplikacji może używać dana osoba w zależności od ich funkcji. W zależności od przypadku ogranicz uprawnienia, aby umożliwić zmiany na komputerze. Pamiętaj, że jeśli nie wdrożymy odpowiednich zabezpieczeń w naszych sieciach, prosta instalacja programu może być problematyczna. Przykłady: rozpowszechnianie złośliwego oprogramowania, oprogramowania ransomware, złośliwego kodu do tworzenia botnetów itp.
Zgłaszając firewalle możemy skorzystać z narzędzi analizy ruchu. Ma to na celu uwidocznienie ruchu, który tworzą. Jeśli zauważysz nienormalny wzrost wykorzystania przepustowości, sprawdź, czy przyczyną tej sytuacji jest podejrzany program lub czy nie wolno go używać w sieci wewnętrznej.
Ogólne monitorowanie zmian konfiguracji
Dobrą praktyką jest przeprowadzanie kontroli wewnętrznych i/lub kontroli pod kątem nieprawidłowej aktywności w konfiguracji zapory. Ponadto możemy zidentyfikować możliwości wdrożenia najlepszych praktyk w zakresie konfiguracji danych zapory. Należy pamiętać, że działania monitorujące lub kontrolne nie powinny być traktowane jako normalny mechanizm kontrolny. Zamiast tego może służyć jako brama do przyjęcia praktyk, które ostatecznie przyniosą korzyści użytkownikom końcowym sieci.
Tak czy inaczej, zespół wsparcia dostawcy powinien pomóc w przypadku jakichkolwiek pytań, zapytań lub problemów.
Często pomijanym aspektem jest aspekt prawa ten Musimy pamiętać, że praca „pod kontrolą” sieci wewnętrznej firmy to nie to samo, co partnerzy organizacji, którzy wykonują ją zdalnie. Ważne jest, aby dokonać przeglądu licencji, zwłaszcza jeśli twoja praktyka domowa potrwa kilka miesięcy lub coś takiego.
Ograniczanie praw i dostępu nigdy nie boli. Liczne cyberataki, które dotykają tysiące ludzi na całym świecie, są teraz skuteczniejsze niż kiedykolwiek. Rzeczywiście, znacznie więcej osób pracuje w domu i wiele z nich nie ma niezbędnych środków bezpieczeństwa, aby połączyć się ze swoimi zasobami. Nie zapomnij tego każdy rodzaj ataku Wynika to głównie z lenistwa, ignorancji, a nawet niewinności użytkowników i specjalistów IT.