I den här delen ska vi titta på hur nätverk kan skyddas mot olika typer av attacker. Att förstå Network Attack Mitigation handlar om att känna igen hot, förstå hur de fungerar och vidta åtgärder för att minimera (mitigera) eller helt förhindra deras påverkan.

När ett nätverk är anslutet till internet är det ständigt utsatt för risker — allt från enkla skanningar och intrångsförsök till avancerade attacker som syftar till att stjäla data eller störa verksamheten. Därför är det viktigt att både förstå vilka typer av attacker som kan förekomma och vilka skyddsmekanismer som finns att tillgå.

Nu när du vet hur hotaktörer kan ta sig in i nätverk, är nästa steg att förstå hur du kan förhindra obehörig åtkomst. Detta avsnitt beskriver flera åtgärder du kan vidta för att göra ditt nätverk säkrare.

Djupförsvar – Defense-in-Depth Approach

För att minska risken för attacker räcker det inte att bara skydda en enskild del av nätverket. Säkerheten måste byggas upp i flera lager och omfatta alla enheter – routrar, switchar, andra säkerhets maskiner, servrar och klientdatorer.

De flesta organisationer använder därför en strategi som kallas ”defense-in-depth”, eller på svenska lagerbaserade säkerhet. Denna metod bygger på att flera olika säkerhetsmekanismer används tillsammans för att skapa ett starkt, överlappande skydd. Om ett lager bryts igenom, finns nästa lager där för att stoppa hotet.

Exempel på lagerbaserade säkerhet

För att minska risken för attacker måste du först säkra alla enheter – routrar, switchar, servrar och klientdatorer. I bilden visas hur flera säkerhetslösningar kan samverka för att skydda användare, data och resurser mot TCP/IP-baserade hot. Varje lager har sin egen funktion och roll i försvaret:

• Perimeterskydd – exempelvis brandväggar och routrar som kontrollerar all trafik som kommer in eller lämnar nätverket.
• Nätverksskydd – switchar och VLAN som segmenterar nätverket och minskar spridningen av attacker.
• Enhetsskydd – hårdvaror som routrar, switchar och servrar är ”härdade” (hardened), vilket betyder att onödiga tjänster är avstängda och att åtkomst kräver stark autentisering.
• Applikations- och användarskydd – antivirus, IDS/IPS-system, samt policyer för lösenord och åtkomstkontroll.

Säkerhetskomponents funktion

Flera säkerhetsenheter och tjänster används för att skydda en organisations användare och tillgångar mot TCP/IP-baserade hot. I I bilden ovan visas hur flera säkerhetsenheter och tjänster samarbetar för att skydda en organisations användare och tillgångar mot TCP/IP-baserade hot. Varje komponent – från brandväggar och IDS/IPS till switchar, routrar och servrar – utgör ett eget skyddslager som tillsammans skapar ett starkt, lagerbaserade försvar.

• VPN (Virtual Private Network) – En router tillhandahåller säkra VPN-tjänster mellan kontor och fjärranvändare genom krypterade tunnlar.
• ASA Firewall – En dedikerad brandvägg som övervakar trafikflöden och tillåter utgående och återvändande trafik, men blockerar okända inkommande trafik.
• IPS (Intrusion Prevention System) – Övervakar in- och utgående trafik och letar efter skadlig kod eller kända attackmönster. Kan omedelbart stoppa upptäckta hot.
• ESA / WSA Email Security Appliance (ESA) – filtrerar skräppost och misstänkta e-postmeddelanden. Web Security Appliance (WSA) blockerar åtkomst till kända farliga webbplatser.
• AAA server – Innehåller en säker databas över behöriga användare som får hantera nätverksenheter. Används för autentisering och auktorisation.

Säkerhetskopior (Backups)

Att regelbundet skapa säkerhetskopior är en av de mest grundläggande och effektiva åtgärderna för att skydda nätverket mot dataförlust och driftavbrott. En säkerhetskopia innebär att en kopia av viktig information – till exempel konfigurationsfiler eller systemdata – sparas till flyttbart media eller en säker server.

Säkerhetskopiering av nätverksutrustning, såsom routrar och switchar, är det särskilt viktigt främst:

• Konfigurationsfiler
• IOS-images (operativsystemet själv komprimerat som ISO fil)

Dessa kan lagras på en FTP-, TFTP- eller SCP-server. Om en enhet skulle sluta fungera, kan den snabbt återställas med hjälp av dessa säkerhetskopior, vilket minimerar driftstoppet.

Säkerhetskopiering bör utföras enligt organisationens säkerhetspolicy och följa tydliga rutiner för hur ofta backup tas, vem som ansvarar för den och hur den kontrolleras. För att skydda mot fysiska hot, som brand eller stöld, bör kopior förvaras på en annan plats (offsite) eller i ett säkert molnlagringssystem.

På så sätt fungerar säkerhetskopior som en sista försvarslinje i nätverkssäkerheten – en garanti för att verksamheten snabbt kan återställas även om olyckan är framme.

Att tänka på:

Uppdatera och patcha

Att hålla alla system uppdaterade med de senaste versionerna av programvara och säkerhetspatchar är en av de mest avgörande åtgärderna för att skydda nätverket mot attacker. Nya sårbarheter upptäcks ständigt, och när dessa blir kända försöker angripare snabbt utnyttja dem. Därför måste organisationer vara snabba med att installera uppdateringar för operativsystem, antivirusprogram och nätverksutrustning.

Det mest effektiva sättet att skydda sig mot till exempel maskar och annan skadlig kod är att:

• Ladda ner och installera säkerhetsuppdateringar direkt från tillverkaren.
• Patcha alla sårbara system så snart en uppdatering finns tillgänglig.
• Säkerställa att klientdatorer automatiskt hämtar och installerar uppdateringar.

På så sätt kan nya hot neutraliseras innan de hinner sprida sig i nätverket.

Hantering i större nätverk

I större organisationer används ofta standardiserade system-image (avbildningar av operativsystem samt godkända applikationer) för att förenkla installation och administration av nya datorer.
Men eftersom hotbilden ständigt förändras, måste även dessa standardiserade avbildningar och befintliga system regelbundet uppdateras och patchas för att hålla säkerheten på en hög nivå. Detta kan inkluderas i en tydlig patch-hanterings-policy som en central och kontinuerlig process som skyddar både nätverket och dess användare från nya sårbarheter.