Prečo plochá firemná sieť znamená, že jeden infikovaný počítač ohrozí celú firmu. Reálne prípady Maersk, Norsk Hydro a postup, ako zaviesť segmentáciu VLAN.
Prečo jeden infikovaný počítač môže znamenať kolaps celej firmy
Keď hovoríme o ransomvéri, väčšina ľudí si predstaví jeden zašifrovaný počítač a odkaz s výkupným na obrazovke. Realita vo firemnom prostredí je oveľa horšia. Skutočným problémom nie je prvotná infekcia – je to to, čo sa stane v nasledujúcich minútach a hodinách, keď sa útočník z jedného kompromitovaného zariadenia dostane k desiatkam alebo tisíckam ďalších.
Tento proces sa nazýva lateral movement a vo firmách s plochou sieťou – teda sieťou, kde všetky zariadenia môžu voľne komunikovať medzi sebou – je prakticky nezastaviteľný.
Čo znamená „plochá sieť"
Plochá sieť je taká, v ktorej neexistuje logické oddelenie medzi jednotlivými časťami firemnej infrastruktúry. Notebook účtovníčky vidí do tej istej siete ako databázový server, tlačiareň, kamerový systém aj doménový kontrolér. Ak útočník prevezme kontrolu nad jediným zariadením – často stačí jeden klik na phishingový e-mail – má prakticky voľnú cestu k čomukoľvek ďalšiemu.
Väčšina ransomvérových útokov dnes nefunguje tak, že sa škodlivý kód „rozšíri sám". Útočník sa po prvotnom prieniku pohybuje sieťou manuálne alebo poloautomaticky: kradne prihlasovacie údaje z pamäte, skúša ich na susedných zariadeniach a postupne získava vyššie a vyššie oprávnenia až sa dostane k doménovému kontroléru Active Directory. Od tohto momentu má prakticky neobmedzenú kontrolu nad celou firemnou sieťou a šifrovanie sa spustí naraz, na tisíckach zariadení súčasne.
Príklady z reálneho života
Maersk a NotPetya (2017)
Najčastejšie citovaný prípad v celej kybernetickej bezpečnosti. Útok sa začal na jedinom počítači v pobočke v ukrajinskej Odese, kde bol nainštalovaný infikovaný účtovný softvér. Maersk fungovala na globálne plochej sieti spájajúcej 600 lokalít po celom svete, ktoré si navzájom dôverovali – a to stačilo na to, aby sa škodlivý kód rozšíril do celej organizácie v priebehu hodín, podľa niektorých zdrojov dokonca v priebehu prvých siedmich minút.
Výsledok: spoločnosť musela znovu nainštalovať viac ako 4 000 serverov, 45 000 počítačov a 2 500 aplikácií. Zachránila ju iba náhoda – jediný doménový kontrolér Active Directory v pobočke v Ghane bol počas útoku odpojený od siete pre výpadok elektriny, a stal sa tak jediným nepoškodeným zdrojom, z ktorého sa dala obnoviť celá firemná doména. Bez tejto náhody by Maersk pravdepodobne stratila kompletnú firemnú identitu a prístupové oprávnenia. Finančné škody sa odhadujú na 250 – 300 miliónov dolárov.
Norsk Hydro a LockerGoga (2019)
Útok sa začal jednoduchým phishingovým e-mailom, ktorý otvoril jeden zamestnanec. Pretože väčšina serverov spoločnosti bola pod tou istou doménou bez väčšej segmentácie, ransomvér sa dokázal šíriť oveľa rýchlejšie, než by to bolo možné v sieti rozdelenej na samostatne administrované celky. Postihnutých bolo približne 35 000 zamestnancov v 40 krajinách, náklady na obnovu dosiahli okolo 71 miliónov dolárov.
Zaujímavé je, že Norsk Hydro mala na rozdiel od mnohých firiem funkčné a nedotknuté zálohy – nemusela teda platiť výkupné. Napriek tomu jej absencia segmentácie umožnila útočníkovi dostať sa takmer kamkoľvek v sieti. Tento prípad je dobrým dôkazom, že samotné zálohovanie nie je náhrada za segmentáciu – rieši dôsledky útoku, nie jeho rozsah.
Ako segmentácia (VLAN) tento problém rieši
VLAN (Virtual Local Area Network) umožňuje logicky rozdeliť jednu fyzickú sieť na viacero oddelených segmentov, medzi ktorými prechádza komunikácia len tam, kde je to explicitne povolené – typicky cez firewall alebo router s definovanými pravidlami.
V praxi to znamená, že namiesto jednej veľkej siete, kde je „všetko vidí všetko", vznikne napríklad:
- samostatný segment pre bežné pracovné stanice zamestnancov,
- samostatný segment pre servery a databázy,
- samostatný segment pre tlačiarne, kamery a IoT zariadenia,
- samostatný segment pre hosťovský Wi-Fi prístup,
- samostatný segment pre kritické systémy (výroba, OT, doménové kontroléry).
Ak sa ransomvér dostane na jednu pracovnú stanicu v segmente zamestnancov, nemá automaticky prístup k databázovému serveru ani k doménovému kontroléru – pokiaľ mu to firewall medzi segmentmi explicitne nepovolí. Útok, ktorý by v plochej sieti zasiahol celú firmu za hodinu, sa v segmentovanej sieti môže zastaviť na jedinom oddelení.
Odporúčaný postup pri zavádzaní segmentácie
Segmentácia sa nezavádza jedným zásahom cez víkend – firma, ktorá to skúsi takto, si väčšinou rozbije fungujúce procesy skôr, než zvýši bezpečnosť. Osvedčený postup má štyri fázy.
1. Mapovanie tokov dát
Skôr než sa čokoľvek rozdelí, treba presne vedieť, čo s čím reálne komunikuje. Toto je časovo najnáročnejšia, ale najdôležitejšia fáza – väčšina neúspešných segmentačných projektov padá práve tu, pretože firmy podcenia, koľko „skrytých" závislostí existuje (napríklad účtovný systém, ktorý raz za mesiac pristupuje na server tretej strany, alebo tlačiareň, ktorá komunikuje s cloudovou správou).
V praxi to znamená:
- Inventarizácia všetkých zariadení v sieti (pracovné stanice, servery, tlačiarne, kamery, IoT, sieťové prvky).
- Monitorovanie sieťovej komunikácie počas dostatočne dlhého obdobia (typicky 2–4 týždne), aby sa zachytili aj periodické toky (mesačné zálohy, kvartálne reporty).
- Nástroje ako NetFlow/sFlow analýza, Wireshark pri menších sieťach, alebo pokročilejšie nástroje na network discovery pri väčších infrastruktúrach.
- Identifikácia kritických aktív – kde sú citlivé dáta, doménové kontroléry, produkčné systémy – a kto/čo k nim reálne potrebuje prístup.
Výstupom tejto fázy by mala byť jednoduchá mapa: „zariadenie/skupina A komunikuje so zariadením/skupinou B na porte X, z dôvodu Y."
2. Definícia zón
Na základe mapy tokov sa navrhnú logické zóny podľa funkcie a citlivosti, nie podľa organizačnej štruktúry firmy. Typické rozdelenie:
- Zóna pracovných staníc – notebooky a počítače zamestnancov.
- Zóna serverov/dát – databázy, súborové servery, aplikačné servery.
- Zóna riadenia identity – doménové kontroléry, Active Directory, DNS.
- Zóna periférií a IoT – tlačiarne, kamery, prístupové systémy, smart zariadenia.
- Hosťovská zóna – Wi-Fi pre návštevy, bez prístupu k vnútornej sieti.
- DMZ (demilitarizovaná zóna) – verejne dostupné služby (webový server, e-mailová brána), oddelené od vnútornej siete.
- OT/produkčná zóna (ak relevantné) – výrobné linky, SCADA systémy, úplne izolované od bežnej IT siete.
Pre každú zónu sa následne definuje presné pravidlo: kto smie komunikovať s kým, na akom porte a akým smerom. Základný princíp je „default deny" – všetko je zakázané, pokiaľ nie je explicitne povolené, nie naopak.
Otvorené a zatvorené porty: druhá vrstva obrany
Segmentácia siete rozhoduje o tom, ktoré zóny môžu medzi sebou komunikovať. Riadenie portov rozhoduje o tom, akým spôsobom – je to práve táto vrstva, ktorá dokáže zastaviť útočníka aj vo chvíli, keď sa mu podarí prekonať hranicu medzi zónami.
Prečo je to dôležité. Každá služba bežiaca na zariadení – súborový server, databáza, vzdialená správa – komunikuje cez konkrétny port. Ak je port otvorený bez obmedzenia, znamená to, že ktokoľvek v danom sieťovom segmente sa k tejto službe môže pripojiť, bez ohľadu na to, či to reálne potrebuje.
Ransomvér a útočníci pri lateral movement cielia práve na takéto zbytočne otvorené porty. Typický príklad: port 445 (SMB), ktorý bol vstupnou bránou pre EternalBlue exploit používaný pri WannaCry aj NotPetya. Ďalšie často zneužívané porty:
- 3389 (RDP) – vzdialená plocha; ak je otvorená smerom z internetu alebo voľne v rámci celej vnútornej siete, je to jeden z najčastejších vstupných bodov ransomvérových skupín.
- 445 (SMB) – zdieľanie súborov; historicky najviac zneužívaný protokol na lateral movement.
- 22 (SSH) – vzdialená správa serverov; problém nastáva, ak je prístupná z celej siete a nie len z vyhradených administrátorských staníc.
- 23 (Telnet) – nezabezpečený, nešifrovaný protokol; už dnes by nemal byť aktívny takmer nikde, napriek tomu sa stále nájde na starších IoT a sieťových zariadeniach.
- 135, 139 (RPC/NetBIOS) – často zneužívané pri technikách ako Pass-the-Hash.
Princíp „default deny" na úrovni portov. Rovnaký princíp, ktorý platí pre zóny, platí aj tu: všetko je zatvorené, pokiaľ nie je explicitne potrebné a povolené. V praxi to znamená:
- Na firewalle medzi zónami povoliť len konkrétne porty potrebné pre konkrétnu, zdokumentovanú komunikáciu (napríklad port 443 medzi zónou pracovných staníc a webovým serverom v DMZ), nie celý rozsah portov „pre istotu".
- Administratívne porty (RDP, SSH) obmedziť len na komunikáciu z vyhradenej administrátorskej stanice alebo VPN, nikdy nie voľne z celej vnútornej siete.
- Na serveroch a koncových zariadeniach vypnúť/zatvoriť všetky porty a služby, ktoré sa reálne nepoužívajú – každý bežiaci nepoužívaný port je zbytočná príležitosť pre útočníka.
- Pravidelne skenovať vlastnú sieť (napríklad nástrojmi ako Nmap) z pohľadu útočníka – zistiť, čo je v skutočnosti vidieť a dostupné, nie čo si firma myslí, že je nakonfigurované.
Prepojenie so segmentáciou. Segmentácia bez riadenia portov je ako zamknúť dvere do budovy, ale nechať otvorené všetky dvere v jednotlivých kanceláriách. Útočník, ktorý sa dostane do jednej zóny, síce nemôže voľne prechádzať medzi zónami, ale v rámci tej istej zóny môže stále využiť otvorený port 445 alebo 3389 na to, aby sa dostal na ďalšie zariadenie. Práve kombinácia „správne definované zóny" + „len nevyhnutné porty medzi nimi a v rámci nich" je to, čo reálne obmedzí dosah útoku na jedno alebo pár zariadení – nie na celú firmu.
3. Postupné nasadenie
Segmentácia sa nasadzuje po jednotlivých zónach, nikdy naraz. Odporúčaný postup:
- Začať zónami s najnižším rizikom narušenia prevádzky – typicky hosťovská Wi-Fi a IoT/periférie, kde chyba v pravidlách nespôsobí výpadok kritických systémov.
- Nasadiť VLAN a firewall pravidlá pre danú zónu, monitorovať v „log-only" alebo „permisívnom" režime – teda sledovať, či by pravidlo niečo zablokovalo, bez toho, aby to reálne blokovalo.
- Po overení, že pravidlá nezachytávajú legitímnu komunikáciu, prepnúť do plne vynucujúceho režimu (enforce).
- Postupovať k citlivejším zónam (servery, identity) až po overení predchádzajúcich krokov.
- Kritické/OT zostavy segmentovať ako posledné a s najväčšou opatrnosťou, ideálne mimo produkčných hodín a s pripraveným rollback plánom.
4. Testovanie
Segmentácia sa nekončí nasadením. Treba overiť, že skutočne robí to, čo má:
- Funkčné testovanie – overiť, že legitímne procesy (zálohy, aktualizácie, prístup zamestnancov k potrebným systémom) fungujú bez prerušenia.
- Penetračné testovanie / red team simulácia – simulovať kompromitáciu jedného zariadenia v jednej zóne a overiť, či sa útočník (alebo testovací tím) skutočne nedostane do ďalších zón.
- Overenie pravidiel firewallu – pravidelná revízia, že nevznikli „výnimky", ktoré postupom času rozšírili pôvodne úzko definované pravidlá (toto je bežný spôsob, ako sa segmentácia časom „rozpustí").
- Priebežné monitorovanie – segmentácia nie je jednorazový projekt; nové zariadenia, nové aplikácie a zmeny vo firme si vyžadujú pravidelnú aktualizáciu zón a pravidiel.
Prečo to firmy stále odkladajú
Segmentácia sa v praxi často odsúva, pretože:
- vyžaduje počiatočnú investíciu času do mapovania toho, čo s čím skutočne musí komunikovať,
- môže dočasne narušiť fungujúce, hoci neprehľadné procesy,
- je „nevidieť", na rozdiel od nového firewallu alebo antivírusu nejde o produkt, ktorý sa dá kúpiť a nainštalovať za deň.
Práve to je dôvod, prečo sa segmentácia tak často objavuje až v „poučeniach" po útoku – ako v prípade Norsk Hydro a Maersk a nie predtým.
Prečo neodkladať segmentáciu siete
Ransomvér sa dnes nespolieha na sofistikovaný malvér, ale na to, že mu to firemná sieť sama dovolí. Plochá sieť je pre útočníka najlepší možný darček – jeden úspešný phishingový e-mail sa môže zmeniť na kolaps celej organizácie. Segmentácia siete cez VLAN, spolu s dôsledným riadením otvorených a zatvorených portov, nie je zázračné riešenie, ktoré útok zastaví na začiatku, ale je to nástroj, ktorý rozhoduje o tom, či bude výsledkom incidentu jeden infikovaný počítač, alebo celá firma na kolenách.