Rozpoczynamy przygodę z Cisco Umbrella.

Będzie to seria materiałów na temat kolejnego elementu Security z bogatego portfolio firmy Cisco. W tym i kolejnych materiałach opiszemy to rozwiązanie.

  • Co to jest?
  • Do czego służy?
  • Czy jest mi to potrzebne?
  • Jak wygląda konfiguracja?
  • Jak jest licencjonowana i którą wersję wybrać?

W tym artykule postaramy się opisać ogólne założenia rozwiązania Cisco Umbrella. Najpierw zarysuje obecne problemy, z którymi mierzymy się w tej chwili, które nierozerwalnie łączą się z głównym tematem, co mam nadzieję dostrzeżecie po przeczytaniu całości. W kolejnych będziemy już bardziej szczegółowo omawiać temat samej Umbrelli.

 

Rosnąca ilość zagrożeń w czasach COVID-19 i pracy zdalnej.

Ilość ataków cybernetycznych stale rośnie. To fakt poparty twardymi danymi, liczbami. Co gorsze, ataki te nasiliły się w ostatnim czasie, kiedy wzrosły wymagania dotyczące pracy zdalnej. Cyberprzestępcy również zauważyli, że rosnąca ilość urządzeń poza firmowymi zabezpieczeniami jest okazją do wykradania danych, blokowania ich i szybkiego zarobku.

Praca zdalna w obecnych czasach staje się coraz popularniejsza, od marca 2020 była to dla większości sytuacja wymuszona okolicznościami związanymi z COVID-19. Jednak coraz częściej pracodawcy i pracownicy przekonują się, że dla obu stron taka forma zatrudnienia ma tak dużo zalet, że w przyszłości już nie planują powrotu do normalnej formy zatrudnienia w biurze. Pracując zdalnie, łączymy się z systemami firmowymi, służbowymi bazami danych czy pocztą, korzystając z prywatnej sieci albo komputera, które są zazwyczaj słabiej zabezpieczone. Jednak nawet gdy używamy w domu firmowego sprzętu i łącza, to także zwiększamy ryzyko ataku, ponieważ równocześnie z pracą będziemy zapewne załatwiać sprawy prywatne, wchodzić na pocztę, media społecznościowe czy chociażby czytać wiadomości w sieci.

W raporcie „Cybercrime: Covid-19 Impact”, opracowanym przez Interpol, wyraźnie podkreślono, że pandemia koronawirusa ma głęboki wpływ na krajobraz cyberzagrożeń. „Połączenie światowego kryzysu zdrowotnego z gwałtownym wzrostem działań cyberprzestępczych związanych z Covid-19 stanowi istotne obciążenie dla organów ścigania na całym świecie” – czytamy w raporcie. Covid-19 przyczynił się także do zmiany formy pracy w wielu placówkach. Zdaniem Interpolu to kolejna „zachęta” dla hakerów. Wynika to z faktu nagłego i koniecznego przejścia na pracę zdalną. W związku z tym firmy, instytucje oraz inne organizacje zostały zmuszone do szybkiego wdrażania systemów, sieci i aplikacji, które to umożliwiły. W rezultacie ich jakoś cyberzabezpieczeń nie mogła spełniać najwyższych standardów, co przyczyniało się do powstawania luk i podatności, które sprawnie wykorzystywali hakerzy. Do czego? Głównie do kampanii nastawionych na pozyskiwanie środków finansowych, kradzież danych czy powodowanie zakłóceń.

Cyberprzestępcy nieustannie rozwijają swoje zdolności i sprawnie wykorzystują ludzki strach związany z niestabilną sytuacją społeczną i gospodarczą, co jest następstwem pandemii koronawirusa. Skalę zagrożenia potęguje większa zależność od łączności i infrastruktury cyfrowej ze względu na konieczność przejścia w tryb pracy zdalnej. To wszystko jedynie zachęca hakerów do prowadzenia złośliwych operacji (źródło).

„Ataki ukierunkowane na infrastrukturę krytyczną i przemysłowe systemy sterowania wzrosły 20-krotnie w 2019 roku i ponownie wzrosły w tym roku podczas przymusowej izolacji spowodowanej przez pandemię SARS-CoV-2. Hakerzy starają się wykorzystywać luki w zabezpieczeniach pracujących zdalnie” – wskazuje Aviv Abramovich, szef działu zarządzania usługami bezpieczeństwa w Check Point (źródło).

 

Cisco Umbrella (OpenDNS).

Jak już zdążyłem zdradzić jest to jeden z elementów bezpieczeństwa sieci. Opiera się na rozwiązaniu OpenDNS. Tutaj wielu z Was zapaliła się lampka, „gdzieś już o tym słyszałem”. Tak, macie rację, jest to dobrze znany publiczny DNS, ale co to ma wspólnego z bezpieczeństwem? Firma Cisco 27 sierpnia 2015 kupiła OpenDNS (źródło) wraz z ogromną bazą danych domenowych, z zamiarem wykorzystania jej do ochrony użytkowników Internetu. Dziennie do serwerów OpenDNS wykonywanych jest 100 miliardów zapytań od 85 milionów użytkowników (źródło). Jak myślicie, czy tak ogromną wiedzę można spożytkować na analizę bezpieczeństwa w sieci? Niezaprzeczalnie, tak.

Dane te są analizowane przez grupę TALOS (źródło). Zasila ona w czasie rzeczywistym, bazę wiedzy o zagrożeniach wykorzystywaną przez Umbrellę. To pozwala na szybką identyfikację wzorców szkodliwych zachowań, wykrywanie anomalii ruchu sieciowego i tworzenie modeli umożliwiających automatyczne określenie jak wygląda infrastruktura przygotowywana przez cyberprzestępców w celu wykonania kolejnych ataków. Cisco Talos to jedna z największych na świecie organizacji threat intelligence, zatrudniająca ponad 300 specjalistów, którzy codziennie analizują ogromne ilości danych.

Co to jest DNS?

Skoro Cisco Umbrella jest publicznym serwerem OpenDNS warto byłoby przypomnieć co to takiego ten DNS. Domain Name System, co w polskim tłumaczeniu oznacza system nazw domenowych. Bez wątpienia jest on filarem i bez niego normalna funkcjonalność Internetu, którą znamy przestałaby istnieć. Jest on stworzony z systemu serwerów nazw i protokołów komunikacyjnych, który obsługuje złożoną i rozproszoną po całym świecie bazę adresów sieciowych. Brzmi to poważnie i skomplikowanie? Mówiąc w prosty sposób, pozwala on nam korzystać z przyjaznych nazw domen, zamiast adresów IP. Dlaczego to ważne? Większość osób ma problem z zapamiętaniem ciągów liczb. Aby ułatwić nam korzystanie z Internetu, wymyślono system DNS, który zrozumiałe dla nas nazwy, zamienia na ciągi liczb (w tym wypadku adresy IP) zrozumiałe dla komputerów. Używamy łatwe do zapamiętania nazwy, zamiast ciągu liczb.

 

Co wspólnego z bezpieczeństwem ma DNS?

Najczęściej malware w fazie inicjacji nie zawiera kompletnego kodu na komputerze. Jego dalszy kod pobierany jest z serwerów command&control później. Możliwości stosowania skryptów w powershell sprawiają, że są one wciąż najrzadziej wykrywane przez sygnaturowe systemy bezpieczeństwa, a cyberprzestępcy dalej mogą czuć się bezkarni. W większości wykorzystują one połączenie komputera z Internetem i przez kanał HTTP lub szyfrowany HTTPS są w stanie pobrać kod/instrukcje, który później wykonają na komputerze ofiary, a następnie będą mogły zaszyć się na stałe w systemie, aby po restarcie nie zniknąć z pamięci. W ostatnim czasie zauważyliśmy, że twórcy malware starają się być jeszcze bardziej niezauważeni przez rozwiązania monitorujące ruch Internetowy do komputerów i zaczęli do komunikacji wykorzystywać usługę DNS.

Dlaczego cyberprzestępcy wybrali usługę DNS do komunikacji malware? Odpowiedź jest banalnie prosta. W większości firm nie jest ona odpowiednio zabezpieczona, a tym bardziej w obszarze monitorowania od strony zapytań jakie kierowane są przez komputery do niej (źródło).

 

Jak to działa, czyli jak w praktyce Cisco Umbrella nas chroni?

To co robi Umbrella(OpenDNS) można zawrzeć w jednym zdaniu, stosuje inteligencję w procesie DNS opisanym powyżej.

Kiedy mamy działającą Umbrellę w swoim środowisku i wysyłamy żądanie DNS, nie otrzymujemy w odpowiedzi tylko znaleziony adres IP. Zanim adres ten zostanie zwrócony następuje proces „inteligencji”, w którym sprawdzone zostanie żądanie jak i to co mamy otrzymać w odpowiedzi.

Ma to na celu odpowiedź na takie pytania:

  • Czy to jest znany adres IP?
  • Czy jest on ważny?
  • Czy domena nie została wygenerowana w ciągu ostatnich minut?
  • Czy kieruje nas w miejsce geograficzne, do którego powinna odwoływać się domena, o którą pytamy?
  • Czy domena jest rozpoznana jako źródło złośliwego oprogramowania lub innej złośliwej zawartości?

Jeśli Umbrella ustali, że miejsce docelowe, którego szukamy, nie jest w rzeczywistości miejscem, do którego chcemy się udać lub nie leży w naszym najlepszym interesie aby je odwiedzać (lub jest blokowane przez filtry wprowadzone przez  naszą organizację), nie pozwala na wejście. Proces się powtarza dla każdego zapytania, i nie powoduje on zauważalnych dla użytkownika opóźnień. Umbrella wykonuje cała operację w przeciągu milisekund, więc możemy nawet nie zauważyć, że nas chroni dopóki nie otrzymamy komunikatu, że z jakiegoś powodu zablokowano nam dostęp do określonej witryny.

Kilka przykładów cyberataków, które Umbrella może pomóc udaremnić i jak to robi:

Phishing – jeśli otrzymamy wiadomość e-mail z phishingiem zawierającą złośliwy link i klikniemy w niego przez przypadek lub świadomie ponieważ treść jest na tyle przekonująca, że nie spodziewamy się oszustwa, Umbrella może automatycznie zablokować udanie się do miejsca docelowego, jeżeli uzna, że jest to fałszywa lub złośliwa witryna, w oknie przeglądarki pojawi się po prostu komunikat Umbrelli z informacją, że strona jest niebezpieczna.

Przykładem tego może być link do strony banku, która wygląda na oryginalną a w rzeczywistości jest jego kopią, która próbuje przechwycić nasze dane.

Drive by attacks – ataki te są zwykle przeprowadzane w połączeniu z kampaniami złośliwych reklam, które mają na celu załadowanie złośliwego oprogramowania na komputer bez wiedzy użytkownika. Na przykład możemy znajdować się na stronie z dobrą reputacją, w której wyświetlane są reklamy i klikniemy przez przypadek w jedną z nich. Kiedy ta złośliwa reklama będzie chciała zacząć ładować złośliwe oprogramowanie na nasz komputer Umbrella może to zauważyć i udaremnić tą próbę, zamiast zawartości z kodem atakującego zwraca pole bez żadnej zawartości.

Umbrella może pomóc w ochronie przed bot traffic, command and control traffic oraz innymi zagrożeniami. Ponadto może zapewnić filtrowanie treści według kategorii, których nie chcemy aby nasi pracownicy przeglądali podczas korzystania z urządzeń firmowych (treści dla dorosłych, hazadr, broń, etc).

Jak Umbrella (OpenDNS) chroni moją firmę?

Teraz powoli zbliżamy się do odpowiedzi na pytanie a co to ma wszystko wspólnego z Cisco Umbrella i bezpieczeństwem?

Praca zdalna, poza firmową infrastrukturą bezpieczeństwa, coraz więcej zagrożeń w związku z narastającą ilością ataków na pracowników zdalnych, coraz częściej wykorzystywanie do ataków niechronionej w żaden sposób usługi DNS. To wszystko czyni nas bardziej podatnymi na ataki.

Przykład jak Cisco Umbrella poradziła sobie w 2017 roku z atakiem wannacry. Klienci korzystający z tego rozwiązania byli chronieni już kilkanaście minut po pierwszym komunikacie o pojawieniu się nowego zagrożenia (źródło).

 

Każda firma powinna mieć ochronę opartą na DNS-based Protection.

Podejście polegające na wyeliminowaniu prób ataku zanim dotrą one do naszego środowiska, jest jak zapobieganie chorobie. Oprogramowanie antywirusowe jest bardzo dobre w tym co robi, to znaczy wykrywa złośliwe oprogramowanie, które znajduje się w naszym środowisku, często mówimy, że leczy zainfekowany komputer. Należy pamiętać, że lepiej zapobiegać, niż leczyć. Każdy element bezpieczeństwa spełnia swoją rolę, jednak czym tych elementów jest więcej, mamy lepszą i pełniejszą ochronę. Nie powinniśmy stosować jednego, czy zastępować jednego drugim ale raczej stosować je wspólnie aby zwiększać ten poziom. W terminologii cyberbezpieczeństwa mechanizm ten znany jest jako: Obrona w głąb (ang. defence in depth) − taktyka projektowania zabezpieczeń dla systemów informatycznych. Polega ona na wprowadzeniu wielu, niezależnych warstw zabezpieczeń. Taka nadmiarowość znacząco podnosi poziom ochrony ograniczając skutki błędów i ataków. Jednym z elementów tej nadmiarowości powinna być ochrona DNS-u, polecam artykuł Patty Luxon gdzie wymienia i opisuje elementy Defence in Depth (źródło).

Wdrożenie w 3 krokach.

Podstawowa konfiguracja i wdrożenie wymaga jedynie wskazanie adresów OpenDNS jako tych, które będziemy używać.

Krok 1 – lokalizacja lokalnych serwerów DNS

Po pierwsze musimy odnaleźć urządzenia w naszej sieci, które odpowiadają za publiczny DNS w naszej sieci lokalnej, zwykle są to serwery lokalne DNS lub router.

Krok 2 – konfiguracja lokalnych serwerów DNS

Po drugie w konfiguracji routera lub serwera DNS znalezionego w punkcie pierwszym podajemy jako publiczne serwery DNS adresy OpenDNS czyli 208.67.222.222 i 208.67.220.220.

Krok 3 – zdefiniowane naszej chronionej sieci i urządzeń

Po trzecie, otrzymując dostęp do panelu administracyjnego będziemy musieli skonfigurować swoją tożsamość, tak aby umbrella wiedziała, jak rozpoznawać nasze zapytania. Możemy podać adres lub zakres adresów publicznych, których używamy w naszej sieci firmowej.

Co jeżeli będziemy chcieli używać rozwiązania poza firmą? Nic prostszego, w panelu dostępny będzie do pobrania tzw. roaming client, który pobieramy i instalujemy na chronionym urządzeniu poza firmową siecią. W aplikacji jest zaszyte id naszej organizacji, dzięki czemu umbrella będzie w stanie nas zidentyfikować.

Szczegóły konfiguracji pokażemy w kolejnych częściach już wkrótce, w tym integrację z Active Directory Windows Server.

Materiały Video:

 

 

Zapraszamy do darmowego testowania

Dla klientów dostępna jest 21 dniowa wersja trial, która umożliwia przetestowanie rozwiązania z pełną funkcjonalnością, dostępem do panelu administracyjnego, gdzie będzie można przeanalizować wyniki.

Zapraszamy do testów

Formularz na bezpłatny test Umbrella

Pozdrawiamy,

Zespół NetProf

Wersje:

  • 1.1 2022.03.02 – dodanie linków na YT
  • 1.0 2020.12.15 – powstanie dokumentu