Jak się zabezpieczyć przed phishingiem dzięki Cisco Umbrella?
Phishing to technika cyberataków, której celem jest wyłudzenie poufnych informacji, takich jak hasła, dane logowania lub dane finansowe, poprzez podszywanie się pod zaufane źródło lub instytucję.
Typowe przykłady phishingu to fałszywe e-maile, które wyglądają jak wiadomości od banków, firm lub usługodawców, które proszą o potwierdzenie danych lub wykonanie płatności. Mogą również zawierać linki do fałszywych stron internetowych, które wyglądają tak samo jak prawdziwe strony, ale służą do kradzieży danych użytkowników.
Phishing jest niebezpieczny dla firm i biznesów, ponieważ może prowadzić do wycieku poufnych informacji, a tym samym do utraty reputacji i zaufania klientów. Może także prowadzić do utraty pieniędzy, jeśli cyberprzestępcy uzyskają dostęp do kont bankowych lub innych źródeł finansowania firmy.
Firmy powinny zwracać uwagę na przestrzeganie dobrych praktyk bezpieczeństwa, takich jak szkolenie pracowników w zakresie rozpoznawania phishingu, stosowanie silnych haseł, wielopoziomowych autoryzacji i solidnych zpór (firewalli). Ponieważ łatwiej jest zapobiegać niż leczyć, firmy powinny korzystać z rozwiązań, które blokują niebezpieczne strony i nie pozwalają hakerom wysłać fałszywych wiadomości, a tym samym narazić firmę na utratę danych.
DNS, czyli Domain Name System to system, którego zadaniem jest tłumaczenie adresów URL stron internetowych na język zrozumiały dla komputerów. Kiedy chronimy DNS, nie pozwalamy niepożądanym domenom na przekazywanie informacji do naszych użytkowników. W ten sposób możemy chronić ich przed atakami typu phishing lub ransomware. Gdy dodamy do tego coraz większy poziom cyfryzacji przedsiębiorstw, okaże się, że DNS jest kolejną cegiełką cyber-muru, który tworzą między innymi firewall w data center lub na styku z Internetem czy rozwiązania antywirus i anty-malware instalowane na urządzeniach końcowych.
Wspomniane już firewalle czy antywirusy, choć stanowią solidny fundament bezpieczeństwa, nie obejmują wszystkich potencjalnych zagrożeń. Jednym z nich jest np. złośliwe oprogramowanie wgrane na pendrive, który podłączamy do firmowego komputera.
Aby atak został przeprowadzony, takie oprogramowanie musi połączyć się ze swoimi serwerami, do czego zazwyczaj używa zapytań DNS.
Ochrona DNS świetnie się sprawdza też w odniesieniu do phishingu (fałszywych linków).Tu warto wspomnieć, że atakujący coraz lepiej potrafią podszywać się pod strony, do których chcą uzyskać dostęp. Wystarczy, że wyślą fałszywy mail do zmęczonej po całym dniu pracy osoby i zachęcą do logowania na stronę banku czy do mediów społecznościowych.
System DNS security weryfikuje, czy link przychodzący w wiadomości email kieruje do zaufanej, czy podejrzanej strony www. W tym drugim przypadku, blokuje zapytanie DNS do takiego linku.
Ale DNS ma swoje zastosowanie i w pracy, i w codziennym korzystaniu z Internetu, kiedy nawet możemy nie zdawać sobie sprawy z zagrożenia dla naszych danych.
Gdy dodamy do tego coraz większy poziom cyfryzacji przedsiębiorstw, okaże się, że DNS jest kolejną cegiełką cyber-muru, który tworzą między innymi firewall w data center lub na styku z Internetem czy rozwiązania antywirus i anty-malware instalowane na urządzeniach końcowych.
Jan Ćwierk, Security Engineer, Ingram Micro
Mimo, że służbowe laptopy, a razem z nimi dane firmowe, nie są zgrupowane w jednym miejscu, a coraz częściej znajdują się w środowisku rozproszonym, nadal możemy je chronić. Jak to się dzieje w przypadku Cisco Umbrella?
W drugim scenariuszu użytkownik nie musi się już łączyć z VPN i kierować ruchu przez infrastrukturę organizacji.
Tak, jest to możliwe. Najlepszym sposobem jest integracja z Active Directory, co wymaga zainstalowania dodatkowego wirtualnego modułu on-premise i integracji Active Directory z tym modułem.
Wymagania techniczne spełnia każdy ze smartfonów, których używamy na co dzień.
Dodatkowo możemy połączyć Roaming Client z Active Directory, a dzięki temu widzieć informacje o urządzeniu, które wysyła żądania DNS od zalogowanego użytkownika oraz informację nt. wewnętrznego ID. Jest to pokaźny zestaw informacji o użytkowniku i jego ruchach.
Umbrella to prężnie rozwijający się produkt, regularnie uzupełniany o nowe funkcjonalności, Jedną z ciekawszych nowości jest Cloud Access Security Broker (CASB), który chroni użytkowników przy połączeniach z aplikacjami chmurowymi.
CASB i Secure Internet Gateway są dostępne w najwyższej możliwej opcji licencyjnej Umbrelli, co również pozwala na uzyskanie proxy. Możemy przekierowywać ruch przez serwery Umbrelli, zaimplementować rozszywanie SSL i zaglądać w ruch szyfrowany, a także korzystać z funkcjonalności cloudowego firewalla.
Jest to idealna opcja dla klienta, który ma wiele lokalizacji, czyli jego środowisko pracy jest rozproszone. Dzięki ISG klient nie musi kupować osobnego firewalla do każdej lokalizacji. Zyskuje dzięki temu ogromna wygodę i bezpieczeństwo. Jest to gotowy produkt, który bardzo łatwo skalować i którym bardzo łatwo można zarządzać.
Trzeba wziąć pod uwagę kwestie licencyjne – ilu pracowników potrzebuje tego oprogramowania? (ilu użytkowników będzie go używać?) – to decyduje o ilości licencji, które trzeba kupić. Umbrella jest licencjonowana na użytkownika, a nie firmę (prócz wyjątków licencjonowania na router czy Access Point).
Czego tak naprawdę potrzebujemy? Jaką funkcjonalność? Umbrella oferuje trzy plany subskrypcyjne:
Plany różnią się niektórymi funkcjonalnościami i stopniem ochrony.
Podstawowa opcja to też podstawowa ochrona przed zagrożeniami wynikającymi z domen, która umożliwia tworzenie polityki bezpieczeństwa, integrację z Active Directory i daje możliwość korzystania z Roaming Client.
Wyższy poziom ochrony, czyli licencja Advanced, to dodatkowa możliwość selective proxy – czyli proxy wykorzystywanego połowicznie. W tym rozwiązaniu ruch, którego Umbrella jeszcze nie zna przechodzi przez selective proxy, po czym Umbrella analizuje go i daje odpowiedź. Przykład? Jeśli mamy nową nieoznaczona domenę, Umbrella przepuści ruch na tę domenę przez proxy, przeanalizuje go i odpowie nam, czy wpuszcza użytkownika czy nie.
Dodatkową opcją w Advanced jest Umbrella Investigate, czyli dodatkowy panel, w którym możemy śledzić i analizować domenę pod kątem zagrożeń i jej historii oraz Risk Score, czyli liczby punktów bezpieczeństwa przydzielonych domenie.
Najwyższa opcja ochrony to licencja Secure Internet Gateway. Tu w pakiecie dostajemy proxy, Gatsby czy firewall internetowy as a Service – czyli pełen pakiet ochrony, który chroni już całościowo pod każdym kątem.
Rozwiązanie jest uniwersalne i nie ma przeciwwskazań do wdrożeń Umbrelli w organizacji dowolnego typu i rozmiaru. Również istniejące polityki bezpieczeństwa nie stanowią przeciwwskazania do używania Umbrelli, ponieważ jedyny ruch, który wysyłamy przez Umbrellę to zapytania DNS, które i tak byśmy z naszych komputerów wysłali. Program więc nie kłóci się z lokalnymi rozwiązaniami systemu.
Najlepiej przeprowadzić testy na własnej infrastrukturze, żeby sprawdzić jak produkt działa i czy spełnia nasze oczekiwania. Wdrożenie jest bardzo intuicyjne i, co ważne, nie koliduje z obecną infrastrukturą. Tutaj bardzo dobrze sprawdza się to na własnym systemie.
Standardowy czas trwania testu to 14 dni. Dostajemy wtedy dostęp do dashboardu, w którym możemy obserwować, co Umbrella wykrywa i reagować na to.
Jan Ćwierk, Security Engineer, Ingram Micro
Samo wdrożenie Cisco Umbrella przebiega łatwo i szybko. Wystarczy się zarejestrować, odpowiednio ustawić adresy DNS i… to wszystko. Jedyne czego potrzebujemy to połączenie z Internetem.
Pracownicy mogą się w ogóle nie zorientować, że nowe zabezpieczenie zostało wprowadzone, bo w ich systemach nic się nie zmieni. Dodatkowo możemy decydować, przed czym chcemy się chronić. Najczęściej bronimy się przed niepożądanymi stronami, phishingiem itp.
Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.
Artykuł został napisany na podstawie podcastu Próba Połączenia. O DNS security rozmawiali Marcin Biały z Grandmetic i Jan Ćwierk, który pracuje w Ingram Micro, a specjalizuje się we wdrożeniach i licencjonowaniu środowiska Cisco Umbrella. W swojej pracy wspiera partnerów w doborze rozwiązań i uaktualnia technologie pod kątem funkcjonalności u klientów.
Dodaj komentarz