W ostatnim czasie mieliśmy okazję przeprowadzić skany bezpieczeństwa infrastruktury sieciowej dla dwóch różnych klientów. Doświadczenia te stały się doskonałym przykładem na to, jak różne podejścia do tego samego zadania mogą wpłynąć na jakość i wiarygodność wyników.
Głównym celem skanowania infrastruktury jest inwentaryzacja urządzeń dostępnych w sieciach wewnętrznych, analiza usług, które te urządzenia udostępniają, oraz identyfikacja powszechnie znanych luk w zabezpieczeniach lub błędów w konfiguracji. Aby jednak takie skany mogły przynieść wartościowe rezultaty, niezbędny jest odpowiedni dostęp do sieci wewnętrznych organizacji. I tu właśnie pojawiają się różne podejścia, które mogą znacząco wpłynąć na skuteczność całego procesu.
Testy przez połączenie VPN
Pierwszy z naszych klientów udostępnił nam jedynie połączenie VPN. Choć na pierwszy rzut oka wydaje się to rozsądnym rozwiązaniem, w praktyce okazało się mało efektywne. Dlaczego? Połączenie VPN, choć bezpieczne, z natury ogranicza dostęp do sieci wewnętrznych. W efekcie nasze skany nie były w stanie dokładnie przeanalizować wszystkich urządzeń i usług. Zamiast tego, w większości przypadków „sprawdzaliśmy” jedynie poprawność działania mechanizmów segmentacji sieci oraz skuteczność firewalli. To podejście, choć może wydawać się wygodne, nie pozwala na pełną inwentaryzację i analizę infrastruktury.
Udostępnienie dedykowanej maszyny do testów infrastruktury
Drugi klient postawił na bardziej zaawansowane rozwiązanie. W sieci wewnętrznej udostępnił nam maszynę wirtualną z kilkoma interfejsami sieciowymi – po jednym dla każdego z VLANów, które mieliśmy zbadać. Dzięki temu mieliśmy bezpośredni dostęp do wszystkich podsieci, co pozwoliło nam na dokładne przeanalizowanie każdego urządzenia i usługi. Co więcej, mogliśmy zainstalować własne narzędzia, co jeszcze bardziej zwiększyło efektywność skanów. W tym przypadku nie było żadnych ograniczeń związanych z ruchem sieciowym i byliśmy w stanie uzyskać pełny obraz infrastruktury.
Jak udostępnić infrastrukturę do testów?
Które podejście jest lepsze? Odpowiedź jest prosta: ta druga metoda jest zdecydowanie bardziej efektywna. Bezpośredni dostęp do sieci wewnętrznych zapewnia pełną widoczność infrastruktury, co jest kluczowe dla dokładnej inwentaryzacji i analizy bezpieczeństwa. No i pozwala na dostęp do sieci na podobnym poziomie, jaki będzie miał malware, który zainstaluje się na stacji roboczej pracownika firmy lub hacker, który przełamie zewnętrzne zabezpieczenia i przejmie jedną z wewnętrznych maszyn. W przypadku połączenia VPN, nawet jeśli jest ono dobrze skonfigurowane, zawsze istnieje ryzyko, że pewne elementy infrastruktury pozostaną niewidoczne lub niedostępne.
Podsumowanie
Dlatego, planując skany bezpieczeństwa, warto zadbać o to, by dostęp do sieci wewnętrznych był jak najbardziej bezpośredni i nieograniczony. Tylko wtedy można mieć pewność, że wyniki skanów będą wiarygodne i kompleksowe.