Отвъд периметъра: как да се обърнем към слоевата сигурност

Вечерях във Вашингтон с бившия национален цар за киберсигурност Ричард Кларк, понастоящем председател и изпълнителен директор на Good Harbor Management Risk Management, когато той обясни, че добрата периметрова сигурност не е достатъчна, за да защити вашата мрежа. "Лошите момчета", обясни Кларк, "вече са във вашата мрежа."

Въпросът на Кларк беше, че кибератарите, особено спонсорираните от държавата актьори, имат способността да проникнат в повечето защитни мерки по периметъра, поне до известна степен. Това не означава, че сигурността на периметъра е ненужна. Това е важен аспект, който трябва да постигнем, както посочих в колоната от миналата седмица. Въпреки че е критичен, не е достатъчен. Трябват ви слоеве сигурност, така че, когато лошите момчета пробият периметъра, те все още не могат да направят нещо, което да ви навреди.

Слоевата сигурност е нещо, за което вероятно сте чували и преди, но за мнозина в IT, това все още е загадка. Как създавате слоеве на сигурност? Как решавате колко слоя се нуждаете? Какво трябва да защитават слоевете? Може ли да има твърде много слоеве?

Отговорът ще зависи от вашата мрежа, естеството на вашия бизнес и нивото на риск. Но е важно да запомните, че вашето ниво на риск може да бъде повлияно от вашите бизнес партньори. Така че, ако сте доставчик или изпълнител, например, вашето ниво на риск ще бъде същото като тяхното, защото тези лоши момчета ще се опитат да ви използват като път към вашите бизнес партньори.

Слоевете се основават на данните, които трябва да защитите. Това означава, че трябва да сте сигурни, че вашите данни са запазени, а също така трябва да сте сигурни, че не могат да бъдат взети от вас. И, разбира се, трябва да сте сигурни, че вашата мрежа е защитена от вреда, така че бизнесът ви да не бъде засегнат.

Запазване на вашите данни

Запазването на данни е първият критичен слой. Това изисква да се уверите, че копие на важните ви данни е в сигурно хранилище, където е недостъпно за хакери или други, включително недоволни служители. За повечето компании подобни архиви трябва да съществуват в центъра за данни, където можете да стигнете до тях лесно, когато е необходимо, а също и в облака, където подправянето е много по-трудно. Има редица публични облачни услуги, които ще обработват архивиране, включително Amazon Web Services (AWS), Google Cloud и IBM Cloud, както и специализирани резервни услуги като Carbonite, които наскоро придобиха своя конкурент Mozy.

След това тези резервни копия могат да бъдат архивирани до географски различни места, което помага да се гарантира, че няма да бъдат компрометирани при едно бедствие. Обикновено целият процес на архивиране може да бъде автоматизиран, така че след като всичко е настроено, единственото нещо, което трябва да направите, е да потвърдите целостта на своите архиви, ако е необходимо.

След това има защита на данните, което означава, че трябва да бъде недостъпна и неизползваема, ако някой я намери. За да направите данните си недостъпни, трябва да сегментирате мрежата си, така че получаването на достъп до една част от мрежата не означава, че можете да достигнете до всичко. Например, ако Target е сегментирал мрежата си, когато е бил нарушен през системата си HVAC през 2013 г., тогава хакерите не са могли да имат достъп до други данни.

Сегментацията на мрежата изисква рутери, които по подразбиране отказват достъп и позволяват мрежови връзки само от конкретни мрежови възли, които маршрутизаторите филтрират, като използват своя MAC (Access Access Control) или IP адреси. Вътрешните защитни стени също могат да изпълняват тази функция и могат да бъдат по-гъвкави при сложни приложения.

Пренебрегването на криптирането е голяма грешка

В допълнение към сегментацията, вашите данни също трябва да бъдат криптирани, както при прехвърлянето им по мрежата, така и по време на тяхното съхранение. Шифроването е лесно осъществимо, тъй като се извършва по подразбиране в безжичен и облачен софтуер за достъп, а всички съвременни операционни системи (ОС) осигуряват криптиране като стандартна услуга. И все пак, провалът на криптиране на критични данни е може би най-голямата причина за загуба на данни при последните нарушения.

Причините, поради които тези данни не са кодирани, въпреки законовите изисквания в много случаи да се направят, могат да бъдат обобщени с четири думи: мързел, некомпетентност, невежество и глупост. Просто няма извинение за неуспех да шифровате вашите данни.

И накрая, има защита на мрежата. Наред с защитата на вашите данни, вие също трябва да гарантирате, че вашата мрежа не се използва като платформа за стартиране на атаки и трябва да гарантирате, че мрежовите ви устройства не се използват срещу вас. Това е особено проблем с мрежите, които включват машинни контролери във вашия склад или фабрика, и това е проблем с вашите устройства на Интернет на нещата (IoT).

• Не саботирайте собствената си сигурност, обучете своите потребители Не саботирайте собствената си сигурност, обучете своите потребители
• Започнете да обезопасявате мрежата си от потребителски заплахи от IoT Започнете да обезопасявате мрежата си от потребителски заплахи от IoT
• Намиране и фиксиране на сигурността по вашия мрежов периметър Намиране и фиксиране на сигурността по вашия мрежов периметър

Това е основен проблем, тъй като толкова много мрежови устройства имат малка или никаква сигурност. Следователно е сравнително лесно да ги използвате като платформа за стартиране на атака за отказ на услуга (DoS атака) или за отнемане на данните им като начин за извършване на наблюдение върху операциите на вашата компания. Те могат да се използват и като база от операции срещу вашата мрежа. Тъй като не можете да елиминирате тези устройства, най-доброто, което можете да направите, е да ги поставите в тяхната собствена мрежа, да ги защитите максимално и след това не им позволявайте да се свързват директно с вашата вътрешна мрежа.

Тук сме обсъдили няколко слоя и в някои случаи вашата мрежа може да изисква повече. Но е важно да запомните, че всеки слой изисква управление и че защитата, необходима за всеки слой, трябва да съществува в мрежа с други слоеве за сигурност. Това означава, че е важно да имате персонал, който да управлява всеки слой и сигурността във всеки слой да не влияе неблагоприятно върху сигурността в друг.

Важно е също да избягвате решението на деня, което означава еднократна сигурност за борба с конкретна заплаха. Лесно е да се всмукнеш в нещо като охрана на мол и да свършиш с неуправляема каша. Вместо това изберете широк подход, при който заплахата за деня няма да изисква още един слой.