Cuprins:
Video: Metoda figurativă - Probleme cu perimetru (Noiembrie 2024)
Mâncam la Washington, DC, cu fostul țar național de securitate cibernetică Richard Clarke, acum președinte și CEO al Good Harbor Security Risk Management, când mi-a explicat că securitatea perimetrală bună nu este suficientă pentru a vă proteja rețeaua. - Băieții răi, a explicat Clarke, sunt deja în rețeaua ta.
Securitatea stratificată este ceva despre care probabil ați auzit până acum, dar pentru mulți din IT, este încă un mister. Cum creezi straturi de securitate? Cum decideți câte straturi aveți nevoie? Ce ar trebui să protejeze straturile? Poate exista prea multe straturi?
Răspunsul va depinde de rețeaua dvs., de natura afacerii dvs. și de nivelul dvs. de risc. Dar este important să rețineți că nivelul dvs. de risc ar putea fi afectat de partenerii de afaceri. Așadar, dacă sunteți un furnizor sau un contractant, de exemplu, atunci nivelul dvs. de risc va fi același ca al lor, deoarece acești oameni răi vor încerca să vă folosească ca o cale către partenerii de afaceri.
Straturile se bazează pe datele pe care trebuie să le protejați. Aceasta înseamnă că trebuie să vă asigurați că datele dvs. sunt păstrate și trebuie să vă asigurați că nu pot fi preluate de la dvs. Și, desigur, trebuie să vă asigurați că rețeaua dvs. este protejată de daune, astfel încât afacerea dvs. să nu fie afectată.
Conservarea datelor dvs.
Conservarea datelor este primul strat critic. Acest lucru necesită să vă asigurați că o copie a datelor importante este într-un spațiu de stocare securizat, unde acestea sunt inaccesibile hackerilor sau altor persoane, inclusiv angajaților nemulțumiți. Pentru majoritatea companiilor, astfel de copii de rezervă ar trebui să existe în centrul de date, unde puteți ajunge la ele cu ușurință atunci când este nevoie, precum și în cloud, unde modificarea este mult mai dificilă. Există o serie de servicii cloud publice care vor gestiona backup-uri, inclusiv Amazon Web Services (AWS), Google Cloud și IBM Cloud, precum și servicii de backup dedicate precum Carbonite, care a achiziționat recent concurentul Mozy.
Aceste copii de rezervă pot fi apoi susținute în locații diverse din punct de vedere geografic, ceea ce ajută să se asigure că nu vor fi compromise într-un singur dezastru. De obicei, întregul proces de rezervă poate fi automatizat, astfel încât, după ce este configurat, singurul lucru pe care trebuie să-l faceți este să confirmați integritatea copiilor de siguranță, după cum este necesar.
Apoi există o protecție a datelor, ceea ce înseamnă că trebuie să fie inaccesibilă și inutilizabilă dacă o găsește cineva. Pentru ca datele dvs. să fie inaccesibile, trebuie să vă segmentați rețeaua astfel încât să obțineți acces la o parte a rețelei nu înseamnă că puteți ajunge la orice. De exemplu, dacă Target și-a segmentat rețeaua atunci când a fost încălcată prin sistemul său HVAC în 2013, atunci hackerii nu ar fi putut accesa alte date.
Segmentarea rețelei necesită routere care refuză accesul în mod implicit și permit doar conexiunile de rețea de la anumite noduri de rețea, pe care routerele le filtrează utilizând adresele lor de acces media (MAC Access Control) sau adresele IP. Firewall-urile interne pot îndeplini, de asemenea, această funcție și pot fi mai flexibile în aplicații complexe.
Cu privire la criptare este o greșeală mare
Pe lângă segmentare, datele dvs. trebuie de asemenea criptate, atât în timp ce sunt transferate în rețea, cât și în timp ce sunt stocate. Criptarea este ușor de realizat, deoarece este efectuată în mod implicit în software-ul de acces wireless și cloud și toate sistemele de operare moderne (sisteme de operare) oferă criptare ca un serviciu standard. Cu toate acestea, eșecul criptării datelor critice este poate cea mai mare cauză de pierdere a datelor în încălcările recente.
Motivele pentru care aceste date nu sunt criptate, în ciuda cerințelor legale în multe cazuri pentru a face acest lucru, pot fi rezumate în patru cuvinte: lenea, incompetența, ignoranța și prostia. Pur și simplu nu există nicio scuză pentru că nu puteți cripta datele.
În cele din urmă, există protecție de rețea. Pe lângă protejarea datelor, trebuie să vă asigurați că rețeaua dvs. nu este utilizată ca platformă pentru a lansa atacuri și trebuie să vă asigurați că dispozitivele dvs. de rețea nu sunt utilizate împotriva dvs. Aceasta este o problemă în special cu rețelele care includ controlere de mașini în depozitul sau fabrica și este o problemă cu dispozitivele IoT (Internet of Things).
- Nu vă sabotați propria securitate, antrenați-vă utilizatorii Nu vă sabotați propria securitate, instruiți-vă utilizatorii
- Începeți să vă securizați rețeaua împotriva amenințărilor IoT de gradul consumatorului
- Găsirea și remedierea securității în perimetrul rețelei Găsirea și remedierea securității în perimetrul rețelei
Aceasta este o problemă majoră, deoarece atât de multe dispozitive de rețea nu au nici o securitate proprie. Prin urmare, este destul de ușor să le folosești ca platformă pentru a lansa un atac de refuz de serviciu (atac DoS) sau pentru a sifona datele lor ca o modalitate de a supraveghea operațiunile companiei tale. De asemenea, pot fi utilizate ca bază de operații împotriva rețelei tale. Deoarece nu puteți elimina aceste dispozitive, cel mai bun lucru pe care îl puteți face este să le puneți pe propria rețea, să le protejați pe cât posibil și apoi să nu le lăsați să se conecteze direct la rețeaua dvs. internă.
Aici am discutat despre mai multe straturi și, în unele cazuri, rețeaua dvs. poate necesita mai multe. Dar este important să ne amintim că fiecare strat necesită management și că protecția necesară pentru fiecare strat trebuie să existe pe o rețea cu alte straturi de securitate. Acest lucru înseamnă că este esențial să ai personalul care să gestioneze fiecare strat și că securitatea din fiecare strat nu afectează în mod negativ securitatea în alt strat.
De asemenea, este important să evitați soluția zilei, adică securitatea unică pentru a lupta împotriva unei amenințări specifice. Este ușor să fii aspirat într-un fel de siguranță și să termini cu o mizerie de necuprins. În schimb, alegeți o abordare pe bază largă în care amenințarea zilei nu va necesita încă un strat.
