За пределами периметра: как решать вопросы многоуровневой безопасности

Я обедал в Вашингтоне, округ Колумбия, с бывшим царем национальной кибербезопасности Ричардом Кларком, ныне председателем и генеральным директором Good Harbor Security Risk Management, когда он объяснил, что хорошей защиты периметра недостаточно для защиты вашей сети. «Плохие парни, - объяснил Кларк, - уже в вашей сети».

По словам Кларка, кибератакеры, особенно спонсируемые государством актеры, способны проникать в большинство средств защиты периметра, по крайней мере, в некоторой степени. Это не означает, что охрана периметра не нужна. Это важный аспект для поддержки, как я указывал в колонке на прошлой неделе. Хотя это важно, этого недостаточно. Вам нужны уровни безопасности, чтобы, когда плохие парни прорывались по периметру, они все равно не могли сделать вам больно.

Многоуровневая безопасность - это то, о чем вы, наверное, слышали раньше, но для многих в ИТ это все еще загадка. Как вы создаете слои безопасности? Как вы решаете, сколько слоев вам нужно? Что должны защищать слои? Может ли быть слишком много слоев?

Ответ будет зависеть от вашей сети, характера вашего бизнеса и вашего уровня риска. Но важно помнить, что ваши деловые партнеры могут повлиять на ваш уровень риска. Так, если вы, например, поставщик или подрядчик, тогда ваш уровень риска будет таким же, как у них, потому что эти плохие парни попытаются использовать вас как путь к вашим деловым партнерам.

Слои основаны на данных, которые необходимо защитить. Это означает, что вам нужно убедиться, что ваши данные сохранены, и вам также нужно убедиться, что их нельзя забрать у вас. И, конечно же, вам нужно убедиться, что ваша сеть защищена от вреда, чтобы ваш бизнес не пострадал.

Сохранение ваших данных

Сохранение данных является первым критическим уровнем. Для этого необходимо убедиться, что копия ваших важных данных находится в безопасном хранилище, где она недоступна для хакеров или других лиц, включая недовольных сотрудников. Для большинства компаний такие резервные копии должны существовать в центре обработки данных, где вы можете легко получить к ним доступ, когда это необходимо, а также в облаке, где вмешательство гораздо сложнее. Существует ряд общедоступных облачных сервисов, которые будут обрабатывать резервные копии, включая Amazon Web Services (AWS), Google Cloud и IBM Cloud, а также специальные сервисы резервного копирования, такие как Carbonite, которые недавно приобрели своего конкурента Mozy.

Затем эти резервные копии могут быть скопированы в географически различных местах, что помогает гарантировать, что они не будут скомпрометированы в одной аварии. Обычно весь процесс резервного копирования можно автоматизировать, поэтому после его настройки единственное, что вам нужно сделать, это подтвердить целостность ваших резервных копий по мере необходимости.

Кроме того, существует защита данных, которая означает, что она должна быть недоступной и непригодной для использования, если кто-то ее обнаружит. Чтобы сделать ваши данные недоступными, вам нужно сегментировать свою сеть так, чтобы получение доступа к одной части сети не означало, что вы можете достичь всего. Например, если бы Target сегментировал свою сеть, когда она была взломана через систему HVAC в 2013 году, то хакеры не могли получить доступ к другим данным.

Для сегментации сети требуются маршрутизаторы, которые по умолчанию запрещают доступ и разрешают сетевые подключения только от определенных сетевых узлов, которые маршрутизаторы фильтруют, используя свои MAC-адреса или IP-адреса. Внутренние брандмауэры также могут выполнять эту функцию и могут быть более гибкими в сложных приложениях.

Пропуск шифрования - большая ошибка

В дополнение к сегментации ваши данные также должны быть зашифрованы как во время передачи по сети, так и во время хранения. Шифрование легко выполнить, потому что оно выполняется по умолчанию в программном обеспечении для беспроводного и облачного доступа, и все современные операционные системы (ОС) обеспечивают шифрование в качестве стандартного сервиса. Тем не менее, неспособность зашифровать критические данные, возможно, является единственной главной причиной потери данных в результате недавних нарушений.

Причины, по которым такие данные не шифруются, несмотря на то, что во многих случаях это требуется по закону, можно обобщить в четырех словах: лень, некомпетентность, невежество и глупость. Просто нет оправдания для того, чтобы не зашифровать ваши данные.

Наконец, есть защита сети. Наряду с защитой ваших данных, вы также должны убедиться, что ваша сеть не используется в качестве платформы для запуска атак, и вы должны убедиться, что ваши сетевые устройства не используются против вас. Это особенно относится к сетям, которые включают контроллеры компьютеров на вашем складе или фабрике, а также к вашим устройствам Интернета вещей (IoT).

• Не саботируйте свою собственную безопасность, обучайте своих пользователей Не саботируйте свою собственную безопасность, обучайте своих пользователей
• Начните защищать свою сеть от угроз IoT потребительского уровня Начните защищать свою сеть от угроз IoT потребительского уровня
• Поиск и устранение проблем безопасности по периметру сети Поиск и устранение угроз безопасности по периметру сети

Это серьезная проблема, потому что многие сетевые устройства не имеют собственной безопасности или вообще не имеют ее. Поэтому их довольно легко использовать в качестве платформы для запуска атаки типа «отказ в обслуживании» (DoS-атака) или для удаления их данных в качестве способа наблюдения за операциями вашей компании. Они также могут быть использованы в качестве базы операций против вашей сети. Поскольку вы не можете устранить эти устройства, лучшее, что вы можете сделать, это поместить их в свою собственную сеть, максимально защитить их, а затем не позволять им подключаться напрямую к вашей внутренней сети.

Здесь мы обсудили несколько уровней, и в некоторых случаях вашей сети может потребоваться больше. Но важно помнить, что каждый уровень требует управления, и что защита, необходимая для каждого уровня, должна существовать в сети с другими уровнями безопасности. Это означает, что очень важно, чтобы у вас был персонал для управления каждым уровнем, и чтобы безопасность на каждом уровне не влияла отрицательно на безопасность на другом.

Также важно избегать решения дня, что означает разовую безопасность для борьбы с конкретной угрозой. Легко оказаться втянутым в своего рода махинацию с безопасностью и в итоге получить неуправляемый беспорядок. Вместо этого выберите широкий подход, при котором угрозе дня не потребуется еще один уровень.