Innholdsfortegnelse:
Video: LISA13 - Enterprise Architecture Beyond the Perimeter (Oktober 2024)
Jeg spiste middag i Washington, DC med den tidligere nasjonale cybersecurity-tsaren Richard Clarke, nå styreleder og administrerende direktør for Good Harbor Security Risk Management, da han forklarte at god perimeter sikkerhet ikke er nok til å beskytte nettverket ditt. "De skurkene, " forklarte Clarke, "er allerede i nettverket ditt."
Lagdelt sikkerhet er noe du sikkert har hørt om før, men for mange innen IT er det fremdeles et mysterium. Hvordan lager du lag med sikkerhet? Hvordan bestemmer du hvor mange lag du trenger? Hva skal lagene beskytte? Kan det være for mange lag?
Svaret vil avhenge av nettverket ditt, virksomhetens art og risikonivået ditt. Men det er viktig å huske at risikonivået ditt kan bli påvirket av forretningspartnerne dine. Så hvis du for eksempel er en leverandør eller entreprenør, vil risikonivået ditt være det samme som deres fordi de skurkene vil prøve å bruke deg som en vei til forretningspartnerne dine.
Lag er basert på dataene du trenger å beskytte. Dette betyr at du må sørge for at dataene dine blir bevart, og du må også sørge for at de ikke kan tas fra deg. Og selvfølgelig må du sørge for at nettverket ditt er beskyttet mot skade, slik at virksomheten ikke blir berørt.
Bevare dine data
Bevaring av data er det første kritiske laget. Dette krever at du sørger for at en kopi av viktige data er i sikker lagring der de er utilgjengelige for hackere eller andre, inkludert misfornøyde ansatte. For de fleste selskaper bør slike sikkerhetskopier finnes i datasenteret der du lett kan komme til dem når det trengs, og også i skyen hvor tukling er mye vanskeligere. Det er en rekke offentlige skytjenester som vil håndtere sikkerhetskopier, inkludert Amazon Web Services (AWS), Google Cloud og IBM Cloud, i tillegg til dedikerte sikkerhetskopieringstjenester som Carbonite, som nylig kjøpte konkurrenten Mozy.
Disse sikkerhetskopiene kan deretter sikkerhetskopieres til geografisk forskjellige steder, noe som hjelper deg til å sikre at de ikke blir kompromittert under en eneste katastrofe. Vanligvis kan hele sikkerhetskopieringsprosessen automatiseres, så når det hele er konfigurert, er det eneste du trenger å gjøre å bekrefte integriteten til sikkerhetskopiene dine etter behov.
Så er det databeskyttelse, noe som betyr at det må være utilgjengelig og ubrukelig hvis noen finner det. For å gjøre dataene dine utilgjengelige, må du segmentere nettverket slik at å få tilgang til en del av nettverket ikke betyr at du kan nå alt. Har Target for eksempel segmentert nettverket da det ble brutt gjennom HVAC-systemet i 2013, da hadde ikke hackerne tilgang til andre data.
Nettverkssegmentering krever rutere som nekter tilgang som standard og bare tillater nettverkstilkoblinger fra spesifikke nettverksnoder, som ruterne filtrerer ved å bruke sine Media Access Control (MAC) eller IP-adresser. Interne brannmurer kan også utføre denne funksjonen og kan være mer fleksible i komplekse applikasjoner.
Å overse kryptering er et stort feil
I tillegg til segmentering, må dataene dine også krypteres, både mens de overføres over nettverket og mens de lagres. Kryptering er lett å oppnå fordi den utføres som standard i trådløs og nettsky-tilgangsprogramvare, og alle moderne operativsystemer (OSer) gir kryptering som en standardtjeneste. Likevel er det å unnlate å kryptere kritiske data kanskje den største årsaken til tap av data ved nylig brudd.
Årsakene til at slike data ikke er kryptert, til tross for lovkrav i mange tilfeller for å gjøre det, kan oppsummeres i fire ord: latskap, inkompetanse, uvitenhet og dumhet. Det er ganske enkelt ingen unnskyldning for å ikke kryptere dataene dine.
Endelig er det nettverksbeskyttelse. Sammen med å beskytte dataene dine, må du også sikre at nettverket ditt ikke brukes som en plattform for å starte angrep, og du må sørge for at nettverksenhetene dine ikke blir brukt mot deg. Dette er spesielt et problem med nettverk som inkluderer maskinkontrollere i lageret eller fabrikken, og det er et problem med Internet of Things (IoT) -enhetene.
- Ikke sabotere din egen sikkerhet, tren dine brukere. Ikke saboter din egen sikkerhet, tren dine brukere
- Begynn å sikre nettverket ditt fra forbrukerklasse IoT-trusler Start sikre deg nettverket ditt fra forbrukerklasse IoT-trusler
- Finne og fikse sikkerhet på nettverkets omkrets Finne og fikse sikkerhet på nettverkets omkrets
Dette er et stort problem fordi så mange nettverksenheter har liten eller ingen egen sikkerhet. Derfor er det ganske enkelt å bruke dem som en plattform for å sette i gang et angrep mot denial-of-service (DoS-angrep) eller om å sifre bort dataene deres som en måte å utføre overvåking på selskapets operasjoner. De kan også brukes som en base av operasjoner mot nettverket ditt. Siden du ikke kan eliminere disse enhetene, er det beste du kan gjøre å sette dem på sitt eget nettverk, beskytte dem så mye som mulig og ikke la dem koble seg direkte til det interne nettverket.
Her har vi diskutert flere lag, og i noen tilfeller kan nettverket ditt kreve mer. Men det er viktig å huske at hvert lag krever ledelse, og at beskyttelsen som trengs for hvert lag, må eksistere i et nettverk med andre sikkerhetslag. Dette betyr at det er viktig at du har de ansatte til å administrere hvert lag, og at sikkerheten i hvert lag ikke påvirker sikkerheten i et annet.
Det er også viktig å unngå dagens løsning, noe som betyr engangs sikkerhet for å bekjempe en spesifikk trussel. Det er lett å bli sugd inn i en slags sikkerhetsdump og ende opp med et uhåndterlig rot. Velg i stedet en bredbasert tilnærming der dagens trussel ikke vil kreve enda et lag.
