Зміст:
Відео: ну где же Ñ‚Ñ‹ любовь Ð¼Ð¾Ñ Ð¿Ñ€ÐµÐºÑ€Ð°Ñное иÑполнение (Вересень 2024)
Я пообідав у Вашингтоні з колишнім національним царем кібербезпеки Річардом Кларком, тепер головою та генеральним директором управління ризиками безпеки Гавані, коли він пояснив, що хорошої безпеки периметра недостатньо для захисту вашої мережі. "Погані хлопці, - пояснив Кларк, - вже знаходяться у вашій мережі".
Багаторівнева безпека - це те, про що ви, напевно, чули раніше, але для багатьох в ІТ це все ще таємниця. Як ви створюєте шари безпеки? Як ви вирішите, скільки шарів вам потрібно? Що повинні захищати шари? Чи може бути занадто багато шарів?
Відповідь буде залежати від вашої мережі, характеру вашого бізнесу та рівня ризику. Але важливо пам’ятати, що на рівень ризику можуть впливати ваші ділові партнери. Так, якщо ви, наприклад, постачальник або підрядник, то рівень ризику буде таким же, як і їх, тому що ці погані хлопці спробують використати вас як шлях до ділових партнерів.
Шари базуються на даних, які потрібно захистити. Це означає, що вам потрібно забезпечити збереження ваших даних, а також потрібно переконатися, що вони не можуть бути взяті у вас. І, звичайно, вам потрібно переконатися, що ваша мережа захищена від шкоди, щоб ваш бізнес не впливав.
Збереження ваших даних
Збереження даних - перший критичний рівень. Це вимагає переконатися, що копія важливих даних знаходиться в надійному сховищі, де це недоступно хакерам чи іншим, включаючи незадоволених співробітників. Для більшості компаній такі резервні копії повинні існувати в центрі обробки даних, де ви можете легко дістатись до них за потреби, а також у хмарі, де підробка набагато складніше. Існує ряд публічних хмарних сервісів, які здійснюватимуть резервне копіювання, включаючи Amazon Web Services (AWS), Google Cloud та IBM Cloud, а також спеціальні сервіси резервного копіювання, такі як Carbonite, який нещодавно придбав свого конкурента Mozy.
Ці резервні копії можуть бути резервні копії в географічно різних місцях, що допомагає гарантувати, що вони не будуть порушені в рамках однієї катастрофи. Зазвичай весь процес резервного копіювання може бути автоматизований, тому, як тільки все буде налаштовано, єдине, що вам потрібно зробити, це підтвердити цілісність резервного копіювання за потребою.
Тоді є захист даних, а це означає, що він повинен бути недоступним і непридатним для використання, якщо хтось його знайде. Щоб зробити ваші дані недоступними, потрібно сегментувати вашу мережу, щоб отримати доступ до однієї частини мережі не означає, що ви зможете досягти всього. Наприклад, якщо Target сегментував свою мережу, коли вона була зламана через систему HVAC у 2013 році, то хакери не могли отримати доступ до інших даних.
Для сегментації мережі потрібні маршрутизатори, які за замовчуванням забороняють доступ і дозволяють лише мережеві з'єднання з певних мережевих вузлів, які маршрутизатори фільтрують, використовуючи MIA (Access Control Control) або IP-адреси. Внутрішні брандмауери також можуть виконувати цю функцію і можуть бути більш гнучкими у складних програмах.
Вигляд шифрування - велика помилка
Крім сегментації, ваші дані також повинні бути зашифровані як під час передачі через мережу, так і під час зберігання. Шифрування легко здійснити, оскільки воно виконується за замовчуванням у програмному забезпеченні бездротового та хмарного доступу, а всі сучасні операційні системи (ОС) забезпечують шифрування як стандартну послугу. Тим не менш, невдача шифрування критичних даних є чи не найбільшою причиною втрати даних в останніх порушеннях.
Причини, за якими такі дані не зашифровані, незважаючи на законодавчі вимоги в багатьох випадках, можна зробити їх чотирма словами: лінь, некомпетентність, незнання та дурість. Просто немає приводу для того, щоб не зашифрувати ваші дані.
Нарешті, є захист мережі. Поряд із захистом своїх даних, ви також повинні забезпечити, щоб ваша мережа не використовувалася як платформа для запуску атак, і вам потрібно забезпечити, щоб ваші мережеві пристрої не використовувались проти вас. Це особливо проблема з мережами, які включають контролери машин на вашому складі або на заводі, і це проблема з вашими пристроями Internet of Things (IoT).
- Не саботуйте власну безпеку, навчайте своїх користувачів Не саботуйте власну безпеку, тренуйте своїх користувачів
- Почніть захищати свою мережу від споживчих загроз IoT, почніть захищати свою мережу від споживчих загроз IoT.
- Пошук та фіксація безпеки по периметру вашої мережі Пошук і закріплення безпеки по периметру мережі
Це головне питання, оскільки стільки мережевих пристроїв мають низьку або відсутність власної безпеки. Тому використовувати їх досить просто як платформу для запуску атаки відмови в обслуговуванні (DoS-атаки) або відсипання даних як спосіб здійснення спостереження за діяльністю вашої компанії. Вони також можуть бути використані як база операцій з вашою мережею. Оскільки ви не можете усунути ці пристрої, найкраще зробити це - розмістити їх у власній мережі, максимально захистити їх, а потім не дозволяйте їм підключатися безпосередньо до вашої внутрішньої мережі.
Тут ми обговорили кілька шарів, а в деяких випадках для вашої мережі може знадобитися більше. Але важливо пам’ятати, що кожен шар вимагає управління і що захист, необхідний для кожного шару, повинен існувати в мережі з іншими рівнями захисту. Це означає, що критично важливо, щоб у вас був персонал для управління кожним шаром, і що безпека кожного шару не впливає негативно на безпеку іншого.
Також важливо уникати рішення дня, що означає одноразову безпеку для боротьби з конкретною загрозою. Легко всмоктуватися у своєрідну молюнку безпеки та закінчуватись некерованим безладом. Натомість виберіть широкий підхід, у якому загроза дня не потребуватиме ще одного шару.
