Сегментирайте мрежи, съберете експерти

Автор: Валентин Виореану/Дата на публикуване: 01-09-2020 13:09

сегментирайте

Еволюцията на киберсигурността следва дарвиновски подход, при който системите и услугите подобряват своята устойчивост и несигурните протоколи изчезват; И накрая, експертите трябва да се обединят и да се справят със заплахите, породени от непредвидени иновации.

На първо място, защото хората споделят повече за всяка тема и дискутират дигитално повече от всякога, като им помагат безбройните социални платформи. Киберсигурността е една от темите, която предизвиква вълни, като се свързва с хакери, които поемат контрола върху автомобилите на магистралата или поемат командването на самолети при кацане. Така че хората го харесват!

На второ място, вниманието в тази област е ускорено дори от специалисти по ИТ сигурност, които повече от десет години се опитват да внесат своите опасения в дневния ред на висшия мениджмънт в компании и организации. От стандартите за управление на ИТ сигурността, като например ISO27001, научаваме, че мениджмънтът не само отговаря за подписването на политики и процедури за информационна сигурност, но дори трябва да дава насоки, да дефинира стратегията в тази област, перфектно съобразена с бизнес стратегията. Това изискване започна да се прилага правилно през последните години, след като поредица от сериозни кибератаки засегнаха световните институции и компании в Топ 50. Членовете на борда спряха да питат „Каква е вероятността да бъдат атакувани?“, Преминавайки до нещо като "Колко устойчиви сме да се противопоставим на следващата кибер атака?"

Не на последно място, гражданите започнаха да поставят под въпрос начина, по който икономиките им са защитени от банките, правата им на неприкосновеност на личния живот, като оказват допълнителен натиск върху доставчиците на приложения и технологии да прилагат вътрешни предпазни мерки. във всички терминали и софтуер, които използвам в момента. И това е повратната точка към сигурен цифров свят.

Настоящото хилядолетие започна с най-важното глобално разпространение на компютърен червей, което за пореден път демонстрира, че хората са слабото звено във веригата на слабостите в сигурността. Търсейки любовта, хората с нетърпение отвориха и разгледаха новия имейл, наречен „Обичам те“, който прикачи обещаващо любовно писмо, наречено „LOVE-LETTER-FOR-YOU.txt.vbs“. Това беше моментът, в който всички осъзнахме, че само изграждането на стени около вътрешни ИТ мрежи не е достатъчно, защото служителите, поради своето естествено и човешко поведение, на практика отменят защитните стени, предназначени да ги защитят. Много милиони компютри са заразени и направени неизползваеми; и много организации започнаха кампании за обучение по безопасност на служителите. Последваха и много други глобални атаки с червеи и рансъмуер, предназначени да унищожат твърдите дискове чрез пълно криптиране.

От друга страна, множество уязвимости в сигурността са открити една след друга в протоколите и приложенията, използвани от компютърни и комуникационни мрежи, добавяйки нарастващ натиск върху раменете на ИТ специалистите, които са започнали да се занимава с киберсигурността и се научи как да защитава своята инфраструктура. Това беше началото на нова професия за ИТ специалисти, с голямо глобално търсене както в частни компании, така и в публични организации. Cybersecurity Ventures оценява приблизително 3,5 милиона свободни работни места за киберсигурност до 2021 г. в световен мащаб.

Системните и мрежовите администратори, заедно с „пионерите“ на ИТ сигурността, трябваше да се справят с уязвимости и средства за защита, свързани с много различни протоколи и разпределени в целия стек на TCP IP, от мрежовите платки до върха, на приложенията. Манталитетът все още беше свързан със силната сигурност на периметър около вътрешни мрежи и тяхното зониране на сегменти с различни изисквания за достъп, като DMZ (DeMilitarized Zone), вътрешната мрежа за редовни служители и центъра за данни със строго контролиран достъп, само за "ценители" "Значение" админи ".

Производствените мрежи (известни като OT, „операционна технология“) и решения за управление (като SCADA), обикновено изолирани и работещи по протоколи в паралелен свят, очевидно непознати за ИТ персонала, постепенно започнаха да преминават границата, свързвайки -с ИТ инфраструктури и добавяне чрез тази стъпка на нови кибер рискове за операционната среда. Това беше течение, някак противно на сегментацията, но икономически необходимо. Решението за отдела, който най-добре може да осигури функционирането на новата интегрирана мрежа, ИТ или Производството, беше взето след "светски" борби, продължили няколко години, в крайна сметка ИТ екипът спечели това право ... или по-скоро отговорност.

Започва нова ера, отваряне на производствената инфраструктура за старомодни хакери.

Най-обсъжданата атака през последното десетилетие е свързана със Stuxnet, червея, който внимателно измина своя криволичещ път до сърцето на иранските атомни електроцентрали. Преминавайки от една ИТ система към друга към програмируемия логически контролер (PLC), използван за управление на електромеханични процеси като тези, свързани с газово центрофугиране в атомна електроцентрала, Stuxnet се оказа една от най-опустошителните атаки на избраната цел. Но най-голямо въздействие почувстваха специалистите по киберсигурност, които трябваше да приемат, че предварително измислената представа за непривлекателността на производствените мрежи за хакери или свързаната със затрудненията при разбирането на протоколите за сигурност, вече не съществува. на тях.

Цифровата сегментация става все по-важна, преминавайки през няколко нива и дори достигайки микроскопичното ниво на компонентите на приложението чрез концепцията за микросегментация, приложима във виртуализирана среда. Всяко парче, независимо колко малко е, в дадено решение, може да бъде част от определен сегмент и да остане в него, дори когато се премества между различни центрове за данни, понякога разположени дори в различни държави, в рамките на инфраструктура. виртуализиран. Сегментите вече не са пряко свързани с хардуерното оборудване, на което са инсталирани или съхранени, което позволява сигурността на съвременните видове приложения, като например отдалечена медицина, независимо от инфраструктурите, предоставени от телекомуникационните оператори.

Докато се придвижвахме към 5G инфраструктурите, от етапа на стандартизация беше определено допълнително ниво на сегментиране, а именно нарязване на мрежата, на английски терминът с малко по-приятелско име (нарязване на мрежата). Тази функция за пореден път показва, че сегментирането се е превърнало в една от най-важните мерки за осигуряване на инфраструктура, след две десетилетия неефективност на периметрите в лицето на кибер атаки.

Тежки решения: какво първо защитаваме?

Непрекъснато нарастващата сложност на технологиите, способни да свързват трилиони „неща“, които могат да изпълняват прости задачи, като измерване на влажността, но и сложни дейности по обработка като генериране на двойки криптографски ключове за осигуряване на комуникация между компоненти на взаимосвързан автомобил, изисква ясна дефиниция. нива на критичност; в противен случай се нуждаем от практически неограничени бюджети, за да гарантираме киберсигурността. Въпреки че идеята за приоритизиране не е нова, тя стана жизненоважна именно поради огромния брой и сложност на системите, оборудването и мрежите, с които ще си взаимодействаме през следващите години.

Да вземем за пример автомобил; колко важен би могъл да е цветът на шофьорската седалка (въпреки че имам известни съмнения относно този аргумент, оглеждайки се ☺) или дали имаме хубава никелова щанга на вратите или не? Ако има определени плюсове и минуси относно цвета и външния вид на автомобилите, единодушно се приема, че най-критичните системи на автомобила са спирачката, кормилното управление, двигателят и въздушните възглавници, които трябва да следват официалните стандарти за безопасност и безопасност. сигурност. Поради тази причина отдаването на дължимото значение на критичните системи и разпределянето на най-много финансови и човешки ресурси за тяхната сигурност, за да ги приближи до съвършенството и да ги защити от целенасочени атаки, които биха могли да доведат до неразрешен контрол, трябва да бъде приоритет.

Гледайки напред към бъдещите поколения мрежи, като 5-то поколение, германският регулатор на далекосъобщенията, заедно с органа за киберсигурност, дори предлага изричен списък с критични функции; сред тях можем да идентифицираме функции като тези, които създават и управляват идентичности, тези, които контролират достъпа до мрежи и услуги, тези, които генерират криптографски ключове (за неспециалисти, някакъв вид важни пароли) или функции, които просто изпълняват цялостно управление на мрежи. С други думи, критично означава какво може да управлява всичко в мрежата, функции, които, ако се окажат уязвими, могат да позволят на хакерите да контролират ... дори контролните функции.

Ако бюджетът не ни гледа с пренебрежение от Марс, трябва да го разпределим особено за критичните компоненти и да постигнем най-доброто въздействие при осигуряването на нашата инфраструктура.

Светът става малко по-мек

С развитието на един напълно свързан свят, повечето мрежови и системни функции стават виртуализирани; крайните потребители получават достъп чрез собствени терминали или друго специализирано оборудване до редица възможни услуги именно поради тези функции, като например: телемедицина, персонализирана според техните нужди, опит на взаимосвързани или дори автономни автомобили, оптимизирана железопътна инфраструктура, по-умни градове от нас и много други. Динамичността на иновациите прави хардуера твърде тромав и ускорява необходимостта от виртуализиране на функциите, преминаването към изчисления „облак“ и „мъгла“ (в нетехнически аспект облак малко по-близо до нас, потребителите, като мъгла) и неизбежното развитие на софтуера. Ще живеем все повече и повече в доминиран от софтуера свят и това ще окаже допълнителен натиск и отговорност върху раменете, всъщност върху ръцете на програмистите.

Въпреки това, след като бъде тестван и сертифициран като безопасен, софтуерът трябва да има приложени механизми за целостта, за да потвърди, че това, което е преминало от производителя до купувача, не е променено, не е прихващано и променяно по време на транспортиране. Сложността на дистрибуторските вериги прави доверието основен въпрос, така че осигуряването на техническа цялост по цялата дистрибуторска верига е единственият начин да се докаже липсата на каквато и да е намеса в процеса на доставка.

Да вярваш или да не вярваш? Това е въпросът.

Концепцията за "Zero Trust" предполага, че нито един компонент не се счита за имплицитно надежден, преди даден обект да комуникира с него, първоначално идентичността на двата трябва да бъде потвърдена с технически средства. Преди да бъде прикрепен към свързана машина, модулът получава уникална физическа идентичност от производителя, а понякога и втора от системния реализатор, базирана на криптографски механизми. Когато модулът трябва да обменя чувствителна информация или да дава команди на двигателя или спирачки чрез облачно приложение или информационно-развлекателна система, той първо трябва да докаже, че е легитимна част от машината и да потвърди, че обектът, с който желае да комуникира има право да прави или изпълнява поръчки. В противен случай нещата могат да станат опасни за пътниците. По принцип наблюдаваме миграцията на мрежови сегменти към доверени идентичности, превръщайки се от геометрична гледна точка в точки.

Бъдещето е сътрудничество и доверие, още повече че сложността ще доведе до несъвършенство на механизмите за сигурност, внедрени от самото начало в новите системи, базирани на изкуствен интелект, виртуална реалност, разширена реалност или това, което предстои.

Какво е това? Заведете ме при експерта!

Подобно на първия сняг, бъдещето ще ни изненада всички. Но по-силно, защото изследователската общност започна да материализира идеи, които по-рано виждахме само във фантастични книги: изкуствена кожа с тактилни сензори, синтетични материали с метаболизъм и възможности за възпроизвеждане, автомобили без шофьор, дистанционна хирургия, излитащи системи и напълно автономни кацания на самолети или автономна работа на мрежи от следващо поколение (5G), използващи изкуствен интелект за обработка на огромни количества данни от милиони устройства и оборудване.

Как бивш ИТ специалист, сега анализатор на сигурността, може да идентифицира потенциално злонамерени събития в процеса на излитане на автономно въздушно превозно средство? Той може да предположи, може да има късмет или да попита експерт по въздухоплаване. Бъдещето изрично изисква сътрудничеството на съвместни екипи от експерти в различни области, за да се гарантира устойчивостта и кибер сигурността на все по-модерните концепции пред нас.

Тъй като нямаме шанс да намерим всички тези експерти в една държавна агенция или частна компания, се нуждаем от междудисциплинарни партньорства, които могат да идентифицират потенциални заплахи и мерки за реагиране в случай на вертикални индустрии, базирани на изкуствен интелект., Облачни или 5G мрежи; например взаимосвързаните машини водят от страна на стандартизацията, че те са само машини и в момента се възползват от всякакви насоки, свързани с тяхното взаимодействие с други обекти ( Превозно средство за всичко, Превозно средство за инфраструктура, Превозно средство за превозно средство ).

В заключение, в бъдеще е все по-необходимо технически сегментиране на мрежи, паралелно с обединяването на експерти, които заедно могат да се справят с нови заплахи за човечеството, породени от иновативни концепции, за които все още дори не сме наясно.

Служител по киберсигурност HUAWEI Румъния