Сегментирајте мрежи, обединете експерти

Автор: Валентин Виореану/Датум на објавување: 01-09-2020 13:09

сајбер безбедност

Еволуцијата на сајбер безбедноста следи дарвинистички пристап, во кој системите и услугите ја подобруваат нивната еластичност, а несигурните протоколи исчезнуваат; Конечно, експертите мора да застанат заедно и да се справат со заканите предизвикани од непредвидени иновации.

Како прво, затоа што луѓето споделуваат повеќе за која било тема и дискутираат дигитално повеќе од кога било, помагајќи им од безброј социјални платформи. Сајбер безбедноста е една од темите што предизвикува бран, асоцијација со хакери кои преземаат контрола над автомобилите на автопатот или кои преземаат команда со авиони при слетување. Значи, на луѓето им се допаѓа!

Второ, вниманието на ова поле е забрзано дури и од специјалисти за ИТ безбедност кои повеќе од десет години се обидуваат да ги внесат своите проблеми на агендата на врвниот менаџмент во компаниите и организациите. Учиме од стандардите за управување со ИТ безбедност, како што е ISO27001, дека управувањето не е одговорно само за потпишување на политики и процедури за безбедност на информации, туку мора дури и да даде насока, да ја дефинира стратегијата во оваа област, совршено усогласена со деловната стратегија. Ова барање започна да се спроведува правилно во последниве години, откако серија сериозни сајбер напади ги погодија глобалните институции и компаниите во Топ 50. Членовите на одборот престанаа да прашуваат „Која е веројатноста да бидете нападнати?“, на нешто како „Колку сме отпорни да се спротивставиме на следниот сајбер напад?“

На крај, но не и најмалку важно, граѓаните почнаа да го доведуваат во прашање начинот на кој нивните економии се заштитени од страна на банките, нивните права на приватност, вршејќи дополнителен притисок врз давателите на апликации и технологија за примена на внатрешни мерки за заштита. во сите терминали и софтвер што ги користам во моментов. И ова е пресвртницата кон безбеден дигитален свет.

Тековниот милениум започна со најважната глобална дистрибуција на компјутерски црв, што уште еднаш покажа дека луѓето се слаба алка во синџирот на безбедносни слабости. Во потрага по loveубов, луѓето со нетрпение ја отворија и ја прелистуваа новата е-пошта наречена „Те сакам“, во која беше прикачено ветувачко loveубовно писмо наречено „VEУБОВ-ПИСМО-ЗА-ВАС.txt.vbs“. Тоа беше моментот кога сите сфативме дека само градењето wallsидови околу внатрешните ИТ мрежи не е доволно, бидејќи вработените, поради нивното природно и човечко однесување, практично ги откажуваат заштитените allидови наменети за нивна заштита. Многу милиони компјутери се заразени и станаа неупотребливи; и многу организации започнаа кампањи за обука за безбедност на вработените. Следуваа многу други глобални напади со црви и рансомвер, наменети за уништување на хард дисковите со целосна енкрипција.

Од друга страна, се откриени мноштво безбедносни слабости, една по друга, во протоколите и апликациите што ги користат компјутерските и комуникациските мрежи, додавајќи зголемен притисок врз рамениците на ИТ професионалците, кои почнаа да се грижат за сајбер безбедноста и научете како да ја заштитите нивната инфраструктура. Ова беше почеток на нова професија за ИТ специјалисти, со голема глобална побарувачка и во приватни компании и во јавни организации. Вложувањата за компјутерска безбедност проценува дури 3,5 милиони слободни работни места за компјутерска безбедност до 2021 година на глобално ниво.

Администраторите на системот и мрежата, заедно со „пионерите“ за ИТ безбедност, мораа да се справат со ранливостите и правните лекови поврзани со многу различни протоколи и дистрибуирани низ целиот TCP IP оџак, од мрежните картички до врвот, на апликации. Менталитетот сè уште беше поврзан со силната безбедност на периметарот околу внатрешните мрежи и нивното зонирање на сегменти со различни барања за пристап, како што се DMZ (Демилитаризирана зона), внатрешната мрежа за редовни вработени и центарот за податоци со строго контролиран пристап, само за „познавачите“ „Што значи„ администратор “.

Производните мрежи (познати како ОТ, „технологија на работење“) и решенија за управување (како што е СКАДА), генерално изолирани и работат според протоколи во паралелен свет, јасно непознат за ИТ-персоналот, постепено почнаа да ја преминуваат границата, поврзувајќи се - е со ИТ-инфраструктурата и додава преку овој чекор нови сајбер ризици за оперативните средини. Тоа беше некако спротивна на сегментација, но економски неопходна. Одлуката за одделот што најдобро може да обезбеди работење на новата интегрирана мрежа, ИТ или Производството, беше донесена по „секуларни“ борби што траеја неколку години, на крајот ИТ тимот го освои ова право… поточно одговорност.

Почнуваше нова ера, отворање на производствената инфраструктура за старомодните хакери.

Најмногу зборуван за нападот во последната деценија е поврзан со „Стакснет“, црвот што внимателно го прошета својот личен пат до срцето на иранските нуклеарни централи. Преместувајќи се од еден во друг ИТ систем во Програмабилен логички контролер (PLC) што се користи за контрола на електромеханички процеси како што се оние поврзани со центрифугирање на гас во нуклеарна централа, Stuxnet се покажа како еден од најразорните напади врз избраната цел. Но, најголемото влијание го почувствуваа специјалистите за сајбер безбедност, кои мораа да прифатат дека претпоставената идеја за недостаток на привлечност на мрежите за производство за хакери, или што се однесува на тешкотијата во разбирањето на безбедносните протоколи, веќе не стои. на нив.

Дигиталната сегментација стана сè поважна, поминувајќи низ неколку нивоа, па дури и достигнувајќи го микроскопското ниво на компонентите на апликацијата преку концептот на микро-сегментација применлива во виртуелизираните средини. Секое парче, колку и да е мало, во дадено решение, може да биде дел од одреден сегмент и да остане во тој сегмент дури и кога се преместува помеѓу различни центри за податоци, понекогаш лоцирани дури и во различни земји, во рамките на инфраструктурата. виртуелизиран. Сегментите веќе не се директно поврзани со хардверската опрема на која се инсталирани или складирани, овозможувајќи безбедност на современи видови апликации, како што се оние во далечинската медицина, независно од инфраструктурите обезбедени од телекомуникациските оператори.

Како што се движевме кон 5G инфраструктурата, беше дефинирано дополнително ниво на сегментација од фазата на стандардизација, имено мрежно режење, на англиски јазик терминот има малку попријателско име (мрежно режење). Оваа одлика уште еднаш покажува дека сегментацијата стана една од најважните мерки за обезбедување на инфраструктурата, по две децении неефикасност на периметарките пред сајбер напади.

Тешки одлуки: што прво штитиме?

Постојано зголемената комплексност на технологиите способни за меѓусебно поврзување на трилиони „нешта“ што можат да извршат едноставни задачи, како што е мерење на влажноста, но и сложени активности за обработка, како што се генерирање криптографски парови на клучеви, за да се обезбеди комуникација помеѓу компонентите на меѓусебно поврзаниот автомобил, бара јасна дефиниција. нивоа на критичност; во спротивно, потребни ни се практично неограничени буџети за да обезбедиме сајбер безбедност. Иако идејата за приоритет не е нова, таа стана витална токму поради огромниот број и сложеност на системите, опремата и мрежите со кои ќе комуницираме во наредните години.

Да земеме пример за автомобил; колку би можела да биде важна бојата на возачкото седиште (иако се сомневам во овој аргумент, гледајќи наоколу ...) или дали имаме или немаме убава никел-шипка на вратите? Доколку има одредени добрите и лошите страни за бојата и изгледот на автомобилите, едногласно е прифатено дека најкритичните системи на автомобилот се сопирање, управување, мотор и воздушни перничиња, кои мора да ги следат официјалните стандарди за безбедност и безбедност. безбедност. Од оваа причина, приоритет треба да им се даде на критичните системи и да се распределат најмногу финансиски и човечки ресурси на нивната безбедност за да се приближат до совршенството и да се заштитат од насочени напади што можат да доведат до нивна неовластена контрола.

Гледајќи напред кон идните генерации мрежи, како што е 5-та генерација, германскиот регулатор за телекомуникации, заедно со органот за интернет-безбедност, дури и предлага експлицитен список на критични функции; меѓу нив, можеме да идентификуваме функции како што се оние што создаваат и управуваат со идентитети, оние што контролираат пристап до мрежи и услуги, оние што генерираат криптографски клучеви (за неспецијалисти, некакви важни лозинки) или функции кои едноставно извршуваат целосно управување со мрежи. Со други зборови, критично значи она што може да управува со сè во мрежата, функции кои, доколку се покажат ранливи, можат да им овозможат на хакерите да контролираат… дури и контролните функции.

Ако буџетот не гледа од нас од Марс, ние мора да го распределиме особено на критичните компоненти и да добиеме најдобро влијание во обезбедувањето на нашата инфраструктура.

Светот станува малку помек

Како што се развиваме во целосно поврзан свет, повеќето мрежни и системски функции стануваат виртуелизирани; крајните корисници пристапуваат преку сопствени терминали или друга специјализирана опрема, бројни можни услуги токму заради овие функции, како што се: теле-медицина прилагодена на нивните потреби, искуство на меѓусебно поврзани или дури и автономни автомобили, оптимизирана железничка инфраструктура, попаметни градови од нас и многу други други. Динамиката на иновацијата го прави хардверот премногу незгоден и ја забрзува потребата за виртуелизација на функциите, преминот кон компјутерски „облак“ и „магла“ (во нетехничка смисла, облак малку поблиску до нас, корисниците, како магла) и неизбежен развој на софтвер. Liveе живееме се повеќе и повеќе во софтвер доминиран свет, и тоа ќе направи дополнителен притисок и одговорност на рамената, всушност, на рацете на програмерите.

Дури и да е така, откако ќе биде тестиран и заверен како безбеден, софтверот мора да има применети механизми за интегритет за да се потврди дека она што од производителот до купувачот не било променето, не било пресретнувано и изменето за време на транспортот. Комплексноста на дистрибутивните ланци ја прави довербата основно прашање, така што обезбедувањето технички интегритет низ целиот дистрибутивен ланец е единствениот начин да се демонстрира отсуство на какво било мешање во процесот на испорака.

Да веруваме или да не веруваме? Тоа е прашањето.

Концептот на „Нула доверба“ подразбира дека ниту една компонента не се смета за имплицитно доверлива пред субјектот да комуницира со неа, идентитетот на обете мора прво да се потврди со технички средства. Пред да се закачи на поврзаната машина, модулот добива уникатен физички идентитет од производителот, а понекогаш и втор од имплементаторот на системот, заснован на криптографски механизми. Кога модулот треба да разменува чувствителни информации или да дава команди на моторот или сопирачките преку апликација за облак или инфо-забавен систем, тој прво мора да покаже дека е легитимен дел од машината и да го потврди субјектот со кој сака да комуницира има право да поставува или извршува наредби. Во спротивно, работите може да станат опасни за патниците. Во основа, ние ја набудуваме миграцијата на мрежните сегменти кон доверливи идентитети, станувајќи, од геометриска гледна точка, точки.

Иднината е соработка и доверба, дотолку повеќе што комплексноста ќе доведе до несовршености на безбедносните механизми спроведени од самиот почеток во новите системи засновани на Вештачка интелигенција, Виртуелна реалност, Зголемена реалност или што претстои.

Што е ова? Однеси ме на експерт!

Како и првиот снег, иднината ќе не изненади сите нас. Но, посилно, бидејќи истражувачката заедница започна да материјализира идеи што претходно ги гледавме само во фантастични книги: вештачка кожа со тактилни сензори, синтетички материјали со метаболизам и можности за репродукција, автомобили без возачи, далечинска хирургија, системи за полетување и целосно автономни слетувања на авиони или автономна работа на мрежи од следната генерација (5G) со употреба на вештачка интелигенција за обработка на огромни количини на податоци од милиони уреди и опрема.

Како може поранешен информатичар, сега безбедносен аналитичар, да идентификува потенцијално малициозни настани во процесот на полетување на автономно воздушно возило? Може да претпостави, може да има среќа или да праша експерт за аеронаутика. Иднината експлицитно бара соработка на заеднички тимови експерти во различни области, за да се обезбеди еластичност и сајбер безбедност на сè помодерните концепти пред нас.

Бидејќи немаме шанса да ги најдеме сите овие експерти во една државна агенција или приватна компанија, потребни ни се меѓудисциплински здруженија кои можат да идентификуваат потенцијални закани и мерки за одговор во случај на вертикална индустрија заснована на вештачка интелигенција., Облачни или 5G мрежи; на пример, меѓусебно поврзани машини водат од страната на стандардизација, дека тие се само машини и во моментов имаат корист од сите видови упатства поврзани со нивната интеракција со други субјекти ( Возило до сè, Возило до инфраструктура, Возило до возило ).

Како заклучок, во иднина се повеќе е потребно техничко сегментирање на мрежите паралелно со здружување експерти кои, заедно, можат да се справат со новите закани по човештвото, генерирани од иновативни концепти за кои можеби дури и не сме свесни.

Службеник за сајбер безбедност ХУАВЕИ Романија