Сегментуйте мережі, об’єднуйте експертів

Автор: Валентин Віореану/Дата публікації: 01-09-2020 13:09

сегментуйте

Еволюція кібербезпеки відбувається за дарвінівським підходом, коли системи та служби покращують свою стійкість, а незахищені протоколи зникають; Нарешті, експерти повинні стояти разом і боротися із загрозами, які несуть непередбачені інновації.

Перш за все, тому, що люди більше, ніж будь-коли, більше обмінюються будь-якою темою та дискутують у цифровій формі, їм допомагає незліченна кількість соціальних платформ. Кібербезпека - одна з тем, яка викликає хвилі, пов’язана з хакерами, які беруть під контроль машини на шосе або керують літаками при посадці. Тож людям подобається!

По-друге, увагу на цій галузі пришвидшили навіть фахівці з ІТ-безпеки, які вже більше десяти років намагаються внести свої занепокоєння в порядок денний вищого керівництва компаній та організацій. Зі стандартів управління ІТ-безпекою, таких як ISO27001, ми дізнаємось, що керівництво не тільки відповідає за підписання політик та процедур інформаційної безпеки, але навіть повинно дати вказівки, визначити стратегію в цій галузі, ідеально узгоджену з бізнес-стратегією. Ця вимога почала належним чином реалізовуватися в останні роки після того, як низка серйозних кібератак вразила світові установи та компанії в топ-50. Члени правління перестали запитувати "Яка ймовірність нападу?", Проходячи до чогось на кшталт "Наскільки ми стійкі до протидії черговій кібератаці?"

Нарешті, але не менш важливим є те, що громадяни почали сумніватися в тому, як їх економіка захищається банками, їх права на приватність, чинячи додатковий тиск на постачальників програм та технологій щодо застосування власних заходів захисту. у всіх терміналах та програмному забезпеченні, яким я зараз користуюся. І це переломний момент до безпечного цифрового світу.

Поточне тисячоліття розпочалося з найважливішого глобального розповсюдження комп'ютерного хробака, який ще раз продемонстрував, що люди є слабкою ланкою в ланцюзі слабких місць у безпеці. Шукаючи кохання, люди охоче відкривали та переглядали новий електронний лист під назвою "Я тебе кохаю", до якого додано багатообіцяючий любовний лист під назвою "LOVE-LETTER-FOR-YOU.txt.vbs". Це був момент, коли ми всі зрозуміли, що просто будувати стіни навколо внутрішніх ІТ-мереж недостатньо, оскільки працівники через свою природну та людську поведінку практично скасовують брандмауери, призначені для їх захисту. Багато мільйонів комп’ютерів були заражені та стали непридатними для використання; і багато організацій розпочали навчальні кампанії з безпеки праці. За цим послідувало багато інших глобальних атак із використанням хробаків та програм-вимагачів, призначених для знищення жорстких дисків шляхом повного шифрування.

З іншого боку, в протоколах і додатках, що використовуються комп’ютерними та комунікаційними мережами, виявляються безліч вразливих місць безпеки, що посилює тиск на плечі ІТ-фахівців, які почали стурбований кібербезпекою та навчиться захищати свою інфраструктуру. Це було початком нової професії для ІТ-спеціалістів з високим світовим попитом як у приватних компаніях, так і в державних організаціях. За оцінками кібербезпеки Ventures, до 2021 року в усьому світі оцінюється 3,5 мільйона вакансій у галузі кібербезпеки.

Адміністраторам систем та мереж, разом із "піонерами" ІТ-безпеки, доводилося стикатися з уразливими місцями та засобами захисту, пов'язаними з багатьма різними протоколами та розподіленими по всьому стеку IP-протоколів TCP, від мережевих карт до верху, додатків. Ментальність все ще була пов'язана з сильною безпекою периметра навколо внутрішніх мереж та їх зонуванням на сегментах з різними вимогами до доступу, таких як DMZ (демілітаризована зона), внутрішня мережа для постійних співробітників та дата-центр із суворо контрольованим доступом, лише для "поціновувачів". "Значення" admini ".

Виробничі мережі (відомі як OT, "технологія роботи") та управлінські рішення (такі як SCADA), загалом відособлені та працюють за протоколами в паралельному світі, явно незнайомі ІТ-персоналу, поступово почали перетинати межу, з'єднуючи -з ІТ-інфраструктурою та додаванням через цей крок нових кібер-ризиків для операційного середовища. Це була течія, яка якось суперечила сегментації, але економічно необхідна. Рішення про департамент, який найкраще може забезпечити функціонування нової інтегрованої мережі, ІТ чи виробництва, було прийнято після "світської" боротьби, яка тривала кілька років, врешті-решт ІТ-команда завоювала це право ... точніше відповідальність.

Починалася нова ера, відкриття виробничої інфраструктури для старомодних хакерів.

Найбільш обговорювана атака останнього десятиліття пов'язана зі Stuxnet, хробаком, який ретельно пройшов свій звивистий шлях до серця іранських атомних електростанцій. Перехід від однієї ІТ-системи до іншої до програмованого логічного контролера (ПЛК), який використовується для управління електромеханічними процесами, такими як процеси газового центрифугування на атомній електростанції, Stuxnet виявився однією з найбільш руйнівних атак на обрану ціль. Але найбільший вплив відчули фахівці з кібербезпеки, яким довелося визнати, що заздалегідь сприйняте уявлення про відсутність привабливості виробничих мереж для хакерів або пов'язане зі складністю розуміння протоколів безпеки вже не існує. їм.

Цифрова сегментація набуває все більшого значення, проходячи кілька рівнів і навіть досягаючи мікроскопічного рівня компонентів додатків за допомогою концепції мікросегментації, застосовної у віртуалізованих середовищах. Кожен фрагмент, яким би малим він не був у даному рішенні, може бути частиною певного сегмента і залишатися в ньому, навіть коли він переміщується між різними центрами обробки даних, іноді розташованими навіть у різних країнах, в межах інфраструктури. віртуалізований. Сегменти більше не пов'язані безпосередньо з апаратним обладнанням, на якому вони встановлені або зберігаються, що забезпечує безпеку сучасних типів програм, таких як дистанційна медицина, незалежно від інфраструктури, що надається операторами зв'язку.

Оскільки ми перейшли на інфраструктури 5G, на етапі стандартизації був визначений додатковий рівень сегментації, а саме нарізка мережі, англійською мовою термін має дещо дружнішу назву (нарізка мережі). Ця особливість ще раз показує, що сегментація стала одним з найважливіших заходів щодо захисту інфраструктури після двох десятиліть неефективності периметрів перед кібератаками.

Важкі рішення: що ми захищаємо в першу чергу?

Постійно зростаюча складність технологій, здатних з'єднати між собою трильйони "речей", які можуть виконувати прості завдання, такі як вимірювання вологості, а також складні дії з обробки, такі як створення криптографічних пар ключів для забезпечення зв'язку між компонентами взаємопов'язаного автомобіля, вимагає чіткого визначення. рівні критичності; в іншому випадку нам потрібні практично необмежені бюджети для забезпечення кібербезпеки. Хоча ідея встановлення пріоритетів не нова, вона стала життєво важливою саме через величезну кількість та складність систем, обладнання та мереж, з якими ми будемо взаємодіяти в найближчі роки.

Візьмемо приклад автомобіля; наскільки важливим може бути колір водійського сидіння (хоча я маю певні сумніви щодо цього аргументу, озираючись навколо ☺) чи чи маємо ми хороший нікелевий батончик на дверях? Якщо є певні плюси і мінуси щодо кольору та зовнішнього вигляду автомобілів, одностайно визнається, що найбільш критичними системами автомобіля є гальмування, рульове управління, двигун та подушки безпеки, які повинні відповідати офіційним стандартам безпеки та безпеки. безпеки. З цієї причини надати належне значення критичним системам та розподілити найбільше фінансових та людських ресурсів для їхньої безпеки, щоб наблизити їх до досконалості та захистити від цілеспрямованих атак, які можуть призвести до їх несанкціонованого контролю, має бути пріоритетом.

Забігаючи вперед до майбутніх поколінь мереж, таких як 5-те покоління, німецький регулятор телекомунікацій разом із органом кібербезпеки навіть пропонує чіткий перелік важливих функцій; серед них ми можемо виділити такі функції, як ті, що створюють і керують ідентифікаційними особами, ті, що контролюють доступ до мереж та служб, ті, що генерують криптографічні ключі (для неспеціалістів, якісь важливі паролі), або функції, які просто виконують повне управління мереж. Іншими словами, критичний означає те, що може управляти всім у мережі, функції, які, якщо виявляться вразливими, можуть дозволити хакерам контролювати ... навіть функції управління.

Якщо бюджет не дивиться на нас з Марса, ми повинні розподілити його особливо на найважливіші компоненти та отримати найкращий вплив на захист нашої інфраструктури.

Світ стає дещо м’якшим

По мірі того, як ми еволюціонуємо у повністю пов’язаний світ, більшість мережевих та системних функцій стають віртуалізованими; кінцеві користувачі отримують доступ через власні термінали чи інше спеціалізоване обладнання до ряду можливих послуг саме завдяки цим функціям, таких як: телемедицина, пристосована до їхніх потреб, досвід взаємопов'язаних або навіть автономних вагонів, оптимізована залізнична інфраструктура, розумніші міста, ніж ми, та багато інших інші. Динамічність інновацій робить апаратне забезпечення занадто громіздким і прискорює необхідність віртуалізації функцій, перехід до «хмарних» та «туманних» обчислень (нетехнічно, хмара трохи ближче до нас, користувачів, як туман) та неминучий розвиток програмного забезпечення. Ми будемо жити дедалі більше у світі, в якому переважає програмне забезпечення, і це покладе додатковий тиск і відповідальність на плечі, власне, на руки програмістів.

Незважаючи на це, після тестування та сертифікації як безпечного, програмне забезпечення повинно мати механізми цілісності, щоб підтвердити, що те, що перейшло від виробника до покупця, не було перехоплене і не було перехоплене або змінене під час відвантаження. Складність ланцюгів розподілу робить довіру фундаментальним питанням, тому забезпечення технічної цілісності всього ланцюга розподілу є єдиним способом продемонструвати відсутність будь-якого втручання в процес доставки.

Вірити чи не вірити? Це питання.

Концепція "Нульового довіри" передбачає, що жоден компонент не вважається довірчим неявно до того, як суб'єкт господарювання зв'язується з ним, ідентичність обох спочатку повинна бути перевірена технічними засобами. Перш ніж підключатися до підключеної машини, модуль отримує унікальну фізичну ідентифікацію від виробника, а іноді другу - від реалізатора системи, на основі криптографічних механізмів. Коли модуль повинен обмінюватися конфіденційною інформацією або передавати команди двигуну або гальмувати за допомогою хмарного додатка або інформаційно-розважальної системи, він повинен спочатку продемонструвати, що він є законною частиною машини, і перевірити, що об'єкт, з яким він бажає для спілкування має право розміщувати або виконувати замовлення. Інакше речі можуть стати небезпечними для пасажирів. В основному ми спостерігаємо міграцію сегментів мережі до надійних ідентичностей, стаючи, з геометричної точки зору, точками.

Майбутнє за співпрацею та довірою, тим більше, що складність призведе до недосконалості механізмів безпеки, впроваджених із самого початку в нових системах, заснованих на Штучному Інтелекті, Віртуальній Реальності, Доповненій Реальності або тому, що має бути.

Що це? Відведіть мене до експерта!

Як і перший сніг, майбутнє нас усіх здивує. Але сильніше, тому що дослідницьке співтовариство почало втілювати ідеї, які ми бачили раніше лише у книгах про фантастику: штучна шкіра з тактильними датчиками, синтетичні матеріали з метаболізмом та можливостями відтворення, автомобілі без водія, дистанційна хірургія, злітні системи і повністю автономні посадки літаків, або автономна робота мереж наступного покоління (5G) з використанням штучного інтелекту для обробки величезних обсягів даних з мільйонів пристроїв та обладнання.

Як колишній ІТ-спеціаліст, нині аналітик безпеки, може виявити потенційно шкідливі події в процесі зльоту автономного повітряного судна? Він може здогадуватися, йому може пощастити, або він може запитати експерта з аеронавтики. Майбутнє прямо вимагає співпраці спільних команд експертів у різних галузях, щоб забезпечити стійкість та кібербезпеку дедалі сучасніших концепцій.

Оскільки ми не маємо шансів знайти всіх цих експертів в одному державному агентстві чи приватній компанії, нам потрібні міждисциплінарні партнерські стосунки, які зможуть виявити потенційні загрози та заходи реагування у випадку вертикальних галузей на основі штучного інтелекту., Хмарні або 5G-мережі; наприклад, взаємопов'язані машини ведуть з боку стандартизації, що вони є лише машинами, і в даний час виграють всілякі настанови, пов'язані з їх взаємодією з іншими суб'єктами ( Автомобіль до всього, транспортний засіб до інфраструктури, транспортний засіб до транспортного засобу ).

Як висновок, у майбутньому стає все більш необхідним технічно сегментувати мережі паралельно із залученням експертів, які разом можуть впоратися з новими загрозами для людства, породженими інноваційними концепціями, про які ми, можливо, ще не знаємо.

Співробітник з кібербезпеки HUAWEI Румунія