Oltre il perimetro: come affrontare la sicurezza a più livelli

Stavo cenando a Washington, DC con l'ex zar della sicurezza informatica nazionale Richard Clarke, ora presidente e CEO di Good Harbor Security Risk Management, quando mi ha spiegato che una buona sicurezza perimetrale non è sufficiente per proteggere la tua rete. "I cattivi", ha spiegato Clarke, "sono già dentro la tua rete."

Il punto di Clarke era che i cyberattaccanti, in particolare gli attori sponsorizzati dallo stato, hanno la capacità di penetrare nella maggior parte della protezione della sicurezza perimetrale, almeno in una certa misura. Questo non significa che la sicurezza perimetrale non sia necessaria. Questo è un aspetto importante da sostenere, come ho sottolineato nella rubrica della scorsa settimana. Sebbene sia fondamentale, non è sufficiente. Hai bisogno di livelli di sicurezza in modo che, quando i cattivi sfondano il perimetro, non possono ancora fare nulla per farti del male.

La sicurezza a più livelli è qualcosa di cui probabilmente hai sentito parlare prima, ma per molti nell'IT è ancora un mistero. Come si creano livelli di sicurezza? Come decidi di quanti strati hai bisogno? Cosa dovrebbero proteggere gli strati? Possono esserci troppi strati?

La risposta dipenderà dalla tua rete, dalla natura della tua azienda e dal tuo livello di rischio. Ma è importante ricordare che il tuo livello di rischio potrebbe essere influenzato dai tuoi partner commerciali. Quindi, se sei un fornitore o un appaltatore, ad esempio, il tuo livello di rischio sarà lo stesso del loro perché quei cattivi proveranno ad usarti come percorso per i tuoi partner commerciali.

I livelli si basano sui dati che è necessario proteggere. Ciò significa che devi assicurarti che i tuoi dati siano conservati e devi anche assicurarti che non possano essere presi da te. E, naturalmente, devi assicurarti che la tua rete sia protetta dai danni in modo che la tua azienda non sia interessata.

Conservazione dei dati

La conservazione dei dati è il primo livello critico. Ciò richiede che tu ti assicuri che una copia dei tuoi dati importanti si trovi in ​​un archivio sicuro dove è inaccessibile agli hacker o ad altri, inclusi i dipendenti scontenti. Per la maggior parte delle aziende, tali backup dovrebbero esistere nel data center in cui è possibile raggiungerli facilmente quando necessario, e anche nel cloud in cui la manomissione è molto più difficile. Esistono numerosi servizi di cloud pubblico che gestiranno i backup, tra cui Amazon Web Services (AWS), Google Cloud e IBM Cloud, nonché servizi di backup dedicati come Carbonite, che ha recentemente acquisito il suo concorrente Mozy.

Tali backup possono quindi essere sottoposti a backup in posizioni geograficamente diverse, il che aiuta a garantire che non vengano compromessi in un singolo disastro. Di solito l'intero processo di backup può essere automatizzato, quindi, una volta impostato, l'unica cosa che devi fare è confermare l'integrità dei tuoi backup secondo necessità.

Quindi c'è la protezione dei dati, il che significa che deve essere inaccessibile e inutilizzabile se qualcuno lo trova. Per rendere inaccessibili i tuoi dati, devi segmentare la tua rete in modo tale che l'accesso a una parte della rete non significhi che puoi raggiungere tutto. Ad esempio, se Target aveva segmentato la sua rete quando è stata violata attraverso il suo sistema HVAC nel 2013, gli hacker non avrebbero potuto accedere ad altri dati.

La segmentazione della rete richiede router che negano l'accesso per impostazione predefinita e consentono connessioni di rete solo da nodi di rete specifici, che i router filtrano utilizzando i loro Media Access Control (MAC) o indirizzi IP. Anche i firewall interni possono svolgere questa funzione e possono essere più flessibili in applicazioni complesse.

Trascurare la crittografia è un grande errore

Oltre alla segmentazione, i dati devono anche essere crittografati, sia mentre vengono trasferiti attraverso la rete sia mentre vengono archiviati. La crittografia è facile da eseguire perché viene eseguita per impostazione predefinita nei software di accesso wireless e cloud e tutti i moderni sistemi operativi (SO) forniscono la crittografia come servizio standard. Tuttavia, la mancata crittografia dei dati critici è forse la principale causa di perdita di dati nelle recenti violazioni.

Le ragioni per cui tali dati non sono crittografati, nonostante i requisiti legali in molti casi per farlo, possono essere riassunti in quattro parole: pigrizia, incompetenza, ignoranza e stupidità. Semplicemente non ci sono scuse per non riuscire a crittografare i dati.

Infine, c'è la protezione della rete. Oltre a proteggere i tuoi dati, devi anche assicurarti che la tua rete non sia utilizzata come piattaforma per lanciare attacchi e devi assicurarti che i tuoi dispositivi di rete non vengano utilizzati contro di te. Questo è particolarmente un problema con le reti che includono controller di macchine nel tuo magazzino o fabbrica, ed è un problema con i tuoi dispositivi Internet of Things (IoT).

• Non sabotare la tua sicurezza, formare i tuoi utenti Non sabotare la tua sicurezza, formare i tuoi utenti
• Inizia a proteggere la tua rete dalle minacce IoT di livello consumer Inizia a proteggere la tua rete dalle minacce IoT di livello consumer
• Ricerca e correzione della sicurezza nel perimetro della rete Ricerca e correzione della sicurezza nel perimetro della rete

Questo è un grosso problema perché così tanti dispositivi di rete hanno poca o nessuna sicurezza propria. Pertanto, è abbastanza facile usarli come piattaforma per lanciare un attacco di negazione del servizio (attacco DoS) o per sottrarre i loro dati come un modo per eseguire la sorveglianza delle operazioni della tua azienda. Possono anche essere utilizzati come base di operazioni contro la rete. Poiché non è possibile eliminare questi dispositivi, il meglio che si può fare è metterli sulla propria rete, proteggerli il più possibile e quindi non consentire loro di collegarsi direttamente alla propria rete interna.

Qui abbiamo discusso diversi livelli e, in alcuni casi, la tua rete potrebbe richiedere di più. Ma è importante ricordare che ogni livello richiede gestione e che la protezione necessaria per ogni livello deve esistere su una rete con altri livelli di sicurezza. Ciò significa che è fondamentale che tu abbia il personale per gestire ogni livello e che la sicurezza di ogni livello non influisca negativamente sulla sicurezza di un altro.

È anche importante evitare la soluzione del giorno, il che significa sicurezza una tantum per combattere una minaccia specifica. È facile farsi risucchiare in una sorta di colpo di sicurezza e finire con un casino ingestibile. Invece, scegli un approccio su larga scala in cui la minaccia del giorno non richiederà ancora un altro livello.