Czym tak naprawdę jest to Defense in Depth?

utworzone przez | lis 24, 2022

()

Wstęp

W dzisiejszym artykule porozmawiamy sobie o Defense in Depth (DID). Na pewno każdy z nas na jakimś etapie kariery był odpytywany na rozmowie o prace o to pojęcie. Postaram Ci się przybliżyć, czym ono jest, na czym polega, jaka jest jego architektura, warstwy czy historia. Jeśli mnie czytasz, to wiesz, że jestem fanem Zero Trust, ale to niejedyne pojęcie, które lubię — Defense in Depth jest też jednych z nich. Często mówię, że bezpieczeństwo jest jak cebula. A dlaczego? Bo cebula ma warstwy, Shrek ma warstwy i bezpieczeństwo ma warstwy. 😉

Defense in Depth czasami też jest nazywana podejściem zamkowym, ponieważ jest podobna do warstwowej obrony średniowiecznego zamku z fosami, mostami zwodzonymi i wieżami, które atakujący musieliby pokonać, by dostać się do swojego celu. Defense in Depth to strategia bezpieczeństwa, która wykorzystuje wiele produktów i praktyk bezpieczeństwa w celu ochrony sieci i zasobów organizacji. Jest warstwowym podejściem do bezpieczeństwa, ponieważ wprowadza rozwiązania na wielu poziomach kontroli takich jak fizyczne, techniczne i administracyjne, aby uniemożliwić dostęp do systemu, czy sieci atakującemu.

Korzystanie z wielu zabezpieczeń jest kluczowe do kompleksowego podejścia do obrony organizacji, aby zapewnić maksymalne bezpieczeństwo. Gdy strategia Defense in Depth jest prawidłowo wdrożona, nawet jeśli atakujący uzyska dostęp do sieci, istnieją protokoły bezpieczeństwa, które zapobiegają powodowaniu rozległych szkód. Im więcej warstw zabezpieczeń istnieje, tym trudniej będzie przebić się przez nie.

Historia i pochodzenie Defense in Depth

Koncepcja obrony dogłębnej została pierwotnie opracowana przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA), a jej nazwa pochodzi od popularnej starożytnej strategii wojskowej, która była znana z użycia przez generała Kartaginy Hannibala Barcę i armię późnorzymską. Opisuje ona scenariusz wojenny, w którym słabsza, broniąca się armia celowo wycofuje się w głąb swojej ojczyzny, zamieniając przestrzeń na jakiś czas. Jednak w przypadku bezpieczeństwa tak to nie działa, obrońcy nigdy nie oddają kontroli nad żadnym systemem na rzecz atakującego.

Architektura Defense in Depth

Zanim zaczniemy mówić o podstawowej architekturze bezpieczeństwa DID (Defense in Depth), ważne jest, aby wiedzieć, że nie ma standardowego formatu do naśladowania, ponieważ każda organizacja będzie miała różne potrzeby. Jednak każda rozbudowana architektura obrony może zawierać jeden lub wiele z niżej wymienionych aspektów. Istnieją trzy podstawowe elementy każdej strategii DID, a mianowicie kontrole fizyczne, techniczne i administracyjne. Te trzy elementy budują architekturę strategii DiD. Poniżej pokrótce postaram Ci się przybliżyć każdy z nich.

Techniczne kontrole

To prawdopodobnie najbardziej znane z warstw w DID. Obejmują środki bezpieczeństwa, które chronią bezpieczeństwo sieci i inne zasoby IT za pomocą sprzętu i oprogramowania. Mogą to być na przykład systemy ochrony przed włamaniami, zapory sieciowe aplikacji internetowych, zarządzanie konfiguracją, skanery internetowe, uwierzytelnianie dwuskładnikowe, biometria, dostęp czasowy, menadżery haseł, wirtualne sieci prywatne, szyfrowanie w spoczynku, mieszanie i szyfrowane kopie zapasowe, itd. Sporo tego ale są to „mega kontrole”, do których można by dopisywać i dopisywać. Mam nadzieję, że powyższe przykłady przybliżyły Ci, o co chodzi.

Fizyczne kontrole

Mają na celu uniemożliwienie fizycznego dostępu do sieci i systemów informatycznych lub też chronią je przed uszkodzeniami różnego typu. Warstwy zabezpieczeń w ramach kontroli fizycznej mogą być tak proste, jak zamknięte drzwi do szafy serwerowej lub centrum danych, poprzez karty dostępu, które należy zeskanować pod kątem wejścia, czy kamery bezpieczeństwa lub ochroniarzy patrolujący budynek.

Kontrole Administracyjne

To środki bezpieczeństwa składające się z zasad i procedur skierowanych do pracowników organizacji i ich dostawców. Przykłady obejmują zasady bezpieczeństwa informacji, zarządzanie ryzykiem dostawcy, zarządzanie ryzykiem stron trzecich, oceny ryzyka cyberbezpieczeństwa i strategie zarządzania ryzykiem informacji organizacji. Przykładem może być szkolenie pracowników, w którym upewnimy się, że informacje poufne są oznaczane jako „poufne” lub przechowywane przez nich prywatne pliki są tylko na urządzeniach nienależących do organizacji.

Kontrole fizyczne, techniczne i administracyjne razem tworzą podstawową strategię DID. Ponadto wielu specjalistów ds. bezpieczeństwa korzysta z narzędzi bezpieczeństwa, które stale monitorują ich i ich dostawców pod kątem potencjalnych luk w ich zabezpieczeniach. Jeśli Twoja organizacja jest nowa w cyberbezpieczeństwie, doskonałym miejscem na rozpoczęcie jest NIST czy ISO, przy których we wdrożeniu możemy pomóc – napisz tutaj a ustalimy, w czym możemy pomóc. Kiedy łączy się wiele aspektów z każdej grupy kontrolnej, wdrażane jest prawdziwym podejście do DID. Chodzi o to, że im więcej warstw zabezpieczeń wdrażamy, tym trudniej jest włamać się do naszych środowisk, co znacznie zwiększa nasz stan bezpieczeństwa i zdolność do ochrony krytycznych danych.

Typowe dziury w strategiach cyberbezpieczeństwa

Poniżej wymienię Ci kilka typowych dziur w strategiach bezpieczeństwa, przy których DID może pomóc, jeśli zostanie dobrze wdrożony.

Lista:

  • Wykrywanie wirusów lub złośliwego oprogramowania trwa zbyt długo
  • Pracownicy padają ofiarą taktyk phishingowych, które otwierają sieć na zagrożenia
  • Znane błędy nie są łatane, a aktualizacje ignorowane
  • Zasady bezpieczeństwa nie są egzekwowane ani dobrze znane pracownikom i użytkownikom
  • Brakujące lub źle zaimplementowane szyfrowanie
  • Brak ochrony przed złośliwym oprogramowaniem
  • Obowiązki pracy z domu wprowadzają nowe zagrożenia dla pracowników zdalnych łączących się z niezabezpieczonymi sieciami i ujawniających dane — brak poprawnie wdrożonych polityk, procedur czy rozwiązań technicznych
  • Fizyczne problemy bezpieczeństwa
  • Partnerzy biznesowi lub łańcuchy dostaw nie zawsze są w pełni bezpieczne

Elementy Defense in Depth

Ze względu na stale rosnący krajobraz zagrożeń bezpieczeństwa, z którymi muszą się zmagać, firmy zajmujące się bezpieczeństwem nieustannie opracowują nowe produkty zabezpieczające w celu ochrony sieci i systemów. Oto niektóre z najczęstszych elementów bezpieczeństwa występujących w strategii DID.

Kontrola bezpieczeństwa sieci

Strategia DID nie może pomijać granic sieci i zaczyna się od zapory ogniowej lub IDS, aby próbować blokować ataki na obrzeżach sieci. System ochrony przed włamaniami i inne narzędzia do monitorowania sieci skanują ruch w sieci w poszukiwaniu dowodów na to, że zapora została naruszona i albo reagują automatycznie, albo wzywają pomoc. A narzędzia takie jak VPN pozwalają użytkownikom na bezpieczniejsze łączenie się i uwierzytelnianie użytkowników, aby upewnić się, że są tym, za kogo się podają. Poniżej lista najczęściej wykorzystywanych narzędzi:

  • Firewalls to urządzenia lub programy, które kontrolują ruch sieciowy za pomocą zasad lub reguł dostępu, lub odmowy. Reguły te obejmują czarną lub białą listę adresów IP, adresów MAC i portów.
  • Intrusion Prevention or Detection Systems (IDS/IPS) – IDS wysyła alert po wykryciu złośliwego ruchu sieciowego, podczas gdy IPS próbuje zapobiegać i ostrzegać o zidentyfikowanej złośliwej aktywności w sieci lub stacji roboczej użytkownika. Rozwiązania te opierają rozpoznawanie ataków na sygnaturach znanej szkodliwej aktywności sieciowej.
  • Endpoint Detection and Response (EDR) oprogramowanie znajduje się w systemie klienta i zapewnia ochronę antywirusową, alerty, wykrywanie, analizę, segregację zagrożeń i funkcje analizy zagrożeń.
  • Segmentacja sieciowa to praktyka dzielenia sieci na wiele podsieci zaprojektowanych wokół potrzeb biznesowych. Na przykład często obejmuje to posiadanie podsieci dla kadry kierowniczej, finansów, operacji i zasobów ludzkich. Pomaga również ograniczyć ekspozycję wewnętrznych systemów i danych na dostawców, wykonawców i innych użytkowników zewnętrznych. Utworzenie oddzielnych sieci bezprzewodowych dla użytkowników wewnętrznych i zewnętrznych umożliwia organizacjom lepszą ochronę poufnych informacji przed nieautoryzowanymi stronami. W zależności od wymaganego poziomu bezpieczeństwa sieci te mogą nie być w stanie komunikować się bezpośrednio.
    • Sieci VPN maskują dane użytkownika, kierując całą komunikację przez zaszyfrowany serwer prywatny, a nie przez publicznego dostawcę usług internetowych, umożliwiając użytkownikom zdalne łączenie się z siecią za pośrednictwem bezpiecznego tunelu.
    • Sieci VLAN to dzielenie sieci na wiele podsieci prywatnych lub sieci wirtualnych.

Oprogramowanie antywirusowe

Oprogramowanie antywirusowe jest podstawą całościowej strategii obronnej w DID ze względu na jego zdolność nie tylko do zapobiegania, ale także wykrywania i usuwania złośliwego oprogramowania. Jednak wiele wariantów często w dużym stopniu opiera się na wykrywaniu opartym na sygnaturach. Chociaż rozwiązania te zapewniają silną ochronę przed złośliwym oprogramowaniem, produkty oparte na sygnaturach mogą być omijane przez inteligentnych cyberprzestępców. Z tego powodu mądrze jest używać rozwiązania antywirusowego, które zawiera funkcje heurystyczne, które skanują w poszukiwaniu podejrzanych wzorców i aktywności.

Analiza integralności

Każdy plik w systemie ma tak zwaną sumę kontrolną. Jest to matematyczna reprezentacja pliku, która pokazuje częstotliwość jego użycia, jego źródło i która może być użyta do sprawdzenia znanej listy wirusów i innego złośliwego kodu. Jeśli przychodzący plik jest całkowicie unikalny dla systemu, może zostać oznaczony jako podejrzany. Rozwiązania integralności danych mogą również sprawdzać źródłowy adres IP, aby upewnić się, że pochodzi on ze znanego i zaufanego źródła. Narzędzia, które odpowiadają na te pytania, stanowią kolejną z kluczowych warstw obronnych.

  • Szyfrowanie – chroni wrażliwe dane przed ujawnieniem nieupoważnionym lub złośliwym stronom. Informacje są ukrywane poprzez konwersję zwykłego tekstu na tekst zaszyfrowany.

Zarządzanie tożsamością

Celem zarządzania tożsamością i dostępem jest przyznanie użytkownikom dostępu do zasobów i urządzeń, dla których zostały one wstępnie zatwierdzone. Gwarantuje to, że tylko przeszkoleni i sprawdzeni użytkownicy będą korzystać z aplikacji i systemów podatnych na ataki lub o znaczeniu krytycznym. Niektóre z najczęstszych komponentów frameworka IAM to:

  • Zarządzanie kontami uprzywilejowanymi: Odnosi się do zarządzania i kontroli danych, do których uzyskują dostęp konta użytkowników na podstawie zestawu uprawnień, które zostały im przyznane. Mówiąc najprościej, zarządzanie kontami uprzywilejowanymi umożliwia administratorom tworzenie repozytorium użytkowników, którym mogą przypisywać i usuwać uprawnienia na podstawie ich roli w organizacji.
  • Uwierzytelnianie wieloskładnikowe: jak sama nazwa wskazuje, wymaga wielu form uwierzytelniania w celu zweryfikowania tożsamości użytkownika lub urządzenia przed zezwoleniem na dostęp do sieci lub aplikacji.
  • Uwierzytelnianie oparte na ryzyku: W przypadku korzystania z uwierzytelniania opartego na ryzyku, system może dynamicznie dostosowywać wymagania dotyczące uwierzytelniania na podstawie sytuacji użytkownika w momencie próby uwierzytelniania.

Analiza behawioralna

Policjanci mają tendencję do skupiania się na ludziach zachowujących się dziwnie lub podejrzanie, bezpiecznicy powinni robić to samo. „Ludzie” mogą tutaj oznaczać ludzi lub zautomatyzowane procesy. Analiza behawioralna może pomóc w wykrywaniu nietypowych wzorców ruchu i ataków w miarę ich występowania. Czyni to, porównując zachowanie użytkownika ze wzorcem normalnego zachowania, który zaobserwowano w przeszłości. Sprawdza na przykład czy ktoś nagle uzyskuje dostęp do danych, do których normalnie by nie miał dostępu. Czy jakiś host wysyła tony zaszyfrowanych informacji na jakiś serwer w Europie Wschodniej? Wszelkie nieprawidłowości mogą spowodować, że systemy bezpieczeństwa przekierują złośliwy ruch i zapobiegną przeprowadzaniu ataków. Jeśli analiza behawioralna jest aktywna, oznacza to, że zapora lub rozwiązania do ochrony przed włamaniami zawiodły.

Zarządzanie aktualizacjami

Zarządzanie aktualizacjami to proces stosowania aktualizacji do systemu operacyjnego, oprogramowania, sprzętu lub dodatków do przeglądarek. Często te poprawki usuwają zidentyfikowane podatności, które mogą umożliwić nieautoryzowany dostęp do systemów informatycznych lub sieci. Zarządzanie poprawkami to proces, który najpierw obejmuje skanowanie urządzeń w celu zidentyfikowania brakujących aktualizacji oprogramowania i luk w zabezpieczeniach. Następnie procedura jest kontynuowana poprzez zastosowanie wspomnianych aktualizacji oprogramowania, aplikacji lub systemu operacyjnego maszyny, gdy tylko zostaną one wdrożone przez producenta. Nieaktualne aplikacje to ogromna odpowiedzialność dla Twojej organizacji. Aby upewnić się, że wszystkie luki w zabezpieczeniach zostaną zamknięte na czas, należy usprawnić proces za pomocą automatycznego aktualizatora oprogramowania.

Edukacja z bezpieczeństwa informacji

Ostatnim aspektem na tej liście strategii DID jest edukacja w zakresie bezpieczeństwa informacji w formie szkolenia np. takiego jak organizacja może zamówić u mnie tutaj. Jest to zalecane w każdej organizacji, niezależnie od tego, czy firma jest duża, średnia czy mała. Zakres szkolenia trzeba dopasowywać zależnie od wymagań w danej branży czy organizacji. W ten sposób dodajesz warstwę bezpieczeństwa swojej firmy na poziomie pracownika. Błąd ludzki jest nadal bardzo niebezpieczny, dlatego dobrze poinformowany personel może pomóc w zapobieganiu krytycznym sytuacjom.

Defense in Depth obejmuje wiele elementów, im więcej elementów zostanie wdrożone, tym bezpieczniej będzie w organizacji. Jeśli zaimplementujemy tylko dwa z powyższych to już będzie coś, ale nie daje to gwarancji sukcesu ja to zwykle bywa. Jednak w im więcej elementów/warstw zainwestujesz, tym Twoja organizacja zacznie wyglądać jak ufortyfikowany zamek. Im zamek będzie miał większe mury obronne, tym mniej będzie chętnych, by go zaatakować — poszukają łatwiejszego celu.

Podsumowanie

Dziś poznałeś historie, architekturę oraz elementy Defense in Depth. Mam nadzieje, że dzięki temu zrozumiałeś jak działa Defense in Depth. Im wcześniej poznasz i zrozumiesz to pojęcie, tym lepiej ponieważ będzie się ciągnąć przez całą karierę.

PozdrawiamPush

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić

468

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *