Szegmentálja a hálózatokat, hívjon össze szakértőket

Szerző: Valentin Vioreanu/Megjelenés dátuma: 2020-09-01 13:09

hívjon

A kiberbiztonság evolúciója darwini megközelítést követ, amelyben a rendszerek és szolgáltatások javítják ellenálló képességüket, és a bizonytalan protokollok eltűnnek; Végül a szakértőknek együtt kell állniuk és kezelniük kell az előre nem látható újítások által jelentett veszélyeket.

Először is, mert az emberek minden témáról többet osztanak meg, és digitálisabban vitatkoznak, mint valaha, számtalan közösségi platform segíti őket. A kiberbiztonság egyike azoknak a témáknak, amelyek hullámokat csapnak össze, összekapcsolódva olyan hackerekkel, akik az autópályán átveszik az irányítást az autók felett, vagy leszálláskor átveszik a parancsot a repülőgépek felett. Tehát az emberek kedvelik!

Másodszor, a figyelmet ezen a területen még az informatikai biztonsági szakemberek is felgyorsították, akik több mint tíz éve próbálják megismertetni aggályaikat a vállalatok és szervezetek felső vezetésének napirendjén. Az informatikai biztonsági menedzsment szabványokból, mint például az ISO27001, megtudhatjuk, hogy a menedzsment nemcsak az információbiztonsági irányelvek és eljárások aláírásáért felelős, hanem még irányt is kell adnia, meg kell határoznia ezen a területen a stratégiát, tökéletesen illeszkedve az üzleti stratégiához. Ezt a követelményt az elmúlt években elkezdték megfelelően végrehajtani, miután súlyos kiberrohamok sora érte el a Top 50-be tartozó globális intézményeket és vállalatokat. Az igazgatósági tagok nem kérdezték tovább: "Mi a valószínűsége annak, hogy megtámadják?", Passing valami hasonlóra: "Mennyire vagyunk ellenállóak a következő kibertámadásnak?"

Végül, de nem utolsósorban, az állampolgárok elkezdték megkérdőjelezni gazdaságaik bankok általi védelmét, a magánélethez való jogukat, további nyomást gyakorolva az alkalmazás- és a technológiai szolgáltatókra a belső védelmi intézkedések alkalmazására. az összes jelenleg használt terminálban és szoftverben. És ez a fordulópont a biztonságos digitális világ felé.

A jelenlegi évezred a számítógépes féreg legfontosabb globális terjesztésével kezdődött, amely ismét bebizonyította, hogy az emberek a biztonsági gyengeségek láncolatának gyenge láncszemei. Szeretet után kutatva az emberek lelkesen nyitották meg és böngészték az új "Szeretlek" nevű e-mailt, amely egy ígéretes szerelmes levelet csatolt "LOVE-LETTER-FOR-YOU.txt.vbs" néven. Ez volt az a pillanat, amikor mindannyian rájöttünk, hogy a falak építése a belső informatikai hálózatok körül nem elegendő, mert az alkalmazottak természetes és emberi viselkedésük miatt gyakorlatilag felmondják a védelemre szánt tűzfalakat. Számos millió számítógép fertőzött meg és használhatatlanná vált; és számos szervezet megkezdte a munkavállalók biztonságát szolgáló képzési kampányokat. És sok más globális támadás férgekkel és ransomware-rel, amelyek a merevlemezek teljes titkosításával való megsemmisítésére irányultak.

Másrészt a biztonsági rések sokaságát fedezték fel egymás után a számítógépes és kommunikációs hálózatok által használt protokollokban és alkalmazásokban, egyre nagyobb nyomást gyakorolva az informatikai szakemberek vállára, akik elkezdtek a kiberbiztonsággal foglalkozik, és megtanulja, hogyan védjék meg infrastruktúrájukat. Ez egy új szakma kezdete volt az informatikai szakemberek számára, mind a magáncégek, mind az állami szervezetek iránt nagy igényekkel. A Cybersecurity Ventures becslése szerint 2021-ig globálisan 3,5 millió kiberbiztonsági álláshelyre számítanak.

A rendszer- és a hálózati rendszergazdáknak, valamint az informatikai biztonsági „úttörőkkel”, számos különféle protokollhoz kapcsolódó biztonsági résekkel és orvoslásokkal kellett megküzdeniük, amelyek az egész TCP IP-veremben elosztva voltak, a hálózati kártyáktól a csúcsig, alkalmazások. A mentalitás továbbra is összefüggött a belső hálózatok körüli határ erősségével és azok zónázásával különböző hozzáférési követelményekkel rendelkező szegmenseken, például a DMZ (DeMilitarized Zone), a rendszeres alkalmazottak belső hálózata és az szigorúan ellenőrzött hozzáféréssel rendelkező adatközpont között, csak "műértők számára". "Jelentése" admini ".

Az általában elkülönített és a párhuzamos világban a protokollok szerint működő, az informatikai személyzet számára egyértelműen ismeretlen termelési hálózatok (más néven OT, "üzemeltetési technológia") és irányítási megoldások (például SCADA) fokozatosan elkezdték átlépni a vonalat, összekötve -az informatikai infrastruktúrával van együtt, és ezen a lépésen keresztül újabb kibernetikai kockázatokat jelent a működési környezetek számára. Olyan áram volt ez, amely valahogy ellentétes a szegmentálással, de gazdaságilag szükséges volt. Az új integrált hálózat, az informatika vagy a termelés működését legjobban biztosítani tudó részlegről a döntést több évig tartó "világi" küzdelmek után hozták meg, végül az informatikai csapat elnyerte ezt a jogot ... vagy inkább felelősséget.

Új korszak kezdődött, a termelési infrastruktúra megnyitása a régimódi hackerek előtt.

Az elmúlt évtized legtöbbet beszélt támadása a Stuxnet-hez kapcsolódik, amely féreg gondosan bejárta kanyargós útját Irán atomerőműveinek szívébe. Az egyik informatikai rendszerről a másikra az elektromechanikus folyamatok vezérléséhez használt programozható logikai vezérlőre (PLC) való áttérés, például az atomerőmű gázcentrifugálásához kapcsolódó folyamatok, a Stuxnet a kiválasztott célpont egyik legpusztítóbb támadása. De a legnagyobb hatást a kiberbiztonsági szakemberek érezték, akiknek el kellett fogadniuk, hogy a gyártási hálózatok hackerek iránti vonzerejének hiánya, vagy a biztonsági protokollok megértésének nehézségével kapcsolatos előzetes elképzelés már nem áll fenn. nekik.

A digitális szegmentálás egyre fontosabbá vált, több szintet áthaladva akár a virtualizált környezetekben alkalmazható mikroszegmentálás koncepcióján keresztül is elérheti az alkalmazáskomponensek mikroszkopikus szintjét. Minden darab, függetlenül attól, hogy milyen kicsi, egy adott megoldásban része lehet egy adott szegmensnek, és abban a szegmensben maradhat, még akkor is, ha különböző adatközpontok között mozognak, néha akár különböző országokban is, egy infrastruktúrán belül. virtualizált. A szegmensek már nem kapcsolódnak közvetlenül ahhoz a hardvereszközhöz, amelyre telepítik vagy tárolják, lehetővé téve a modern típusú alkalmazások biztonságát, például a távgyógyászatban, függetlenül a távközlési szolgáltatók által biztosított infrastruktúrától.

Ahogy az 5G infrastruktúrák felé haladtunk, a szabványosítási fázistól kezdve további szegmentálási szintet határoztak meg, nevezetesen a hálózati szeletelést, angolul a kissé barátságosabb elnevezésű (hálózati szeletelés) kifejezést. Ez a tulajdonság ismét megmutatja, hogy a szegmentálás az infrastruktúra biztonságának egyik legfontosabb intézkedésévé vált, miután két évtizede hatástalanok voltak a határok a kibertámadásokkal szemben.

Kemény döntések: amit először védünk?

Az olyan technológiák egyre növekvő összetettsége, amelyek képesek egymilliárd "dolog" összekapcsolására, amelyek egyszerű feladatokat képesek elvégezni, mint például a páratartalom mérése, de olyan összetett feldolgozási tevékenységek is, mint például az összekapcsolt autó alkatrészei közötti kommunikáció biztosítása érdekében kriptográfiai kulcspárok előállítása, egyértelmű meghatározást igényel. kritikussági szintek; ellenkező esetben gyakorlatilag korlátlan költségvetésre van szükségünk a kiberbiztonság biztosításához. Noha a prioritás-gondolkodás nem új keletű, éppen a rendszerek, berendezések és hálózatok hatalmas száma és összetettsége miatt vált létfontosságúvá, amelyekkel a következő években kölcsönhatásba lépünk.

Vegyünk egy autó példáját; mennyire lehet fontos a vezetőülés színe (bár vannak kételyeim ebben az érvben, ha körülnézek ☺), vagy hogy van-e egy szép nikkelrúdunk az ajtókon? Ha vannak bizonyos előnyei és hátrányai az autók színével és megjelenésével kapcsolatban, akkor egyöntetűen elfogadják, hogy az autó legkritikusabb rendszerei a fékezés, kormányzás, motor és légzsákok, amelyeknek meg kell felelniük a hivatalos biztonsági és biztonsági előírásoknak. Biztonság. Ezért prioritást kell élveznie a kritikus rendszerek kellő fontosságának és a legnagyobb pénzügyi és emberi erőforrásnak a biztonságukra történő allokálásával, hogy közelebb kerülhessünk a tökéletességhez, és megvédhessük azokat a célzott támadásoktól, amelyek jogosulatlan ellenőrzésükhöz vezethetnek.

A hálózatok jövőbeli generációira, például az 5. generációra tekintve a német távközlési szabályozó hatóság a kiberbiztonsági hatósággal együtt a kritikus funkciók kifejezett listáját is javasolja; ezek között azonosíthatunk olyan funkciókat, mint például az identitás létrehozása és kezelése, a hálózatokhoz és szolgáltatásokhoz való hozzáférés vezérlése, a kriptográfiai kulcsokat generáló (nem szakemberek számára valamilyen fontos jelszavak) vagy a funkciók egyszerű kezelése. hálózatok. Más szavakkal, a kritikus azt jelenti, hogy mi képes mindent kezelni egy hálózatban, olyan funkciókat, amelyek ha sebezhetőnek bizonyulnak, lehetővé tehetik a hackerek számára, hogy irányítsanak… még a vezérlő funkciókat is.

Ha a költségvetés nem néz le ránk, a Marsról, akkor azt külön a kritikus alkotóelemekre kell fordítanunk, és a lehető legjobb hatást kell elérnünk az infrastruktúránk biztonságában.

A világ kicsit puhábbá válik

Amint teljesen összekapcsolt világgá fejlődünk, a legtöbb hálózati és rendszerfunkció virtualizálódik; a végfelhasználók a saját termináljukon vagy más speciális berendezésen keresztül számos lehetséges szolgáltatást elérhetnek pontosan e funkciók miatt, például: az igényeiknek megfelelő távorvoslás, összekapcsolt vagy akár autonóm autók tapasztalata, optimalizált vasúti infrastruktúra, nálunk okosabb városok és sokan mások. Az innováció dinamizmusa túl nehézkessé teszi a hardvereket, és felgyorsítja a funkciók virtualizálásának szükségességét, az áttérést a "felhő" és a "köd" számítástechnikára (nem technikai értelemben egy felhő egy kicsit közelebb hozzánk, a felhasználókhoz, mint egy köd) és az elkerülhetetlen fejlesztést szoftverek. Egyre többet fogunk élni a szoftverek által uralt világban, és ez további nyomást és felelősséget ró a vállakra, sőt, a programozók kezére.

Ennek ellenére, miután tesztelték és biztonságosnak minősítették, a szoftvernek integritási mechanizmusokkal kell rendelkeznie, amelyek megerősítik, hogy a gyártótól a vevőig terjedő dolgokat nem változtatták meg, a szállítás során nem halták meg és nem változtatták meg. Az elosztási láncok bonyolultsága alapvető kérdéssé teszi a bizalmat, ezért az egész terjesztési láncban a műszaki integritás biztosítása az egyetlen módja annak bizonyítására, hogy a szállítási folyamatban nincsenek interferenciák.

Hinni vagy nem hinni? Ez a kérdés.

A "Zero Trust" fogalma azt jelenti, hogy egyetlen összetevőt sem tekintünk implicit módon megbízhatónak, mielőtt az entitás kommunikálna vele, mindkettőjük identitását először technikai eszközökkel kell igazolni. Mielőtt csatlakoztatnák a csatlakoztatott géphez, egy modul egyedi fizikai identitást kap a gyártótól, és néha egy másodikat a rendszer megvalósítójától, kriptográfiai mechanizmusok alapján. Amikor a modulnak érzékeny információkat kell cserélnie, vagy parancsokat kell adnia a motornak vagy a fékeknek felhőalkalmazáson vagy információs és szórakoztató rendszeren keresztül, akkor először be kell mutatnia, hogy ez a gép törvényes része, és érvényesítenie kell, hogy az a személy, akivel kívánja a kommunikációhoz joga van megrendeléseket leadni vagy végrehajtani. Ellenkező esetben a dolgok veszélyessé válhatnak az utasok számára. Alapvetően megfigyeljük a hálózati szegmensek migrációját megbízható azonosságok felé, geometriai szempontból pontokká válva.

A jövő az együttműködés és a bizalom, főleg, hogy a bonyolultság a mesterséges intelligencián, a virtuális valóságon, a kibővített valóságon vagy az elkövetkezendőeken alapuló új rendszerekben a kezdetektől fogva bevezetett biztonsági mechanizmusok tökéletlenségéhez vezet.

Mi ez? Vigyen a szakértőhöz!

Az első hóhoz hasonlóan a jövő is mindannyiunkat meglep. De erősebb, mert a kutatói közösség elkezdte megvalósítani azokat az ötleteket, amelyeket korábban csak fantasy könyvekben láttunk: műbőr tapintható érzékelőkkel, szintetikus anyagok, anyagcsere- és reprodukciós képességekkel, vezető nélküli autók, távműtétek, felszálló rendszerek és teljesen önálló repülőgép-leszállások, vagy a következő generációs (5G) hálózatok autonóm működése, mesterséges intelligencia segítségével, rengeteg adat feldolgozásához eszközök és berendezések millióiból.

Hogyan ismerheti fel egy korábbi informatikus, ma biztonsági elemző az esetleges rosszindulatú eseményeket az önálló repülőgép felszállásának folyamatában? Sejtheti, lehet szerencséje, vagy megkérdezhet egy repülésügyi szakértőt. A jövő kifejezetten megköveteli a különböző területeken tevékenykedő szakértői csoportok együttműködését az előttünk álló, egyre modernebb koncepciók rugalmasságának és kiberbiztonságának biztosítása érdekében.

Mivel esélyünk sincs megtalálni ezeket a szakértőket egyetlen állami ügynökségnél vagy magánvállalkozásnál, olyan interdiszciplináris partnerségekre van szükségünk, amelyek képesek azonosítani a lehetséges fenyegetéseket és reagálási intézkedéseket a mesterséges intelligencián alapuló vertikális iparágak esetében., Cloud vagy 5G hálózatok; például az összekapcsolt gépek a szabványosítási oldalon vezetnek arra, hogy csak gépek, és jelenleg mindenféle iránymutatásban részesülnek a más entitásokkal való interakciójukkal kapcsolatban ( Jármű mindenhez, Jármű infrastruktúrához, Jármű jármű ).

Következtetésként elmondható, hogy a jövőben egyre inkább szükség van a hálózatok technikai szegmentálására, párhuzamosan a szakértők összefogásával, akik együtt képesek megbirkózni az emberiséget fenyegető új fenyegetésekkel, amelyeket olyan innovatív koncepciók generálnak, amelyekről talán még nem is vagyunk tudatában.

Kiberbiztonsági tisztviselő, HUAWEI Románia