Мы должны принципиально изменить наш подход к безопасности

Мы должны принципиально изменить наш подход к безопасности

Давайте на этой неделе попробуем другой, не технический,  стиль статьи. В статье предлагается сделать шаг назад и взглянуть на стратегию ИТ «с высоты птичьего полета», а не со стороны технических / тактических деталей ИТ-операций. Эта статья является результатом совместных усилий по идентификации и безопасности и была разработана в течение длительного периода времени с участием множества сотрудников MCS, PFE и групп кибер безопасности в Microsoft. Наслаждайтесь!

Michael Hildebrand- MSFT

Эта статья не предназначена чтобы свести на нет обсуждения по вопросам безопасности, она скорее предназначена для начала разговора о безопасности, в которой мы признаем определенные реалии. В этом случае мы признаем, что нынешние парадигмы безопасности не соответствуют результатам.

Идентификация должна быть важным направлением для обеспечения безопасности

Идентификация передается при каждой транзакции и расширяет периметр за пределы корпоративной границы, поэтому наша защита также должна выходить за рамки этих границ. В духе десяти неизменных правил безопасности, введем следующие Правила Идентификации для рассмотрения сообществом:

Предлагаемые правила Идентификации:

  1. Если плохой парень сможет убедить сотрудника компании что он это Вы, то он получит доступ ко всем Вашим данным, хранящимся в организации и потенциально любой другой организации, доверяющей Вам.
  2. Если плохой парень может изменить пароль для Вашей учетной записи, то он имеет доступ ко всем данным, доступным для этой учетной записи.
  3. Если плохой парень может украсть (или применить социальную инженерию) пароль Вашей учетной записи, то он имеет доступ ко всем данным, доступным для этой учетной записи (и всех других, использующих тот же пароль) а также потенциально любого другого клиента, который доверяет провайдеру.
  4. Если плохой парень может получить ответы на Ваши вопросы безопасности от социальных медиа, Ваши аккаунты в них больше не Ваши, и, следовательно, он имеет доступ ко всем данным, доступных на аккаунтах, где Вы использовали эти вопросы безопасности.
  5. Если плохой парень может получить доступ к паролю или хэшу пароля, это больше не Ваша учетная запись, и, следовательно, он имеет доступ ко всем данным аккаунта (и всех других, использующих тот же пароль).
  6. Многофакторная  аутентификация (MFA) не является панацеей; она защищает от кражи ПАРОЛЕЙ,  но не кражи УЧЕТНЫХ ДАННЫХ. Если  у плохого парня будут права учетной записи администратора /root доступ на машине, где Вы вошли в систему, используя MFA, то он имеет доступ к Вашей учетной записи (и Вы вернулись к Правилу # 1).
  7. MFA без защиты учетных (например брутфорса, оповещения пользователей, либо активного аудита) означает, что если получен физический доступ, мы вернулись к брутфорсу (перебору) пароля. Если плохой парень подберет пароль, то он имеет доступ к Вашей учетной записи (и Вы вернулись к Правилу # 1).

«Только любители атакуют машины; профессионалы нацелены на людей.»

Шнайер, Брюс (2000-10-15). Семантические атаки: Третья волна Сетевых атак. Шнайер в блоге Безопасности.

Шнайер написал это пятнадцать лет назад. Это большая статья с хорошими идеями, но концепция безопасности на основе идентификации уже была общепринятой. Тем не менее, не предпринималось почти никаких действий, чтобы исправить недостатки в нашем подходе к безопасности, ни даже рабочего определения безопасности. Этот дефицит сохраняется и по сей день. Существует рефлексивное приравнивание безопасности, означающее сетевую безопасность.  Дни, когда вы могли бы поставить по периметру брандмауэры между Вами и миром и чувствовать себя в безопасности ушли, если они когда-либо вообще существовали.
Команда сетевых администраторов со своими брандмауэрами не может больше сделать вывод, что они являются единственным средством защиты. Межсетевые экраны снижают ПОВЕРХНОСТЬ атаки, но они не являются безопасностью сами по себе.

Картина современности прогрессирует все хуже и хуже со времен работы Шнайера. Теперь мы имеем дело с постоянными изощренными угрозами (APT).

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Advanced-Persistent-Threats-Awareness-Study-Results.aspx

Плохие парни действительно по-настоящему плохие. APT  используют не просто физические лица, ищущие быстрого и легкого обогащения (хотя таких довольно много), APT занимаются хорошо финансируемые, полностью укомплектованные, хорошо организованные, высококвалифицированные профессиональные организации, которые собирают данные о Вас, Вашем бизнесе и всем остальном, замышляя нехорошее. Они собрали эти данные и построили довольно большой мета файл на отдельных лиц и организаций. Они ищут в нем данные, собирают и накапливают их, сохраняют и найдут время, чтобы соединить  все точки. Тогда они смогут выполнять изощренные атаки — они получат  доступ и останутся. Они закрепятся в Вашей организации, компьютере, и телефоне.

Изменения, которые делают APT реальностью:

  • Повсеместный доступ к информации
  • Все подключены к сети
  • Существует финансовый стимул

Если этого не достаточно, чтобы удержать Вас от пробуждений во время ночных кошмаров, пожалуйста, ознакомьтесь с Kaspersky Equation White Paper. APT являются фундаментом  для предварительной загрузки вредоносного ПО / троянов / бэкдоров.
Идентификацию и все прилагающиеся пряники можно получить, если выбрана правильно (скажем, Ваша идентификация) мишень. Технология может быть только частью решения. Решение проблем безопасности с одной только технологией само по себе является заблуждением. Вы можете настроить  требование двух факторной аутентификации (рекомендуется так и поступить- это очень хорошая вещь), но если пользователь берет маркер, чтобы написать свой ПИН на смарт-карте и передает её дальше, тогда в чем смысл? Ситуация могла бы быть хуже, чем если бы Вы имели просто сложный пароль. Вы можете спроектировать и реализовать наиболее безопасную систему сколь возможно, но, если все элементы управления отключаются, а процессы и регламенты не выполняются, то система станет так же уязвима, как если бы ни одна из работ по обеспечению безопасности не была бы сделана. Безопасность это процесс, а не инструмент или цель.

Думать, что Вы поставили чекбокс напротив слова «безопасность», когда прошли аудит является заблуждением. Все крупные организации, где кредитные карты и аккаунты были украдены пачками тоже прошли аудит. Минимального соответствия не достаточно.

Подсознательно Вы осознаете вероятность компрометации почти наверняка, и всегда это будет иметь катастрофические последствия. Плохие парни приходят после всех. Они всегда работают 24/7. Защита себя от сегодняшних кибер-угроз может означать для них, что у Вас действительно есть то, о чем Вы беспокоитесь: о доме, чтобы в него вернуться, работе, деньгах — обо всем том, что имеет для Вас ценность. Это стоит  своих усилий, и это должно быть главным приоритетом для Вас. Таким образом, мы должны усвоить новые правила дорожного движения.

Мы надеемся, что в следующие пятнадцать лет мы будем говорить о тех плохих днях, когда кража личных данных / паролей была обычным делом. С чего начать?

Мы должны начать с человека, который представляет идентификацию. Вы представляете кибер-личность в качестве работника, клиента банка, гражданина, владельца кредитной карты с подразумеваемой, если не явной ответственностью. В конечном счете вы будете нести на себе всю тяжесть компромисса Вашей идентификации. Компрометация одной идентификации может привести к каскадному эффекту — подумайте об утере учетной записи электронной почты, на которую Вы только что послали письмо для сброса пароля. Безопасность это не просто работа команды людей на работе, которые навязывают обременительные требования,  соблюдаемые Вами неохотно и обходимые, когда никто не видит. Нет ничего хорошего в том, чтобы написать пароль на куске ленты скотча на нижней части клавиатуры. Подумайте. Будьте осторожны. Будьте добросовестны. Работайте над этим. Отнеситесь к этому серьезно. Вы запираете двери, смотрите в обе стороны, прежде чем вы пересечь улицу, проверяете свои банковские выписки и присматриваете за своими детьми, чтобы держать их в безопасности. Теперь нужно, чтобы Вы добавили к этому списку защиту вашей цифровой идентификации.
Храните ваши цифровые учетные данные же, как если бы Вы охраняли ваш номер социального страхования. Используйте многофакторную аутентификацию, когда это возможно. Не предоставляйте личную информацию в Facebook или Twitter, которая может быть использована, чтобы ответить на вопросы безопасности. Если у вас есть привилегированные учетные записи, используйте их с умом, это значит не входите в свой подключенный к Интернету рабочей компьютер с учетными данными  администратора домена. Защитите себя и своего работодателя, используя надлежащую гигиену учетных данных.
Это Ваша ответственность. Это Ваш долг, работа и то, как Вы должны жить . Сделайте это ясным для понимания сотрудников Вашей организации, что управление и безопасность их идентификации столько же на их ответственности, сколько и на Вашей.

Технология может быть только частью решения. Ремень безопасности полезен только, если он пристегнут — даже если он при этом сминает одежду. Люди и процессы должны активно регулировать и развиваться против нынешнего угроз.

Gary Green, Scott Brondel, Richard Sasser, Jared Poeppelman

Источник

Сортировать по: Дата публикации | Последние | Самый полезный
Комментарии
  • " всегда эт���� будет иметь катастрофические последствия."

    Какая-то беда произошла, исправьте

  • Спасибо, поправил

Страница 1 из 1 (элементов: 2)