Segmentujte siete a spojte odborníkov
Autor: Valentin Vioreanu/Dátum uverejnenia: 01-09-2020 13:09
Vývoj kybernetickej bezpečnosti sa riadi darvinovským prístupom, v rámci ktorého systémy a služby zvyšujú svoju odolnosť a miznú nezabezpečené protokoly; Nakoniec musia odborníci stáť pri jednom a vyrovnať sa s hrozbami, ktoré predstavujú nepredvídané inovácie.
V prvom rade preto, že ľudia zdieľajú viac informácií o akejkoľvek téme a debatujú digitálne viac ako kedykoľvek predtým, pomáha im nespočetné množstvo sociálnych platforiem. Kybernetická bezpečnosť je jednou z tém, ktorá vytvára vlny. Je spájaná s hackermi, ktorí ovládajú autá na diaľnici alebo ktorí pri pristávaní preberajú velenie nad lietadlami. Ľuďom sa to teda páči!
Po druhé, pozornosť v tejto oblasti sa zvýšila dokonca aj špecialistami na bezpečnosť IT, ktorí sa už viac ako desať rokov snažia presadiť svoje obavy v agende vrcholového manažmentu spoločností a organizácií. Zo štandardov riadenia bezpečnosti IT, ako je ISO27001, sa dozvedáme, že manažment nie je zodpovedný iba za podpisovanie politík a postupov zabezpečenia informácií, ale musí dokonca udávať smer, definovať stratégiu v tejto oblasti, dokonale zosúladenú s obchodnou stratégiou. Táto požiadavka sa začala správne implementovať v posledných rokoch po tom, čo globálne inštitúcie a spoločnosti v top 50 zasiahla séria závažných kybernetických útokov. Členovia predstavenstva sa prestali pýtať „Aká je pravdepodobnosť útoku?“, Passing na niečo ako „Ako odolní sme proti ďalšiemu kybernetickému útoku?“
V neposlednom rade si občania začali klásť otázku, ako sú ich ekonomiky chránené bankami, aké sú ich práva na súkromie, čo vytvára ďalší tlak na poskytovateľov aplikácií a technológií, aby uplatňovali opatrenia vnútornej ochrany. vo všetkých termináloch a softvéri, ktorý momentálne používam. A to je bod obratu smerom k zabezpečenému digitálnemu svetu.
Súčasné tisícročie sa začalo najdôležitejšou globálnou distribúciou počítačového červa, ktorá opäť dokázala, že ľudia sú slabým článkom v reťazci slabín zabezpečenia. Pri hľadaní lásky ľudia netrpezlivo otvorili a prezerali nový e-mail s názvom „Milujem ťa“, ku ktorému bol pripojený sľubný milostný list s názvom „LOVE-LETTER-FOR-YOU.txt.vbs“. Bol to okamih, keď sme si všetci uvedomili, že samotné budovanie múrov okolo interných IT sietí nestačí, pretože zamestnanci svojim prirodzeným a ľudským správaním prakticky rušia brány firewall, ktoré ich majú chrániť. Mnoho miliónov počítačov bolo infikovaných a stali sa nepoužiteľnými; a veľa organizácií zahájilo školiace kampane zamerané na bezpečnosť zamestnancov. Nasledovalo mnoho ďalších globálnych útokov s červami a ransomvérom, ktoré boli určené na zničenie pevných diskov úplným šifrovaním.
Na druhej strane sa v protokoloch a aplikáciách používaných počítačovými a komunikačnými sieťami objavilo jeden po druhom veľké množstvo bezpečnostných slabín, čo zvyšuje tlak na plecia odborníkov v oblasti IT, ktorí začali sa zaoberá kybernetickou bezpečnosťou a učí sa, ako chrániť svoju infraštruktúru. To bol začiatok novej profesie pre IT špecialistov s vysokým globálnym dopytom v súkromných spoločnostiach aj vo verejných organizáciách. Spoločnosť Cybersecurity Ventures odhaduje do roku 2021 na celom svete odhadom 3,5 milióna voľných pracovných miest v oblasti kybernetickej bezpečnosti.
Správcovia systému a siete spolu s „priekopníkmi“ bezpečnosti IT museli čeliť zraniteľnostiam a opravným prostriedkom spojeným s mnohými rôznymi protokolmi a distribuovanými v celom zásobníku TCP IP, od sieťových kariet až po vrchol, aplikácií. Mentalita stále súvisela so silným zabezpečením obvodu okolo interných sietí a ich zónovaním na segmentoch s rôznymi požiadavkami na prístup, ako je DMZ (DeMilitarized Zone), interná sieť pre bežných zamestnancov a dátové centrum s prísne kontrolovaným prístupom, iba pre „fajnšmekrov“ „Význam“ admini.
Produkčné siete (známe ako OT, „prevádzková technológia“) a riešenia pre správu (napríklad SCADA), ktoré sú všeobecne izolované a fungujú podľa protokolov v paralelnom svete, čo IT pracovníkom zjavne nepoznajú, postupne začali prekračovať hranice, spájajúc - s IT infraštruktúrami a prostredníctvom tohto kroku pridávať nové kybernetické riziká pre operačné prostredia. Bol to prúd akosi v rozpore s členením, ale ekonomicky nevyhnutný. Rozhodnutie o oddelení, ktoré najlepšie zabezpečí prevádzku novej integrovanej siete, IT alebo výroby, bolo prijaté po „sekulárnych“ bojoch, ktoré trvali niekoľko rokov a nakoniec toto právo získal tím IT ... alebo skôr zodpovednosť.
Začínala sa nová éra, otvorenie produkčnej infraštruktúry pre staromódnych hackerov.
Najčastejšie sa hovorí o útoku za posledné desaťročie na Stuxneta, červa, ktorý opatrne prešiel svoju kľukatú cestu do srdca iránskych jadrových elektrární. Pri prechode z jedného IT systému do druhého k programovateľnému logickému automatu (PLC) používanému na riadenie elektromechanických procesov, ako sú napríklad procesy súvisiace s odstreďovaním plynu v jadrovej elektrárni, sa spoločnosť Stuxnet ukázala ako jeden z najničivejších útokov na zvolený cieľ. Najväčší dopad však pocítili špecialisti na kybernetickú bezpečnosť, ktorí museli pripustiť, že predpojatá predstava nedostatku atraktivity výrobných sietí pre hackerov alebo súvisiaca s ťažkosťami s porozumením bezpečnostných protokolov už prestala platiť. k nim.
Digitálna segmentácia je čoraz dôležitejšia, prechádza niekoľkými úrovňami a dokonca dosahuje mikroskopickú úroveň aplikačných komponentov prostredníctvom konceptu mikrosegmentácie použiteľnej vo virtualizovaných prostrediach. Každý kus, bez ohľadu na to, ako malý, v danom riešení môže byť súčasťou konkrétneho segmentu a zostať v ňom, aj keď sa v rámci infraštruktúry presúva medzi rôznymi dátovými centrami, niekedy dokonca v rôznych krajinách. virtualizované. Segmenty už nie sú priamo spojené s hardvérovým zariadením, na ktorom sú inštalované alebo skladované, čo umožňuje bezpečnosť moderných typov aplikácií, ako je diaľková medicína, nezávisle od infraštruktúr poskytovaných telekomunikačnými operátormi.
Keď sme postupovali k 5G infraštruktúram, od fázy štandardizácie bola definovaná ďalšia úroveň segmentácie, a to sieťové segmentovanie, v angličtine termín s mierne prívetivejším názvom (sieťové segmentovanie). Táto vlastnosť opäť ukazuje, že segmentácia sa po dvoch desaťročiach neefektívnosti obvodov tvárou v tvár kybernetickým útokom stala jedným z najdôležitejších opatrení na zabezpečenie infraštruktúry.
Tvrdé rozhodnutia: to, čo chránime ako prvé?
Neustále sa zvyšujúca zložitosť technológií schopných prepojiť bilióny „vecí“, ktoré môžu vykonávať jednoduché úlohy, ako je meranie vlhkosti, ale aj zložité činnosti spracovania, ako napríklad generovanie párov kryptografických kľúčov na zabezpečenie komunikácie medzi komponentmi prepojeného automobilu, si vyžaduje jasnú definíciu. úrovne kritickosti; inak na zaistenie kybernetickej bezpečnosti potrebujeme prakticky neobmedzené rozpočty. Aj keď myšlienka stanovenia priorít nie je nová, stala sa nevyhnutnou práve kvôli obrovskému počtu a zložitosti systémov, zariadení a sietí, s ktorými budeme v nasledujúcich rokoch interagovať.
Zoberme si príklad automobilu; aká dôležitá by mohla byť farba sedadla vodiča (aj keď o tomto argumente pochybujem, keď sa rozhliadnem okolo) or alebo či máme alebo nemáme na dverách peknú niklovú lištu? Ak existujú určité klady a zápory týkajúce sa farby a vzhľadu automobilov, jednomyseľne sa uznáva, že najdôležitejšími systémami automobilu sú brzdenie, riadenie, motor a airbagy, ktoré musia zodpovedať oficiálnym bezpečnostným a bezpečnostným normám. bezpečnosť. Z tohto dôvodu musí byť prioritou prikladanie náležitej dôležitosti kritickým systémom a pridelenie najviac finančných a ľudských zdrojov na ich bezpečnosť, aby sa priblížili k dokonalosti a chránili pred cielenými útokmi, ktoré by mohli viesť k ich neoprávnenej kontrole.
Pokiaľ ide o budúcnosť budúcich generácií sietí, ako je 5. generácia, nemecký telekomunikačný regulátor spolu s orgánom pre kybernetickú bezpečnosť navrhuje dokonca výslovný zoznam dôležitých funkcií; medzi nimi môžeme identifikovať funkcie, ako napríklad tie, ktoré vytvárajú a spravujú identity, tie, ktoré riadia prístup k sieťam a službám, tie, ktoré generujú kryptografické kľúče (pre nešpecialistov nejaké dôležité heslá) alebo funkcie, ktoré jednoducho vykonávajú úplnú správu sietí. Inými slovami, kritické znamená, čo dokáže spravovať väčšinu všetkého v sieti, funkcie, ktoré, ak sa ukážu ako zraniteľné, môžu hackerom umožniť kontrolu ... dokonca aj kontrolné funkcie.
Ak rozpočet nebude na nás, z Marsu, pozerať zvrchu, musíme ho prideliť najmä kritickým komponentom a dosiahnuť najlepší dopad na zabezpečenie našej infraštruktúry.
Svet je o niečo mäkší
Keď sa vyvinieme do plne prepojeného sveta, väčšina sieťových a systémových funkcií sa virtualizuje; koncoví užívatelia majú prístup prostredníctvom svojich vlastných terminálov alebo iného špecializovaného vybavenia k mnohým možným službám práve kvôli týmto funkciám, ako napríklad: teleliečba prispôsobená ich potrebám, skúsenosti s prepojenými alebo dokonca autonómnymi automobilmi, optimalizovaná železničná infraštruktúra, inteligentnejšie mestá ako my a mnoho ďalších iné. Dynamika inovácií robí hardvér príliš ťažkopádnym a urýchľuje potrebu virtualizácie funkcií, prechod na „cloud“ a „hmlové“ výpočty (z technického hľadiska je to cloud trochu bližšie k nám, používateľom, ako hmla) a nevyhnutný vývoj softvéru. Budeme stále viac a viac žiť vo svete ovládanom softvérom, čo bude vyvíjať ďalší tlak a zodpovednosť na plecia, v skutočnosti na ruky programátorov.
Aj keď bude softvér po otestovaní a certifikovaný ako bezpečný, musia byť použité mechanizmy integrity, ktoré potvrdzujú, že to, čo prešlo od výrobcu k kupujúcemu, nebolo zmenené, nebolo zachytené a zmenené počas prepravy. Zložitosť distribučných reťazcov robí z dôvery základný problém, takže zabezpečenie technickej integrity v celom distribučnom reťazci je jediný spôsob, ako preukázať absenciu akýchkoľvek zásahov do procesu doručovania.
Veriť alebo neveriť? To je otázka.
Koncept „nulového dôveryhodnosti“ znamená, že žiadny komponent sa nepovažuje za implicitne dôveryhodný, kým s ním jednotka nekomunikuje. Totožnosť oboch prvkov sa musí najskôr overiť technickými prostriedkami. Pred pripojením k pripojenému stroju dostane modul jedinečnú fyzickú identitu od výrobcu a niekedy druhú od implementátora systému na základe kryptografických mechanizmov. Keď si má modul vymieňať citlivé informácie alebo dávať príkazy motoru alebo brzdám prostredníctvom cloudovej aplikácie alebo informačno-zábavného systému, musí najskôr preukázať, že je legitímnou súčasťou stroja, a overiť, či subjekt, s ktorým si praje komunikovať má právo zadávať alebo uskutočňovať príkazy. V opačnom prípade by sa veci mohli stať nebezpečnými pre cestujúcich. V zásade sledujeme migráciu sieťových segmentov na dôveryhodné identity, ktorá sa z geometrického hľadiska stáva bodmi.
Budúcnosťou je spolupráca a dôvera, najmä preto, že zložitosť povedie k nedokonalostiam bezpečnostných mechanizmov implementovaných od začiatku v nových systémoch založených na umelej inteligencii, virtuálnej realite, rozšírenej realite alebo na tom, čo malo prísť.
Čo to je? Zober ma k odborníkovi!
Rovnako ako prvý sneh, aj budúcnosť nás všetkých prekvapí. Ale silnejšie, pretože výskumná komunita začala zhmotňovať nápady, ktoré sme predtým videli iba vo fantasy knihách: umelá koža s hmatovými senzormi, syntetické materiály s schopnosťami metabolizmu a reprodukcie, autá bez vodičov, diaľková chirurgia, systémy vzletu a plne autonómne pristátia lietadiel alebo autonómna prevádzka sietí novej generácie (5G) využívajúca umelú inteligenciu na spracovanie obrovského množstva údajov z miliónov zariadení a vybavenia.
Ako môže bývalý IT špecialista, dnes bezpečnostný analytik, identifikovať potenciálne škodlivé udalosti v procese vzletu autonómneho leteckého vozidla? Môže hádať, môže mať šťastie alebo sa môže opýtať odborníka na aeronautiku. Budúcnosť si výslovne vyžaduje spoluprácu spoločných tímov odborníkov z rôznych oblastí, aby sa zabezpečila odolnosť a kybernetická bezpečnosť čoraz modernejších koncepcií, ktoré máme pred sebou.
Pretože nemáme šancu nájsť všetkých týchto odborníkov v jednej štátnej agentúre alebo súkromnej spoločnosti, potrebujeme medziodborové partnerstvá, ktoré dokážu identifikovať potenciálne hrozby a opatrenia reakcie v prípade vertikálnych odvetví založených na umelej inteligencii., Cloudové alebo 5G siete; napríklad vzájomne prepojené stroje vedú na strane normalizácie, že sú to iba stroje, a v súčasnosti majú úžitok zo všetkých druhov pokynov týkajúcich sa ich interakcie s inými entitami ( Vozidlo ku všetkému, vozidlo k infraštruktúre, vozidlo k vozidlu ).
Záverom je, že v budúcnosti bude čoraz viac potrebné technicky segmentovať siete súbežne so združovaním odborníkov, ktorí sa spoločne dokážu vyrovnať s novými hrozbami pre ľudstvo, ktoré vytvárajú inovatívne koncepty, ktoré si možno ešte ani neuvedomujeme.
Pracovník kybernetickej bezpečnosti HUAWEI Rumunsko