Прогноза за 2016 г.: Проектиране на вътрешни ИТ мрежи като враждебна среда
Прогноза
Моята прогноза е, че през 2016 г. новата парадигма за ИТ сигурност, базирана на разглеждане и проектиране на вътрешните корпоративни мрежи, сякаш са враждебна среда, ще придобие сила.
Текущо състояние на нещата
С внедряването на защитни стени от следващо поколение периметърните стени на нашите ИТ мрежи никога не са били по-здрави. В резултат на това на престъпниците става все по-трудно да проникват в мрежи чрез щурм на стените.
Този модел на сигурност, базиран на укрепване на периметъра, е преобладаващ от много години, но подобно на известната линия Мажино, се оказа недостатъчен. Киберпрестъпниците са се върнали към старите техники и просто се разхождат около отбранителната стена.
Основният механизъм за това е насочването към това, което много специалисти по сигурността наричат подигравателно най-слабото звено във веригата за сигурност – хората. И през 2015 г. злонамереният имейл (Phishing) се върна на мода.
Използват се различни методи. Злонамерен код, вграден в прикачени документи, инструкции в имейла за щракване върху връзка, водеща към уебсайт, който инжектира код в браузъра на потребителя, или алтернативно, фалшиви уебсайтове с външен вид на познати страници за вход.
Каквато и да е тактиката, резултатите са едни и същи – престъпникът се закрепва в мрежата.
Да, можем да използваме обучение и осведоменост на потребителите, което се оказа ефективно за намаляване на броя на успешните фишинг атаки, но е необходима само една потребителска грешка. Едно кликване, един момент на разсейване и престъпникът е вътре в мрежата.
И вече не можем непременно да обвиняваме потребителя. С експлозията на социалните медии има голямо разнообразие от сочна информация в интернет, която престъпниците могат да използват при щателно проучване и внимателно насочване на своите фишинг атаки по имейл.
Това е само един проблем.
Самият периметър на мрежата става размит с приемането на облачните технологии и експлозията на мобилните устройства. Да не говорим за злонамерената и незлонамерената вътрешна заплаха.
Мога да продължа в този дух, но исках да отбележа, че моделът на засиления периметър за сигурност не работи. Още по-лошо, този модел създаде вътрешни мрежи, базирани на доверителни отношения. Основното предположение е, че на тези в мрежата може да се вярва.
Веднъж влезли в мрежата, престъпниците използват тези отношения на доверие срещу нас. Вече е тривиално да ескалирате привилегии, да заобикаляте контролите за достъп, да фалшифицирате административни права, да се движите странично и в крайна сметка хоризонтално, винаги нагоре през веригата на доверие към данните „бижута в короната“.
Нова парадигма за сигурност
През 2016 г. ще се наложи нова парадигма за сигурност, основана на разглеждане и проектиране на вътрешната мрежа като враждебна среда. Този модел ще се основава на предположение „Предполага се нарушение“. Това може да звучи негативно, но ще има няколко предимства пред традиционната школа на мисълта.
Първо, мрежите ще бъдат проектирани с оглед смекчаването на нарушенията. Имплицитните, заложени доверителни взаимоотношения и привилегии ще намалеят, а микросегментирането на мрежите и пясъчната среда на приложенията ще нарасне.
Второ, предприятията ще преминат към фин контрол върху всички устройства, свързващи се към мрежата. Самите устройства няма да бъдат имплицитно доверени. Само на идентифицирани и познати устройства – напълно криптирани, удостоверени, оторизирани и в правилното „състояние“ – ще бъде разрешен достъп – и то само до внимателно управлявани „непривилегировани“ микросегменти от мрежата.
Трето, фокусът върху сигурността ще се върне от периметъра към вътрешната мрежа. Акцентът ще бъде поставен върху това какво се случва вътре в мрежата и кой какво прави. Използването на базовите линии на биометричните технологии за „нормална активност“ на устройството и потребителя и поведението ще нарасне.
Това е логичното развитие на новата парадигма за ИТ сигурност, която вярвам, че ще набере сила през 2016 г. и след това.