Podczas gdy cyberbezpieczeństwo obejmuje zabezpieczanie systemów komputerowych przed złośliwymi atakującymi, przyjęło praktyki bezpieczeństwa od wojska, aby wzmocnić swoje wysiłki w zapobieganiu i powstrzymywaniu cyberataków. Jedną z takich praktyk zapożyczonych z wojska jest Defence in Depth (DiD)
Głęboka obrona to strategia wojskowa, której korzenie sięgają czasów średniowiecza, kiedy zamki miały wiele warstw zabezpieczeń, takich jak mosty zwodzone, rowy, fosy, mury i wieże strażnicze, zapewniające dodatkowe warstwy bezpieczeństwa zamku.
Głęboka obrona była również używana podczas pierwszej i drugiej wojny światowej, kiedy wojskowi kopali okopy, używali strategicznie rozmieszczonych karabinów maszynowych, budowali fortyfikacje i używali przeszkód przeciwpancernych, aby spowolnić postęp wrogów, spowodować straty i kupić czas na odwet.
W cyberbezpieczeństwie głęboka obrona to praktyka bezpieczeństwa, w której wiele produktów zabezpieczających i kontroli, takich jak zapory ogniowe, szyfrowanie i systemy wykrywania włamań, jest nakładanych warstwowo i używanych razem w celu ochrony sieci i systemów komputerowych przed atakami.
Powoduje to zwiększone bezpieczeństwo krytycznych zasobów, co utrudnia penetrację systemów, ponieważ gdy jeden środek bezpieczeństwa zawiedzie, istnieją dodatkowe warstwy zabezpieczeń chroniące system przed zagrożeniami.
Głęboka obrona wykorzystuje redundancję w cyberbezpieczeństwie, co czyni ją bardzo skuteczną, ponieważ pojedynczy środek lub kontrola cyberbezpieczeństwa nie może powstrzymać wszystkich form cyberataków. Wielowarstwowe podejście do cyberbezpieczeństwa w oprogramowaniu Defense in deep pozwala na ochronę przed szeroką gamą cyberataków, czego wynikiem są lepiej zabezpieczone systemy komputerowe, które są bardzo trudne do złamania.
Elementy obrony w głębi
Głęboka obrona składa się z następujących kluczowych elementów
Sterowanie fizyczne
Są to środki bezpieczeństwa wprowadzone w celu zabezpieczenia systemów komputerowych i uniemożliwienia intruzom fizycznego dostępu do systemów. Zwykle wiąże się to z ograniczeniem dostępu do systemów komputerowych poprzez umieszczenie infrastruktury fizycznej, takiej jak kamery bezpieczeństwa, zamknięte drzwi, skanery kart identyfikacyjnych i systemy biometryczne, a nawet zatrudnienie strażników w pomieszczeniach z krytycznymi systemami komputerowymi.
Kontrola techniczna
Są to sprzęt i oprogramowanie zaimplementowane w celu ochrony systemów przed złośliwymi atakującymi. Przykłady takich środków bezpieczeństwa obejmują między innymi zapory ogniowe, uwierzytelnianie wieloskładnikowe, systemy wykrywania lub zapobiegania włamaniom (IDS/IPS), oprogramowanie antywirusowe i zarządzanie konfiguracją.
Kontrola administracyjna
Obejmują one zasady i procedury organizacji dla jej pracowników, które mają na celu kontrolowanie dostępu do zasobów organizacji, a także wskazówki dla pracowników w zakresie właściwych praktyk bezpieczeństwa cybernetycznego w celu ograniczenia błędów ludzkich, które mogą skutkować narażeniem systemów komputerowych przez atakujących.
Dlaczego głęboka obrona jest ważna
Kevin Mitnick, który swego czasu był uważany za najsłynniejszego hakera na świecie po zhakowaniu systemów firm takich jak Sun Microsystems, Nokia i Motorola, znany jest z powiedzenia, że „wszystko tam jest podatne na atak, jeśli ma się wystarczająco dużo czasu i zasobów”.
To stwierdzenie pozostaje aktualne do dnia dzisiejszego, szczególnie w przypadku wyrafinowanych narzędzi dostępnych dla atakujących. To z kolei oznacza, że nigdy nie istnieje uniwersalne rozwiązanie cyberbezpieczeństwa, którego nie można złamać. Dlatego głęboka obrona jest bardzo ważna w świecie z wyrafinowanymi atakującymi, którzy mają dostęp do ogromnych zasobów.
Głęboka obrona zmusza organizacje do proaktywnego podejścia do bezpieczeństwa i myślenia o bezpieczeństwie swoich zasobów, nawet jeśli jeden produkt zabezpieczający zawiedzie.
To warstwowanie różnych produktów zabezpieczających zapewnia firmom solidną ochronę ich krytycznych zasobów, znacznie zmniejszając prawdopodobieństwo naruszenia bezpieczeństwa ich systemów. Głęboka obrona sprawia, że proces włamywania się do systemów jest bardzo trudny dla atakujących.
Ponadto zmusza organizacje do przyjęcia holistycznego podejścia do bezpieczeństwa i zajęcia się wszystkimi możliwymi sposobami ataku na ich systemy. Podobnie jak w wojsku, gdzie głęboka obrona spowalnia ataki i daje czas na odwet, robi to samo w cyberbezpieczeństwie.
Głęboka obrona może spowolnić złośliwe podmioty, zanim uzyskają dostęp do systemów, i dać administratorom czas na zidentyfikowanie ataków i wdrożenie środków zaradczych w celu powstrzymania ataków, zanim włamią się do ich systemów.
Ogranicza również szkody wyrządzone przez atakujących w przypadku, gdy jeden środek bezpieczeństwa zawiedzie, ponieważ inne środki bezpieczeństwa ograniczą dostęp i ilość szkód, które atakujący mogą wyrządzić systemowi.
Jak działa głęboka obrona
Kluczowym elementem dogłębnej obrony jest redundancja środków bezpieczeństwa, która utrudnia atakującym przeprowadzanie ataków. Na przykład osoba atakująca może rozważyć fizyczne przybycie do Twojej siedziby w celu zainstalowania zainfekowanej pamięci USB w Twoich systemach.
Zatrudniając ochroniarzy na terenie obiektu lub wykorzystując dane biometryczne do rejestrowania i kontrolowania dostępu do komputerów, taki napastnik może zostać powstrzymany.
Zakładając, że są bardzo zdeterminowani w swoim ataku i skupią się na ataku na sieć poprzez wysyłanie do sieci złośliwego oprogramowania, taki atak można powstrzymać za pomocą zapory sieciowej monitorującej ruch sieciowy lub zainstalowanego w sieci programu antywirusowego.
Lub, powiedzmy, że próbują uzyskać dostęp do sieci przy użyciu przejętych danych uwierzytelniających, uwierzytelnianie wieloskładnikowe zaimplementowane w sieci może uniemożliwić im dostęp do systemu.
Zakładając, że nadal są w stanie dostać się do systemu, system wykrywania włamań może wykryć i zgłosić ich włamanie, co można następnie rozwiązać, zanim wyrządzą dalsze szkody. Alternatywnie do aktywnego powstrzymywania zagrożeń można również użyć systemu zapobiegania włamaniom.
Jeśli mają przejść przez wszystkie te środki bezpieczeństwa, można uniemożliwić atakującym wykorzystanie poufnych informacji, szyfrując dane podczas przesyłania i przechowywania.
O ile napastnicy mogą czasami być bardzo zdeterminowani w swoich atakach i obejść różne środki bezpieczeństwa zainstalowane w celu zabezpieczenia danych, głęboka obrona działa, bardzo utrudniając atakującym uzyskanie dostępu do systemu. Może to zniechęcić ich do ataków lub, jeszcze lepiej, dać organizacji czas na reakcję na ataki, zanim ich systemy zostaną naruszone.
Użyj szczegółowych przypadków obrony
Obronę w głąb można zastosować w różnych scenariuszach. Niektóre z nich obejmują:
# 1. Bezpieczeństwo sieci
Powszechnym zastosowaniem głębokiej obrony jest ochrona sieci przed atakami. Zwykle odbywa się to za pomocą zapór ogniowych do monitorowania ruchu sieciowego w oparciu o zasady organizacji i systemów ochrony przed włamaniami do monitorowania złośliwej aktywności sieciowej i podejmowania działań w celu zapobiegania i łagodzenia włamań do sieci.
Dodatkowo w sieci instalowane jest oprogramowanie antywirusowe, które zapobiega instalacji złośliwego oprogramowania w sieci lub usuwa wszelkie, które mogą być zainstalowane.
Ostatnią warstwą zabezpieczeń jest szyfrowanie danych w spoczynku i danych przesyłanych w sieci. W ten sposób, nawet jeśli atakujący ominą wszystkie poprzednie środki bezpieczeństwa, nie będą w stanie wykorzystać danych, do których mają dostęp, ponieważ są one zaszyfrowane.
#2. Bezpieczeństwo punktu końcowego
Punkty końcowe to urządzenia, takie jak serwery, komputery stacjonarne, maszyny wirtualne i urządzenia mobilne, które łączą się z siecią organizacji. Bezpieczeństwo punktów końcowych obejmuje zabezpieczenie tych urządzeń przed zagrożeniami.
Strategia dogłębnej obrony w zakresie bezpieczeństwa punktów końcowych może obejmować fizyczne zabezpieczenie lokalizacji, w której znajdują się punkty końcowe, stosowanie silnych haseł i uwierzytelniania wieloskładnikowego w celu kontrolowania dostępu do urządzeń oraz rejestrowania działań urządzeń. Zapory ogniowe, oprogramowanie antywirusowe i szyfrowanie danych można również wdrożyć w celu dodania dodatkowych warstw bezpieczeństwa.
#3. Bezpieczeństwo aplikacji
Głęboka obrona jest również przydatna w zabezpieczaniu aplikacji, ponieważ przetwarzają one wrażliwe dane, takie jak konta bankowe użytkowników, osobiste numery identyfikacyjne i adresy.
W takim scenariuszu głęboka obrona może zostać wdrożona poprzez zastosowanie dobrych praktyk kodowania w celu zminimalizowania luk w zabezpieczeniach, regularne testowanie aplikacji w celu wyszukiwania luk w zabezpieczeniach, szyfrowanie danych podczas przesyłania i w spoczynku oraz wdrożenie uwierzytelniania wieloskładnikowego w celu potwierdzenia tożsamości użytkowników, a także prowadzić dziennik działań dokonywanych przez użytkowników aplikacji.
Zabezpieczenia warstwowe a obrona w głębi
Chociaż te dwa środki bezpieczeństwa wymagają użycia wielu warstw produktów zabezpieczających w celu zwiększenia bezpieczeństwa zasobów komputerowych, różnią się one implementacją i ukierunkowaniem. Jednak oba polegają na nadmiarowości budynków w celu zwiększenia bezpieczeństwa.
Zabezpieczenia warstwowe to podejście do bezpieczeństwa, w którym wdraża się wiele produktów zabezpieczających w celu ochrony najbardziej wrażliwych obszarów bezpieczeństwa organizacji.
W tym podejściu wiele podejść do zabezpieczeń jest wdrażanych w tej samej warstwie lub stosie, na przykład przy użyciu różnych programów antywirusowych, tak że w przypadku, gdy jeden program antywirusowy przegapi wirusa lub ma jakieś niedociągnięcia, druga dostępna opcja może wykryć wirusa lub przezwyciężyć niedociągnięcia innego programu antywirusowego.
Innym tego przykładem jest użycie wielu zapór sieciowych lub systemów wykrywania włamań, tak że w przypadku, gdy jeden produkt nie wykryje lub nie powstrzyma włamania, inny produkt może go wykryć.
Takie podejście gwarantuje, że bezpieczeństwo systemów komputerowych nie zostanie naruszone nawet w przypadku awarii jednego produktu. Zabezpieczenia warstwowe mogą obejmować różne warstwy zabezpieczeń w celu zwiększenia bezpieczeństwa krytycznych systemów komputerowych.
W przeciwieństwie do zabezpieczeń warstwowych, które opierają się na nadmiarowości na pojedynczej warstwie zabezpieczeń, głęboka obrona buduje nadmiarowość na wielu warstwach lub obszarach potencjalnego ataku w celu ochrony systemów komputerowych przed szeroką gamą ataków.
Przykładem głębokiej obrony jest wdrażanie zapór ogniowych, uwierzytelnianie wieloskładnikowe, systemy wykrywania włamań, fizyczne zamykanie pomieszczeń komputerami i korzystanie z oprogramowania antywirusowego. Każdy produkt zabezpieczający rozwiązuje inny problem związany z bezpieczeństwem, a tym samym chroni system przed szeroką gamą ataków.
Wniosek
Poprzednie cyberataki pokazały, że złośliwe podmioty będą wypróbowywać różne wektory ataków, szukając luki w zabezpieczeniach do wykorzystania w dowolnym systemie. Ponieważ napastnicy dysponują szeroką gamą ataków, które mogą przeprowadzić w celu skompromitowania systemu, organizacje nie mogą polegać na jednym produkcie zabezpieczającym, który zagwarantuje ochronę ich zasobów komputerowych przed atakami.
Dlatego ważne jest wdrożenie głębokiej ochrony w celu ochrony krytycznych zasobów komputera przed szeroką gamą ataków. Ma to tę zaletę, że zapewnia pokrycie wszystkich możliwych kanałów, które złośliwi aktorzy mogą wykorzystać do wykorzystania systemu.
Dogłębna obrona daje również organizacjom korzyści w postaci spowalniania ataków i wykrywania trwających ataków, dając im czas na przeciwdziałanie cyberprzestępcom, zanim zdążą narazić swoje systemy.
Możesz także zapoznać się z Honeypots i Honeynets w cyberbezpieczeństwie.
