در طول سال ها ، من و همراهانم از "امنیت عمیق" حمایت کرده ایم. تنها در كتاب ما فقط به امنیت محیطی متكی بود.
امنیت عمیق با هدف محافظت نه تنها از داده ها ، از قرار گرفتن در حالت استراحت یا گذر از یك شبکه ، بلكه تمام دارایی های درون یك شبكه مانند اترنت را تغییر می دهد. ، سرورها ، روترها و غیره. این کار با اجرای چندین لایه کنترل و دفاع در سراسر زیرساخت فناوری اطلاعات انجام می شود. انتخاب کنترل های دفاعی استفاده شده و مستقر بستگی به فن آوری های بکار رفته و ارزش دارایی های قابل محافظت دارد.
در پاراگراف های زیر یک سناریوی معمولی را طی می کنم که معتقدم یک حرفه ای infosec باید یک مدافع باشد و برای دستیابی به استراتژی ها در حال ساخت است.
استراتژی ها برای دستیابی به یک سطح پایدار خوب از دفاع در عمق است که به نوبه خود محافظت بهتری از داده ها از تهدیدات داخلی و خارجی به تعدادی از متغیرها بستگی خواهد داشت.
این متغیرها مواردی مانند اشتهای ریسک شغلی ، در دسترس بودن بودجه و چرخه بودجه ، نگرش هیئت مدیره شرکت و ارشد را شامل می شود. مدیران نسبت به امنیت فناوری اطلاعات و فناوری اطلاعات ، سن و معماری املاک IT شرکت از جمله اینکه آیا عنصری از دستگاه شخصی شما (BYOD) ، اینترنت اشیاء (IoT) استفاده از دستگاه یا دسترسی Wi-Fi بازدید کننده وجود دارد یا خیر ، البته ، مقدار و موقعیت داده های شرکت وجود دارد.
با مبانی اولیه شروع کنید
نقطه شروع برای دفاع عمیق – و هیچ عذرخواهی برای استراحت آن – پرداختن به اصول است. این شامل تضمین این است که:
- املاک فناوری اطلاعات با تکه های نرم افزار و سیستم عامل به روز است.
- کلیه رمزهای عبور پیش فرض تغییر یافته است.
- سرپرستان و تکنسین های IT دارای دو حساب هستند ، یکی برای روز به روز ( ایمیل ، گزارش نوشتن ، و غیره) و یکی برای کار در املاک IT.
- فقط سرپرست ها و تکنسین های IT از امتیازات سرپرست در شبکه زنده برخوردار هستند (کاربران نباید حتی به رایانه شخصی ارائه شده توسط شرکت خود ، به سرپرستان دسترسی داشته باشند.
- خط مشی های رمز عبور خوب ، همراه با امتیازات و عملکرد دسترسی کاربر اعمال می شوند (به عنوان مثال ، فروش نباید بتواند به پرونده های HR دسترسی داشته باشد و افرادی که فقط باید فایل ها را بخوانند فقط برای خواندن محدود شده اند).
- استفاده نشده حساب ها بطور منظم از سیستم کنترل دسترسی خارج می شوند یا از سیستم حذف می شوند.
- از املاک IT به طور کلی بطور منظم نسخه پشتیبان تهیه می شود و سیاست ها ، استانداردها ، رویه ها و راهنماهای کار با دسترسی آسان وجود دارد که نگهداری و استفاده می شوند.
امنیت مرزی
با تلاش برای محافظت از زیرساخت های فناوری اطلاعات ، ما همچنان به دنبال ایجاد نوعی از امنیت مرزی هستیم تا بتوانیم حفاظت اولیه زیرساخت ها را از دیگر شبکه ها ، مانند اینترنت یا شبکه شرکتی فراهم کنیم.
امنیت مرزی می تواند به صورت فایروال های سنتی با یک منطقه تضعیف شده (DMZ) شکل بگیرد که سرورهای پروکسی و موارد مشابه آنها رابط های جداگانه ای را به جهان و خارج از کشور ارائه می دهند – عوامل انتقال پستی ، سرویسهای اسکن ویروس و اسپم ، سرورهای وب ، پروکسی وب. و پروکسی های وب معکوس ، و غیره.
اصل این امنیت مرزی اطمینان از این است که کلیه ترافیک به داخل و از شبکه های خارجی و به و از شبکه های داخلی سرچشمه می گیرد و از یکی از خدمات نصب شده DMZ خاتمه می یابد. احراز هویت کاربر به طور معمول توسط سرویسهای DMZ به عنوان پراکسی برای خدمات احراز هویت داخلی مانند Microsoft Active Directory هدایت می شود.
شبکه های جداگانه
در درون خود شبکه ، فناوری مجازی LAN (VLAN) ، فایروال های "بر روی دستگاه" و چندین شبکه های جداگانه که در آن هر شبکه از سایر شبکه ها به صورت فایروال است ، استراتژی عمیق دفاعی را ادامه می دهد.
در اینجا ، سرورهای حساس مانند پایگاه داده ها در یک شبکه اختصاصی جدا از شبکه (های) که کاربران به آنها وصل می شوند قرار می گیرند. کاربرانی که از مکانهای خارجی و Wi-Fi پیش فرض استفاده می کنند باید در شبکه های خود خاتمه پیدا کنند ، احتمالاً با دستگاه های DMZ و پروکسی که خدمات احراز هویت ، آنتی ویروس و پروکسی وب را ارائه می دهند تا دسترسی مستقیم به تأسیسات داخلی را جدا کنند.
این جداشدگی مهم است. جایی که BYOD یا دستگاههای ناشناخته غیر شرکت نیاز به دسترسی به سیستمهای داخلی از جمله ایمیل یا اینترانت شرکت دارند. شبکه های منطقه ذخیره سازی (SAN) و ذخیره سازی متصل به شبکه (NAS) نیز باید در شبکه های اختصاصی خود باشند. علاوه بر این ، کلیه سرورها و دستگاههای کاربری باید قابلیت فایروال و عملکرد ضد ویروس مخصوص به خود را در دسترس داشته باشند.
محافظت از برنامه
در سطح برنامه – و اینجاست که به احتمال زیاد نشت داده ها رخ می دهد – کدگذاری. و آزمایش برنامه های کاربردی در برابر OWASP باید یک روش استاندارد باشد.
همچنین باید به استقرار فایروال های سطح برنامه توجه جدی شود. کد منبع نرم افزار اغلب غنی از نظرات و ابرداده است. در حالی که این عمل توصیه می شود ، نظرات و ابرداده های موجود در کد HTML ممکن است اطلاعات مفیدی را برای یک هکر نشان دهد. یک بررسی انتقادی از نظرات و ابرداده باید انجام شود تا ببینیم آیا احتمال نشت داده وجود دارد یا خیر.
با نگاه کردن به داده های در حال استراحت ، پایگاه داده ها اغلب امکان رمزگذاری زمینه های داده را فراهم می کنند ، و مطمئناً در جایی که اطلاعات شرکت شخصی و حساس در آن ذخیره می شود ، این ویژگی ها باید مورد استفاده قرار گیرند. رمزگذاری انبوه داده ها باید در جایی که در دسترس باشد در رایانه شخصی کاربر یا لپ تاپ یا سرور فایل یا سیستم استفاده شود.
داده های در حال حرکت با استفاده از فن آوری های رمزگذاری مانند تونل های رمزگذاری شده IPSec از طریق شبکه های محلی برای محافظت از مسیرهای داده ، محافظت می شوند ، HTTPS برای استفاده از وب ، شبکه های خصوصی مجازی (VPN) برای کاربران تلفن همراه و از راه دور که از طریق اینترنت دسترسی دارند. استفاده از گواهینامه های X.509 می تواند تأیید هویت متقابل واسطه (از یک تونل VPN) و همچنین رمزگذاری را فراهم کند.
موارد فوق شامل مواردی است که باید در یک استراتژی برای بهبود حفاظت از داده های یک شرکت تحت پوشش قرار گیرند – این جامع نیست. بسیاری از محصولات نرم افزاری امروز دارای طیف وسیعی از ویژگی های امنیتی داخلی هستند. توصیه من ساده است: بسته ها را بشناسید و از ویژگی های آنها استفاده کنید. این می تواند موجب صرفه جویی در هزینه های زیادی شود زیرا شما در حال خرید جدیدترین وسایل مورد نیاز نیستید که فقط ممکن است آنچه را که دارید تکرار کنید.
