Revista si suplimente
MarketWatch
Inapoi Inainte

Provocări în crearea unui perimetru defensiv structurat

17 Martie 2010



Poate cel mai important lucru pe care lumea securităţii informaţiei l-a învăţat de-a lungul multor ani de luptă împotriva atacurilor informatice, a evenimentelor neprevăzute, a erorilor de cod şi a greşelilor, neglijenţei sau sabotajelor în exploatarea sistemelor informatice, a constat în faptul că nu există în fapt un perimetru, metodă sau produs de securitate impenetrabil.

Orice sistem are lacune şi limitări sau poate fi configurat în mod eronat, însă poate cel mai important aspect constă în faptul că orice sistem poate fi compromis în urma unor acţiuni menite să-l destabilizeze. Lupta fără de sfârşit între cei care încearcă să protejeze şi cei care încearcă să compromită sistemele IT&C, este de la început inegală.


Pentru cei care încearcă să penetreze mecanismele de securitate, este suficient să reuşească o dată. O singură vulnerabilitate identificată într-un mecanism de control va permite atacatorului să compromită sistemul respectiv şi să aibă acces la informaţiile protejate. Atacatorii îşi pot permite să aloce perioade apreciabile de timp în scopul identificării unei slăbiciuni la nivelul unui echipament de securitate. Aceştia pot decompila cod program, inspecta pachete sau utiliza diverse alte tehnici în speranţa identificării sau creării unei căi de acces în sistem.


Pe de altă parte, cei care implementează mecanismele de securitate nu pot în mod real aloca aceeaşi perioadă de timp pentru fiecare verigă din infrastructura aflată în exploatare.


Un alt exemplu edificator cu privire la această asimetrie implică ceea ce este cunoscut sub numele “atacul din prima zi”1. Acest tip de atac precede apariţia remediilor pentru anumite vulnerabilităţi sau a existenţei semnăturilor care să poată face posibilă identificarea şi oprirea atacului. Veştile despre noile vulnerabilităţi circulă repede în lumea atacatorilor şi vor fi utilizate în scop malefic, mai rapid decât pot cei responsabili cu asigurarea securităţii să-şi protejeze sistemele.


În momentul în care o problemă sau vulnerabilitate este identificată şi publicată, un atacator “se apucă imediat de treabă”, în sensul de a găsi modalităţi prin care să o poată exploata. Deşi acest gen de notificări nu conţin de regulă prea multe informaţii tehnice care să explice în ce constă vulnerabilitatea respectivă sau cum poate fi ea exploatată, un atacator experimentat sau “norocos” poate pune cap la cap elementele lipsă şi intră în posesia informaţiilor cheie. Acest lucru se traduce prin faptul că o vulnerabilitate poate fi exploatată foarte repede, uneori chiar din “prima zi”. Un astfel de atac poate surveni cu mult înaintea găsirii unui remediu – mai ales în cadrul unor infrastructuri de date complexe. Există anumite etape obligatorii care trebuie parcurse, parte a ciclului de viaţă al remediilor puse la dispoziţie de producatori:


- identificarea şi testarea la producator;
- iniţierea unor campanii de informare la beneficiari;
- verificarea de către beneficiari pe medii de testare/dezvoltare;
- implementarea în mediul de producţie, uneori pe sisteme numeroase aflate în aşteptarea unor “ferestre de mentenanţă”.


Datorită acestei inerente debalansări a forţelor, lumea securităţii informaţiei a înteles cu mult timp în urmă, că singura modalitate de a combate atacurile şi de a furniza un nivel acceptabil al securităţii, constă într-o strategie denumită “apărare în adâncime”2. La baza acestui tip de strategie stau implementarea mai multor nivele de securitate, versus construirea unui singur nivel perfect – impenetrabil. Prin utilizarea mai multor nivele, strategii şi tehnologii de securitate, în situaţia în care unul dintre nivele este compromis, acest lucru nu va conduce la o expunere imediată a bunurilor protejate. Această nouă abordare schimbă regulile jocului în favoarea “băieţilor buni”; de această dată, un atacator trebuie să reuşească multe lucruri, din prima încercare şi într-un interval scurt de timp, ceea ce statistic este mult mai dificil.


AAA

Autentificarea, Autorizarea şi Administrarea, în titulatura de specialitate a securităţii informatice cunoscută ca “triada A”, tratează aspectele legate de “Cine” încearcă să acceseze resursele şi “Dacă” respectiva entitate este autorizată să o facă. Etapa de autentificare implică obligativitatea utilizatorului de a furniza informaţii legate de “ceea ce ştie” – o parolă, “ceea ce deţine” – un dispozitiv de generare parole, sau “ceva ce reprezintă” – caracteristici biometrice (amprentă, voce, iris etc.); în practică, se utilizează şi combinaţii între ele.


• Metode şi tehnologii de autentificare includ politici de parolă, PKI3 - certificate digitale, card-uri inteligente, generatoare de parole unice (OTP4), dispozitive de citire şi comparare biometrică;
• Autorizarea este responsabilă cu stabilirea resurselor pe care utilizatorul are dreptul să le acceseze;
• Administrarea se concentrează pe centralizarea managementului şi organizării drepturilor şi privilegiilor. În această categorie, cele mai “vizibile” produse sunt cele legate de “autentificare unică – SSO5” şi “managementul identităţii” – cea din urmă permiţând în mod centralizat definirea utilizatorilor şi acordarea privilegiilor pentru mai multe resurse şi aplicaţii.


Firewalls

Sunt echipamente destinate consolidării perimetrului reţelei de date proprii instituţiei şi protejării punctelor critice de joncţiune, aşa cum sunt conexiunile către Internet, furnizori externi şi chiar segmentarea reţelei interne pentru separarea mediilor de testare/dezvoltare faţă de cel de producţie. Principiul de utilizare al acestor dispozitive este acela de a menţine utilizatorii ne-autorizaţi în afara reţelei de date a instituţiei. Echipamentele de tip “firewall” fac parte integrantă, de ani buni, din infrastructura oricărei întreprinderi, în prezent absenţa unui astfel de echipament fiind considerată neglijenţă gravă sau tentativă de sinucidere IT.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite