Vendorii de soluţii de securitate avertizează mereu asupra nevoii de a proteja graniţele reţelei de atacatori dinspre exterior. Este o strategie de prudenţă, dar nu este singura pe care o organizaţie modernă ar trebui să o adopte ca să-şi protejeze reţeaua. Şi asta deoarece în fiecare săptămână apar exemple de spargeri de reţele, furturi de date şi infracţionalitate cibernetică afectând organizaţii de toate dimensiunile şi din toate sectoarele de activitate.
de Graham Walker, VP Marketing, Allied Telesis
Adevărul este că ameninţările nu provin doar din surse malefice externe ci se manifestă şi ca erori accidentale de configurare comise de administratori de reţea de încredere sau de angajaţi care respectă practici de securitate proaste. Ambele situaţii duc în cele din urmă la căderi de reţea, afectând afacerea prin exploatarea sau neglijarea vulnerabilităţilor apărute.
Un studiu din 2018 legat de costurile spargerilor reţelelor a descoperit că în jur de 25% din furturile de date din SUA s-au petrecut ca urmare a neglijenţei sau erorilor comise de utilizatori. Concluzia studiului arată indubitabil că poate a sosit vremea ca firmele să-şi dea seama că şi dacă au adoptat măsuri de securitate convenţionale pentru reţea, vulnerabilitatea lor cea mai semnificativă rezidă în rândul oamenilor care activează în acele firme.
Aici nu există excepţii, nici măcar pentru cele mai mari organizaţii, dispunând de resurse abundente. În vara acestui an, Capital One Financial Corp. a anunţat că a descoperit un eveniment de securitate care afecta 106 milioane de oameni din America de Nord. Analiza evenimentului a dat la iveală că o vulnerabilitate de configurare a reţelei permisese unui infractor de clasă să descarce 30 GB de informaţii financiare sensibile. Iar dacă o astfel de firmă gigant de servicii financiare poate păţi aşa ceva, ce se poate aştepta de la alte firme? Presupunerea corectă spune că firmele trebuie să se aştepte ca un eveniment de securitate să apară cândva şi să adopte de urgenţă o varietate de strategii de prevenire a lui.
Construirea unei reţele care să dispună de o graniţă securizată 100% este incredibil de provocatoare. Aproape toate reţelele au vulnerabilităţi şi adesea oamenii care lucrează în interiorul reţelei constituie cel mai mare risc. Cu toate astea, foarte puţine companii îşi instruiesc în mod adecvat personalul pentru identificarea şi prevenirea ameninţărilor. Unele rapoarte de piaţă afirmă chiar că 70% din angajaţii americani nu înţeleg deloc nevoia de securitate informatică.
Uneori infracţiunile sunt deliberate şi malefice, în cazurile în care un angajat abuzează de încrederea firmei şi provoacă daune, fură sau facilitează furtul de date din companie de către alţii. Restricţionarea accesului la date sensibile, prevenirea scurgerilor de date, segmentarea reţelei, punerea în aplicare de politici şi proceduri, şi realizarea de audituri de securitate înseamnă căi eficiente de a limita astfel de expuneri la risc. Deşi ameninţările interne sunt mai puţin comune faţă de ameninţările externe, daunele generate pot fi mai mari, iar un infractor determinat, care acţionează hotărât şi are acces la datele companiei este aproape imposibil de oprit.
Unul din cele mai mediatizate exemple de acest gen a fost cel oferit de Edward Snowden, care, în calitate de angajat cu contract, a furat informaţii secrete din cadrul Agenţiei Naţionale de Securitate (NSA) şi le-a făcut publice pentru mass-media. Iar dacă una din cele mai avansate agenţii de securitate de pe planetă nu-şi poate păzi secretele de ameninţările interioare, ce se poate aştepta de la o organizaţie obişnuită?
O ameninţare mai des întâlnită este aceea a greşelilor comise de angajaţi care tocmai “au uitat” sau “nu s-au gândit”. Conform unui raport Ponemon Institute, 65% din incidentele interne din 2018 au avut loc ca urmare a greşelilor accidentale. Printre aceste greşeli comune se întâlnesc adesea utilizarea de stick-uri USB necunoscute, diseminarea de parole (oricât ar părea de neverosimil), stocarea de informaţii sensibile pe dispozitive neautorizate, urmată de pierderea lor, conectarea de dispozitive neautorizate la reţeaua firmei, transformarea în victimă a campaniilor de phishing, neglijarea aplicării de patch-uri de securitate şi multe altele. Fiecare dintre aceste erori dispune de potenţialul de a permite accesul unei multitudini de ameninţări care pot duce la întreruperea afacerii, daune de reputaţie şi alte consecinţe financiare.
Se poate lua în considerare, de pildă, genul de erori care permit ameninţărilor să pătrundă în reţea printr-o poartă dosnică sau pe o cale alternativă diferită de calea obişnuită a e-mail-ului sau a site-ului web protejat. Cum cele mai multe organizaţii se bazează pe firewall pentru protecţie contra ameninţărilor – modelul “graniţei securizate” – astfel de erori reprezintă motive critice de îngrijorare. Scurtcircuitarea graniţei (la fel ca în exemplul clasic al calului troian prin care grecii au pătruns în Troia) lasă reţeaua fără apărare şi permite ameninţărilor să se răspândească şi să genereze haos fără a putea fi oprite de ceva.
Şi mai rău, în eventualitatea unui firewall care avertizează administratorul asupra unei ameninţări, ce poate face acesta în afară de a trage fizic afară din prize cablurile de reţea? Astfel de ameninţări se răspândesc cu viteză prea mare ca factorul uman să poată reacţiona la timp. De aceea, abordarea corectă şi justificată este aceea ce a apăra graniţa cu toate costurile pentru a menţine infractorii în afara reţelei. Odată ce atacatorii pătrund înăuntru, aşa cum au descoperit troienii pe pielea lor, rezultatul nu are cum să fie bun.
O abordare mai bună este aceea a aplicării unei strategii diferite, avansate, care acceptă faptul că ameninţărilor pot şi vor pătrunde în reţea, dar care oferă soluţii privind modul de a trata aceste ameninţări eficient şi rapid. La modul ideal, reţeaua în sine nu numai că va identifica ameninţarea, dar va lua singură măsuri imediate de a închide accesul şi de a pune în carantină toate elementele afectate înainte de apariţia daunelor. O astfel de abordare o are şi soluţia Self-Defending Network de la Allied Telesis. Nu este nevoie de înlocuiri sau reconfigurări pentru firewall-ul existent, deoarece soluţia Self-Defending Network poate reacţiona ori de câte ori firewall-ul sesizează o ameninţare pentru a identifica sursa acesteia şi a izola dispozitivele componente afectate. Şi alte soluţii procedează la fel, însă au nevoie de un software de tip agent de inspectare pentru a controla dispozitivele endpoint. Acest fapt complică instalarea de dispozitive noi, fapt care se adaugă la bagajul şi aşa mare de sarcini al administratorului şi care ajunge să limiteze valoarea soluţiei.
Self-Defending Network este diferită deoarece prin ea se controlează reţeaua şi nu dispozitivele componente. Nu există agenţi software de instalat, iar protecţia poate fi asigurată pentru orice tip de dispozitiv al utilizatorului, inclusiv dispozitive mobile, căci soluţia poate controla atât reţelele pe bază de cablu cât şi pe cele wireless. Avantajul primordial este acela că răspunsurile la ameninţări sunt imediate şi automate. Ca atare, nu este nevoie de intervenţie manuală pentru eliminarea unei ameninţări, care nu are şanse să se extindă, astfel rezolvându-se problema opririi unei ameninţări de la a scăpa de sub control odată ce penetrează graniţa reţelei. Cum această soluţie este automată, riscul erorilor umane este drastic redus, în special în cazul momentelor critice când nivelurile de stress sunt maxime.
Self-Defending Network este construită pe baza motorului de automatizare de la Allied Telesis, denumit Autonomous Management Framework (AMF). Acesta conţine o componentă inteligentă de securitate denumită AMF Security (AMF Sec), care lucrează împreună cu aplicaţiile de detectare ameninţări pentru a răspunde instantaneu la alerte şi pentru a bloca atacurile din reţele wired sau wireless. Spre deosebire de alte soluţii care controlează dispozitivul la nivelul endpoint, AMF Sec izolează şi pune în carantină endpoint-urile compromise fără a fi nevoie de instalarea unui agent software de inspecţie.
La detectarea unei ameninţări, AMF Sec răspunde prin localizarea şi punerea în carantină a dispozitivului suspect, fără afectarea altor utilizatori ai reţelei. Răspunsurile sunt configurabile, iar conectarea extinsă furnizează o cale limpede de audit asupra celor întâmplate. Se poate aplica apoi remedierea situaţiei de către administratorul reţelei, astfel încât dispozitivul afectat să poată reintra în reţea cu timpi minimi de dezafectare.
Instalarea soluţiei este facilă, deoarece AMF Sec lucrează împreună cu o serie largă de produse firewall fizice şi vituale, fără a fi nevoie de reconfigurare. Sunt disponibile două opţiuni pentru comunicarea cu switch-urile de reţea: fie prin intermediul OpenFlow, fie prin AMF. AMF Sec poate utiliza oricare din metode pentru a controla accesul dispozitivelor, fapt care conferă flexibilitate şi reduce nevoia schimbării de echipamente.
Abordarea convenţională de securitate se concentrează asupra apărării graniţei reţelei, funcţionând pe baza presupunerii că această graniţă reprezintă singura cale prin care ameninţările pot pătrunde în reţea. Aşa cum s-a arătat mai sus, acest lucru nu este adevărat şi firmele care au o astfel de abordare pot fi serios afectate dacă au parte de un atac din interior. Indiferent că atacul este malefic sau rezultatul unei erori umane, consecinţele pot fi devastatoare. Ca atare, organizaţiile trebuie să se pregătească bine împotriva ameninţărilor interioare, sub orice formă ar apărea ele.
Cele mai eficiente contramăsuri sunt adesea reprezentate de instruirile frecvente ale personalului legate de securitate şi de implementarea celor mai bune practici, aşa cum sunt privilegiul cel mai mic, nevoia de a şti, segmentarea reţelei, şi aşa mai departe. În orice caz, cel mai bine este ca astfel de bune practici să fie întărite cu soluţii automate pentru reducerea erorilor şi pentru protecţia contra acţiunilor malefice imediat ce acestea sunt depistate.