În timp ce securitatea cibernetică implică securizarea sistemelor informatice împotriva atacatorilor rău intenționați, aceasta a adoptat practici de securitate din partea armatei pentru a-și consolida eforturile de prevenire și oprire a atacurilor cibernetice. O astfel de practică împrumutată de la armată este Defense in Depth (DiD)
Apărarea în profunzime este o strategie militară care poate fi urmărită încă din epoca medievală, când castelele aveau mai multe straturi de securitate, cum ar fi poduri mobile, șanțuri, șanțuri, ziduri și turnuri de pază, oferind straturi suplimentare de securitate castelului.
Apărarea în profunzime a fost folosită și în timpul primului și al celui de-al doilea război mondial, când militarii săpau tranșee, foloseau mitraliere amplasate strategic, construiau fortificații și foloseau obstacole antitanc pentru a încetini avansarea inamicilor, a provoca victime și a câștiga timp pentru a riposta.
În securitatea cibernetică, apărarea în profunzime este o practică de securitate în care mai multe produse și controale de securitate, cum ar fi firewall-urile, criptarea și sistemele de detectare a intruziunilor, sunt stratificate și utilizate împreună pentru a proteja rețelele și sistemele informatice de atacuri.
Acest lucru are ca rezultat o securitate sporită a activelor critice, ceea ce face sistemele mai greu de pătruns, deoarece atunci când o măsură de securitate eșuează, există straturi suplimentare de securitate pentru a proteja un sistem împotriva amenințărilor.
Apărarea în profunzime folosește redundanța în securitatea cibernetică, ceea ce o face foarte eficientă, deoarece o singură măsură de securitate cibernetică sau controlul nu poate opri toate formele de atacuri cibernetice. Abordarea pe mai multe straturi a securității cibernetice a Apărării în profunzime permite protecția împotriva unei game largi de atacuri cibernetice, rezultând sisteme informatice mai securizate, care sunt foarte greu de compromis.
Elemente de apărare în profunzime
Apărarea în profunzime este alcătuită din următoarele elemente cheie
Controale fizice
Acestea sunt măsuri de securitate puse în aplicare pentru a securiza sistemele informatice și pentru a preveni accesul fizic la sisteme de către intruși. Acest lucru implică, de obicei, limitarea accesului la sistemele informatice prin instalarea unei infrastructuri fizice, cum ar fi camere de securitate, uși încuiate, scanere de cărți de identitate și sisteme biometrice sau chiar angajarea de paznici pentru a gestiona camerele cu sisteme informatice critice.
Controale tehnice
Acestea sunt hardware-ul și software-ul implementat pentru a proteja sistemele de atacatorii rău intenționați. Exemple de astfel de măsuri de securitate includ firewall-uri, autentificare multifactorială, sisteme de detectare sau prevenire a intruziunilor (IDS/IPS), antivirus și gestionarea configurației, printre multe altele.
Controale administrative
Acestea cuprind politicile și procedurile unei organizații pentru angajații săi, care sunt menite să controleze accesul la resursele organizației și, de asemenea, să ghideze angajații în practici adecvate de securitate cibernetică pentru a reduce erorile umane care pot duce la compromisul sistemelor informatice de către atacatori.
De ce este importantă apărarea în profunzime
Kevin Mitnick, care la un moment dat a fost considerat cel mai faimos hacker din lume, după ce a piratat sistemele unor companii precum Sun Microsystems, Nokia și Motorola, este remarcat pentru că a spus că „Orice lucru acolo este vulnerabil la atac, având suficient timp și resurse”.
Această afirmație este valabilă până în prezent, în special cu instrumentele sofisticate accesibile atacatorilor. Acest lucru, la rândul său, înseamnă că nu există niciodată o soluție de securitate cibernetică care să nu poată fi compromisă. Acesta este motivul pentru care apărarea în profunzime este foarte importantă într-o lume cu atacatori sofisticați, care au acces la resurse imense.
Apărarea în profunzime obligă organizațiile să adopte o abordare proactivă față de securitatea lor și să se gândească la securitatea resurselor lor chiar și atunci când un produs de securitate eșuează.
Această stratificare a diferitelor produse de securitate oferă companiilor o protecție solidă pentru resursele lor critice, reducând semnificativ probabilitatea ca sistemele lor să fie compromise. Apărarea în profunzime face procesul de compromitere a sistemelor foarte dificil pentru atacatori.
În plus, obligă organizațiile să adopte o abordare holistică a securității lor și să abordeze toate modalitățile posibile în care sistemele lor pot fi afectate. La fel ca în armată, unde apărarea în profunzime încetinește atacurile și câștigă timp pentru represalii, face același lucru în securitatea cibernetică.
Apărarea în profunzime poate încetini actorii rău intenționați înainte de a accesa sistemele și le oferă administratorilor timp să identifice atacurile și să implementeze contramăsuri pentru a opri atacurile înainte ca acestea să-și încalce sistemele.
De asemenea, limitează daunele provocate de atacatori în cazul în care o măsură de securitate eșuează, deoarece alte controale de securitate vor limita accesul și cantitatea de daune pe care atacatorii le pot provoca unui sistem.
Cum funcționează apărarea în profunzime
O componentă cheie a apărării în profunzime este redundanța măsurilor de securitate care îngreunează atacatorii să execute atacuri. De exemplu, un atacator poate lua în considerare să vină fizic la sediul dumneavoastră pentru a instala un stick USB infectat în sistemele dumneavoastră.
Având gardieni de pază să controleze sediul sau folosind datele biometrice pentru a înregistra și controla accesul la computere, un astfel de atacator poate fi oprit.
Presupunând că sunt foarte hotărâți în atacul lor și își schimbă atenția pentru a ataca rețeaua prin trimiterea de programe malware în rețea, un astfel de atac poate fi oprit folosind un firewall care monitorizează traficul în rețea sau un antivirus instalat în rețea.
Sau, să spunem că încearcă să acceseze rețeaua folosind acreditări compromise, o autentificare multifactorială implementată într-o rețea îi poate împiedica să acceseze sistemul.
Presupunând că încă mai pot intra în sistem, un sistem de detectare a intruziunilor le-ar putea prinde și raporta intruziunea, care poate fi apoi rezolvată înainte de a se produce daune suplimentare. Alternativ, un sistem de prevenire a intruziunilor poate fi folosit și pentru a opri activ amenințările.
Dacă urmează să treacă prin toate aceste măsuri de securitate, puteți împiedica atacatorii să exploateze informațiile sensibile prin criptarea datelor în tranzit și în repaus.
Oricât de mult atacatorii pot fi uneori foarte hotărâți în atacurile lor și pot rezolva diferitele măsuri de securitate instalate pentru a securiza datele, apărarea în profunzime funcționează făcându-le foarte dificil pentru atacatori să obțină acces la un sistem. Acest lucru îi poate descuraja în atacurile lor sau, mai bine, poate oferi organizației timp să răspundă la atacuri înainte ca sistemele lor să fie încălcate.
Utilizați cazuri de apărare în profunzime
Apărarea în profunzime poate fi aplicată într-o varietate de scenarii. Unele dintre acestea includ:
#1. Securitatea retelei
O aplicație comună a apărării în profunzime este protejarea rețelelor de atacuri. Acest lucru se realizează de obicei prin existența unor firewall-uri pentru a monitoriza traficul de rețea pe baza politicii unei organizații și a sistemelor de protecție împotriva intruziunilor pentru a monitoriza activitatea rău intenționată a rețelei și pentru a lua măsuri pentru a preveni și a atenua intruziunile într-o rețea.
În plus, software-ul antivirus este instalat în rețea pentru a preveni instalarea malware-ului în rețea sau pentru a elimina orice ar putea fi instalat.
Stratul final de securitate este criptarea datelor în repaus și a datelor în tranzit în rețea. În acest fel, chiar dacă atacatorii ocolesc toate măsurile de securitate anterioare, ei nu pot folosi datele pe care le accesează deoarece sunt criptate.
#2. Securitatea punctului final
Punctele finale sunt dispozitive precum servere, computere desktop, mașini virtuale și dispozitive mobile care se conectează la rețeaua unei organizații. Securitatea punctului final implică securizarea acestor dispozitive împotriva amenințărilor.
O strategie de apărare în profunzime în securitatea punctelor finale poate implica securizarea fizică a locației în care se află punctele finale, utilizarea parolelor puternice și autentificarea multifactorială pentru a controla accesul la dispozitive și înregistrarea activităților dispozitivelor. Firewall-urile, software-ul antivirus și criptarea datelor pot fi, de asemenea, implementate pentru a adăuga straturi suplimentare de securitate.
#3. Securitatea aplicației
Apărarea în profunzime este, de asemenea, utilă în securizarea aplicațiilor, deoarece gestionează date sensibile, cum ar fi conturile bancare ale utilizatorilor, numerele personale de identificare și adresele.
Într-un astfel de scenariu, apărarea în profunzime poate fi implementată prin utilizarea de bune practici de codificare pentru a minimiza defectele de securitate, testarea regulată a aplicațiilor pentru a căuta vulnerabilități, criptarea datelor în tranzit și în repaus și implementarea autentificării multifactoriale pentru a confirma identitatea utilizatorii și, de asemenea, să păstreze un jurnal al activităților efectuate de utilizatorii aplicației.
Securitate stratificată vs. Apărare în profunzime
Deși aceste două măsuri de securitate implică utilizarea mai multor straturi de produse de securitate pentru a spori securitatea resurselor computerului, ele diferă în implementare și focalizare. Cu toate acestea, ambii se bazează pe construirea redundanței pentru a spori securitatea.
Securitatea stratificată este o abordare de securitate în care sunt implementate mai multe produse de securitate pentru a proteja zonele cele mai vulnerabile din securitatea unei organizații.
În această abordare, abordările multiple de securitate sunt implementate în același strat sau stivă, cum ar fi utilizarea unui software antivirus diferit, astfel încât, în cazul în care un antivirus ratează un virus sau are vreun defect, cealaltă opțiune disponibilă poate prelua virusul sau depăși deficiențele. a celuilalt antivirus.
Un alt exemplu în acest sens este utilizarea mai multor firewall-uri sau sisteme de detectare a intruziunilor, astfel încât, în cazul în care un produs nu reușește să detecteze sau să oprească o intruziune, un alt produs o poate prelua.
O astfel de abordare asigură că securitatea sistemelor informatice nu este compromisă chiar și atunci când un produs eșuează. Securitatea stratificată poate fi în diferite straturi de securitate pentru a spori securitatea sistemelor informatice critice.
Spre deosebire de securitatea pe straturi, care construiește redundanța pe un singur strat de securitate, apărarea în profunzime construiește redundanță pe mai multe straturi sau zone ale unui posibil atac pentru a proteja sistemele computerizate împotriva unei game largi de atacuri.
Un exemplu de apărare în profunzime este implementarea paravanelor de protecție, autentificarea multifactorială, sistemele de detectare a intruziunilor, încuierea fizică a camerelor cu computere și utilizarea software-ului antivirus. Fiecare produs de securitate abordează o problemă de securitate diferită și protejează astfel un sistem împotriva unei game largi de atacuri.
Concluzie
Atacurile cibernetice anterioare au arătat că actorii rău intenționați vor încerca diferiți vectori de atac atunci când caută o vulnerabilitate de exploatat în orice sistem. Deoarece atacatorii au o gamă largă de atacuri pe care le pot lansa pentru a compromite un sistem, organizațiile nu se pot baza pe un singur produs de securitate pentru a garanta securitatea resurselor computerului lor împotriva atacatorilor.
Prin urmare, este important să implementăm apărarea în profunzime pentru a proteja resursele critice ale computerului împotriva unei game largi de atacuri. Acest lucru are avantajul de a se asigura că toate canalele posibile pe care actorii rău intenționați le pot folosi pentru a exploata un sistem sunt acoperite.
Apărarea în profunzime oferă, de asemenea, organizațiilor beneficiul de a încetini atacurile și de a detecta atacurile în curs, dându-le timp să contracareze actorii amenințărilor înainte de a-și putea compromite sistemele.
De asemenea, puteți explora Honeypots și Honeynets în securitatea cibernetică.
