Notiunea de aparare pe mai multe nivele (defense in depth) este una care exista din cele mai vechi timpuri, sursa de inspiratie fiind castelele din Evul Mediu. Similar cum pentru a cuceri o cetate, invadatorii trebuiau sa treaca de un sant cu apa, de catranul fierbinte aruncat de pe metereze, de ziduri groase de piatra, la fel si hackerii trebuie sa aiba de trecut la fel de multe obstacole pana cand sa isi indeplineasca obiectivele. Implementarea mai multor masuri de securitate succesive sporeste sansele organizatiei de a detecta si de a bloca atacul inainte ca reteaua si datele sa fie compromise.
Sunt multe organizatii care inteleg conceptele de baza ale unei aparari stratificate, insa realitatea hiper-distribuita de astazi din IT, unde toata lumea este remote, si toata lumea este in miscare, cere o revizuire a masurilor de securitate instalate si o adaptare a acestora la noile cerinte.
O aparare stratificata poate fi aplicata prin mai multe strategii (care este nivelul cel mai critic care trebuie aparat, care este cel mai usor de implementat, care este cel mai expus nivel la atacuri, etc). Acest ghid tactic face cateva recomandari cu privire la vulnerabilitatile care trebuie adresate de o aparare pe mai multe nivele.
Nivelul 1 – Educarea utilizatorilor cu privire la pericolele din online. Asigura protectie impotriva atacurilor de inginerie sociala si phishing. Omul este de obicei veriga slaba din lantul de securitate al organizatiei. Degeaba instalam cele mai bune solutii de securitate, rezolvam fiecare vulnerabilitate gasita si angajam cei mai buni experti in domeniu, daca un atacator reuseste sa convinga pe unul dintre angajati ca este de la departamentul de suport IT si sa ii spuna datele de conectare de la contul de email. Angajatii trebuie sa fie educati cu privire la pericolele reprezentate de atacurile care exploateaza comportamentul uman si curiozitatea. (Pro tip: atentie la printul nigerian 😊.) Un program de security awareness trebuie efectuat periodic, si mai ales in procedul de onboarding al angajatilor noi. Programul poate sa fie format din mini sesiuni de trainig in care se prezinta tacticile si tehnicile folosite de hackeri, infografice, newslettere si chiar exercitii de penetration testing focusate pe phishing si „phone scams”.
Nivelul 2 – Folosirea unei autentificari puternice. Asigura protectie impotriva accesului neautorizat la o resursa. Organizatiile trebuie sa aiba in vedere o politica de IAM (Identity and Access Management) care sa confirme ca doar persoanele potrivite si legitime au acces la retea, aplicatii si fisiere. Din fericire, multi dintre noi suntem familiari cu autentificarea in doi pasi (2FA sau MFA), asa ca adoptia acestei solutii la nivelul intregii organizatii nu trebuie sa fie foarte dificila, mai ales daca utilizatorul are o experienta simpla si usoara de autentificare asa cum solutia oferita de Cisco – Cisco Duo Security.
Nivelul 3 – Securizarea serviciului de email. Asigura protectie impotriva phishing-ului si impotriva atacurilor de tip BEC (business email compromise) si ATO (account takeover). Emailul ramane principalul vector de atac folosit de atacatori pentru ca este in continuare cel mai folosit instrument folosit de companii in comunicarea interna, cu furnizorii, cu clientii si cu partenerii de business. Protejarea serviciului de email (indiferent daca acesta este inca on premises sau a fost deja migrat in cloud) trebuie facuta cu solutii avansate de securitate, care depasesc traditionala protectie antispam si antimalware, si care pot identifica emailuri complexe de phishing si de impersonare. Securitatea emailului trebuie sa aiba in vedere si eliminarea unor incidente de securitate care pot avea loc din cauza actiunilor utilizatorilor si care pot duce infectarea cu ransomware, exfiltrare de informatii sau probleme de complianta cu anumite reglementari specifice domeniului de activitate al companiei. Cisco are in portofoliul sau de securitate solutia de protectie a emailului potrivita pentru organizatia dumneavoastra.
Cele trei nivele prezentate mai sus sunt pentru multe organizatii nivelele de securitate cele mai importante de adresat atunci cand vine vorba de implementarea unei strategii defense in depth. Partea a doua a acestui ghid va adresa alte trei nivele, considerate a fi urmatoarele de avut in vedere: protectia endpoint-urilor, inspectia traficului criptat, accesul securizat de la distanta.
Mihai Dumitrascu, Sr Systems Engineer