Predikce 2016: Navrhování interních IT sítí jako nepřátelských prostředí
Předpověď
Moje předpověď je, že v roce 2016 získá nové paradigma IT Security založené na prohlížení a navrhování interních podnikových sítí, jako by byly nepřátelským prostředím.
Současný stav věcí
Díky implementaci firewallů nové generace nebyly obvodové stěny našich IT sítí nikdy tak robustnější. V důsledku toho je pro zločince stále obtížnější proniknout do sítí útokem na zdi.
Tento bezpečnostní model založený na opevnění perimetru byl převládající po mnoho let, ale podobně jako slavná Maginotova linie byl shledán nedostatečným. Kybernetičtí zločinci se vrátili ke starým technikám a jednoduše obcházejí obranný val.
Primárním mechanismem je zacílení na to, co mnozí bezpečnostní profesionálové posměšně nazývají nejslabším článkem bezpečnostního řetězce – na lidi. A v roce 2015 se škodlivý e-mail (Phishing) vrátil do módy.
Používají se různé metody. Škodlivý kód vložený do přiložených dokumentů, pokyny v e-mailu ke kliknutí na odkaz vedoucí na webovou stránku, která vloží kód do prohlížeče uživatele, nebo alternativně falešné webové stránky se vzhledem známých přihlašovacích stránek.
Ať už je taktika jakákoli, výsledky jsou stejné – zločinec se uchytí v síti.
Ano, můžeme využít školení a osvětu uživatelů, které se ukázaly jako účinné při snižování počtu úspěšných phishingových útoků, ale stačí jedna uživatelská chyba. Jedno kliknutí, jeden okamžik rozptýlení a zločinec je uvnitř sítě.
A už nemůžeme nutně vinit uživatele. S explozí sociálních médií se na internetu objevila hromada šťavnatých informací, které mohou zločinci využít k pečlivému prozkoumání a pečlivému zacílení jejich e-mailových kopí phishingových útoků.
To je jen jeden problém.
Samotný obvod sítě se stává nejasným s přijetím cloudových technologií a explozí mobilních zařízení. Nemluvě o zákeřné a neškodlivé vnitřní hrozbě.
V tomto duchu bych mohl pokračovat, ale chtěl jsem poukázat na to, že model zesíleného bezpečnostního obvodu nefunguje. Ještě horší je, že tento model zrodil vnitřní sítě založené na vztazích důvěry. Klíčovým předpokladem je, že těm v síti lze důvěřovat.
Jakmile se zločinci dostanou do sítě, využívají tyto důvěryhodné vztahy proti nám. Nyní je triviální eskalovat privilegia, obcházet kontroly přístupu, falšovat administrátorská práva, posouvat se laterálně a nakonec horizontálně, stále nahoru přes řetězec důvěry k datovým „korunovačním klenotům“.
Nové bezpečnostní paradigma
V roce 2016 se ujme nové bezpečnostní paradigma založené na prohlížení a navrhování vnitřní sítě jako nepřátelského prostředí. Tento model bude založen na předpokladu „Assume Breach“. To může znít negativně, ale bude to mít několik výhod oproti tradičnímu myšlenkovému proudu.
Za prvé, sítě budou navrženy s ohledem na zmírnění narušení. Sníží se implicitní, zapečené důvěryhodné vztahy a privilegia a poroste mikrosegmentace sítí a sandboxing aplikací.
Za druhé, podniky přejdou na jemnou kontrolu nad všemi zařízeními připojenými k síti. Samotná zařízení nebudou implicitně důvěryhodná. Přístup budou mít pouze identifikovaná a známá zařízení – plně zašifrovaná, ověřená, autorizovaná a ve správném „stavu“ – a to pouze do pečlivě spravovaných „neprivilegovaných“ mikrosegmentů sítě.
Zatřetí, bezpečnostní zaměření se přesune zpět z perimetru do vnitřní sítě. Důraz bude kladen na to, co se děje uvnitř sítě a kdo co dělá. Využití základních linií zařízení a biometrických technologií „normální aktivity“ a chování uživatelů poroste.
To jsou logické závěry nového paradigmatu IT bezpečnosti, které, jak věřím, získá v roce 2016 a dále.