Come rendere una rete resistente all'ignoto?

8

Io gioco in un gioco che include rischi normali, ma anche una vasta gamma di poteri soprannaturali che potrebbero influenzare la sicurezza di una rete. Questi possono essere prosaici come il recupero di dati direttamente dalla memoria di un dispositivo con un tocco o drammatici come mandare la propria mente direttamente in una rete o costruire una piccola realtà alternativa in cui le leggi della fisica consentono la costruzione di un computer quantistico pratico su larga scala. È impossibile indovinare i limiti di queste abilità, in quanto qualsiasi cosa consentita in ogni capitolo del gioco potrebbe potenzialmente venire fuori.

Ora, ovviamente, progettare un sistema in grado di difendersi in modo affidabile da attacchi arbitrari sconosciuti che non devono obbedire alle leggi della realtà è uno sforzo ridicolo. Quello che sto cercando sono modi per rendere il sistema sconosciuto -attaccante-arbitrario- resistente .

Ad esempio, tutte le informazioni criticamente sensibili sono conservate su una rete separata che è separata dall'aria da tutto ciò che si collega all'esterno dell'edificio. Questo sarebbe normalmente un ostacolo insormontabile per chiunque tenti di compromettere la rete interna dall'esterno. Tuttavia, non posso escludere la possibilità che qualcuno possa attraversare il traferro. Idealmente, l'accesso a informazioni sensibili dovrebbe richiedere a un utente malintenzionato di fare almeno due cose che sono praticamente impossibili, nel caso in cui uno di loro non si presenti.

Quindi, senza ulteriori indugi, i parametri del sistema:

  • Il sistema ha una decina di utenti. Hanno livelli molto diversi di abilità informatiche e queste abilità potrebbero essere scadute da decenni. Vogliono eseguire il proprio software e possono superare il sysadmin.
  • Gli utenti devono essere in grado di accedere a Internet per lo più senza restrizioni.
  • Gli utenti devono accedere alla rete interna, ma i controlli di accesso potrebbero essere rigorosi.
  • Alcune aree dell'edificio sono pubbliche, ma le parti protette sono fisicamente sicure come possono essere. Affinché un attaccante possa accedere fisicamente alla rete può essere tranquillamente considerato come una "cosa impossibile".
  • I backup off-site sono un must. Non è possibile garantire la sicurezza fisica dei siti di backup.
  • Entrambe le reti potrebbero essere limitate ai dispositivi noti.
  • La rete esterna deve consentire accessi remoti da determinati dispositivi mobili conosciuti.
  • I file sulla rete interna sono per lo più costituiti da libri e documenti scansionati. Potrebbero esserci molti terabyte di tali scansioni. Non deve essere particolarmente conveniente trasferire i dati da e verso la rete interna.
  • I file potrebbero dover essere protetti per molti decenni.
  • Si può presumere che ci sia un individuo esperto che monitora la rete per rilevare anomalie 24/7.
  • Il budget per la rete è di circa $ 100k, più circa $ 10k / anno di manutenzione, a meno che non ci sia una buona ragione per andare più in alto. Questo esclude tutti i costi di manodopera.

Esempi del tipo di approccio alla difesa in profondità che sto cercando:

  • I nastri di backup sono crittografati con AES-256 e quindi con un blocco one-time che viene inviato in anticipo al sito di backup.
  • Le pareti esterne dell'edificio sono rivestite con filo per formare una gabbia di Faraday.
  • Il "pulsante di panico" stacca fisicamente le connessioni di rete esterne, anziché semplicemente disattivarle.
  • Il vecchio hardware viene cancellato, smagnetizzato e dato alle fiamme.
  • Tutti i firewall sono cumulativi - se un firewall rileva una condizione che avrebbe dovuto essere bloccata da un altro sistema, provoca l'invio di un messaggio di testo al sysadmin.

Quindi, quindi, le mie domande: quali tipi di misure potrebbero essere appropriate per una situazione come questa? Quali sono alcune buone "cose impossibili" da mettere nel percorso di un aggressore? Come posso progettare un sistema per trarre il massimo vantaggio dalla difesa in profondità?

    
posta Thom Smith 27.06.2012 - 05:57
fonte

3 risposte

8

La sicurezza dei giorni moderni è la convinzione che non è possibile rendere una rete infinitamente sicura, costruire una trappola per topi migliore e incoraggiare l'evoluzione dei topi. Qualsiasi sistema di sicurezza dovrà essere limitato dalle capacità attese degli aggressori e dovrà utilizzare una strategia di risanamento del rischio basata sulla minaccia che metta il maggior investimento sull'evento che molto probabilmente causerà il maggior danno.

Potrei essere una persona di sicurezza di fascia alta, ma il tuo budget è appena sufficiente per ciò che proponi. È possibile scambiare manodopera per attrezzature fino a un certo punto: strumenti di crittografia software gratuiti rispetto a quelli pagati per l'hardware: processi eseguiti dagli esseri umani anziché sistemi automatizzati. Ma molte delle cose che proponi rientrano ben al di fuori del tuo intervallo di budget:

  • Le sale di lavoro sicure TEMPEST - essenzialmente le gabbie di Faraday - costano un po 'più di $ 100K da installare, anche se si presume che tu abbia una manodopera libera con le competenze giuste, sospetto che i materiali di consumo corri più in alto di quello.

  • hardware per il pulsante di panico - se tutto ciò che intendi è che un ragazzo tira l'unico cavo verso l'esterno - allora è gratis. Ma se intendi casi di dispositivi che sono a prova di manomissione (azzeramento quando si verifica un accesso inappropriato), allora stai prendendo $ 10K in su per dispositivo, a seconda dei tipi di dispositivo.

  • raccolta dati - se si desidera un archivio dati di rete altamente correlato per il rilevamento delle intrusioni e l'analisi delle anomalie - si superano i $ 100.000 nella combinazione di server, datastore, SAN, licenze database, licenze server delle app - ecc. questo presuppone che tu sia a casa a far crescere la tua infrastruttura. Il costo varierà considerevolmente in base alla complessità della rete, del traffico e del numero di vettori che si sta tentando di correlare. Le variazioni di prezzo se ne fai una parte nel cloud, ma anche il tipo di rischio che incontrerai.

Tutte le tue opzioni sono ottime idee per proteggere i sistemi di fascia alta, ma ti è stato assegnato il budget di un progetto scientifico delle scuole superiori e stai cercando di costruire uno space shuttle.

La migliore pratica in materia di sicurezza per lavorare su questo è guardare i dati e le risorse e capire quale sia veramente il tuo alto valore. È la tua reputazione? La tua informazione? La disponibilità del tuo servizio? La sicurezza della tua gente? Che cosa vuoi proteggere?

Quindi dai un'occhiata a chi (o cosa) sarebbe antagonista a quel desiderio? Può essere un avversario intenzionale o qualcosa di insensato (come i disastri naturali). Quali sono le capacità delle vostre più alte minacce, quali saranno i loro obiettivi e quali sono le loro risorse? Un bambino che ha hackerato dopo la scuola (anche se è un genio del male) lavora in modo diverso rispetto a uno stato nazione che intraprende un'azione di guerra informatica. Può anche variare in base alla nazione - il modo in cui i paesi asiatici concepiscono la guerra è diverso dal contesto del mondo occidentale. Quindi il tuo nemico fa la differenza.

Quindi guarda con l'occhio del nemico sul tuo sistema - implementalo nel modo più semplice che puoi, e poi vedi cosa sarà più facile da violare. Vai con il tech più basso che riesci a farla franca e verifica che sia sufficiente.

Se non hai ancora questa informazione - spendi tempo e denaro per ottenerla - non spara per l'ignoto e impossibile da immaginare.

    
risposta data 06.09.2012 - 22:34
fonte
9

Hai colpito la premessa di base di IT Security: non puoi prevedere o fermare tutto, e provare potrebbe costare più di quello che stai cercando di proteggere. Il tuo personaggio è interessato alla maestria delle abilità per superare gli ostacoli di livello superiore, ma la corsa per creare ostacoli più alti rispetto alle abilità di altre persone è sciocca in realtà.

In realtà, devi fare altre domande. Che cosa ha bisogno di protezione? Qual è la gravità del rischio? Qual è la probabilità di rischio? Cosa potrebbe essere compromesso senza preoccupazione? Come si accede alle risorse? Come puoi impiegare la CIA contro tali beni? Quindi riduci i rischi, le probabilità e i costi a livelli inferiori ai costi della perdita di beni.

Per rispondere direttamente alla tua domanda, il tuo concetto di un "tecnomage" onnipotente va bene, ma è facilmente contrastabile con l'idea di "assenza di forma". Se costruisci una strongzza, puoi attaccare una strongzza. Tuttavia, se sei in aria, non c'è niente da attaccare. Più crei la "difesa in profondità" con muri più alti e regole più severe, più diventa fragile. Un sistema adattativo e rigenerativo, d'altra parte, è resiliente agli attacchi. Principi minimi di privilegio, honeypot interni, monitoraggio del traffico in uscita da ogni nodo della rete e classificazione di ogni parte di dati da proteggere vi porteranno oltre la progettazione innovativa. (ovviamente, tutte queste cose sono considerate 'innovative' da molti)

Modifica
Per "assenza di forma" (leggi The Art of War, Tao Te Ching), considera di non avere un amministratore all-power sulla rete. Gli utenti, anche gli amministratori, dovrebbero avere solo il potere sufficiente per svolgere il loro lavoro e non di più. Quando hanno bisogno di più energia, dagli a loro di fare il lavoro, quindi revocano. Nessun amministratore significa che nessun amministratore può usurpare.

    
risposta data 27.06.2012 - 06:30
fonte
3

Un consiglio che posso dare è di limitare severamente ciò che una singola persona che agisce da sola è autorizzata a fare. Nei casi di sicurezza più estremi, come l'emissione o la modifica di autorizzazioni o credenziali, non lasciare che solo due persone abbiano la capacità di farlo. Supponi che la tua organizzazione sia stata infiltrata e che almeno una persona sia una spia. Progetta i tuoi sistemi per limitare il danno che la spia può fare. Quindi supponi che la spia possa scegliere qualcuno da ricattare e limitare ciò che i due possono fare insieme. Non solo si tratta di uno scenario valido nel mondo reale, ma anche la protezione da questo tipo di scenario ti dà una grande sicurezza contro le persone non autorizzate che fanno qualsiasi cosa.

Come per la crittografia, i backup crittografati AES-256 non saranno sicuri per decenni contro un computer quantistico pratico e su larga scala. Puoi chiedere su Cryptography cosa potrebbe sopravvivere così a lungo; Non so cosa potrebbe essere.

    
risposta data 27.06.2012 - 21:56
fonte

Leggi altre domande sui tag