Io gioco in un gioco che include rischi normali, ma anche una vasta gamma di poteri soprannaturali che potrebbero influenzare la sicurezza di una rete. Questi possono essere prosaici come il recupero di dati direttamente dalla memoria di un dispositivo con un tocco o drammatici come mandare la propria mente direttamente in una rete o costruire una piccola realtà alternativa in cui le leggi della fisica consentono la costruzione di un computer quantistico pratico su larga scala. È impossibile indovinare i limiti di queste abilità, in quanto qualsiasi cosa consentita in ogni capitolo del gioco potrebbe potenzialmente venire fuori.
Ora, ovviamente, progettare un sistema in grado di difendersi in modo affidabile da attacchi arbitrari sconosciuti che non devono obbedire alle leggi della realtà è uno sforzo ridicolo. Quello che sto cercando sono modi per rendere il sistema sconosciuto -attaccante-arbitrario- resistente .
Ad esempio, tutte le informazioni criticamente sensibili sono conservate su una rete separata che è separata dall'aria da tutto ciò che si collega all'esterno dell'edificio. Questo sarebbe normalmente un ostacolo insormontabile per chiunque tenti di compromettere la rete interna dall'esterno. Tuttavia, non posso escludere la possibilità che qualcuno possa attraversare il traferro. Idealmente, l'accesso a informazioni sensibili dovrebbe richiedere a un utente malintenzionato di fare almeno due cose che sono praticamente impossibili, nel caso in cui uno di loro non si presenti.
Quindi, senza ulteriori indugi, i parametri del sistema:
- Il sistema ha una decina di utenti. Hanno livelli molto diversi di abilità informatiche e queste abilità potrebbero essere scadute da decenni. Vogliono eseguire il proprio software e possono superare il sysadmin.
- Gli utenti devono essere in grado di accedere a Internet per lo più senza restrizioni.
- Gli utenti devono accedere alla rete interna, ma i controlli di accesso potrebbero essere rigorosi.
- Alcune aree dell'edificio sono pubbliche, ma le parti protette sono fisicamente sicure come possono essere. Affinché un attaccante possa accedere fisicamente alla rete può essere tranquillamente considerato come una "cosa impossibile".
- I backup off-site sono un must. Non è possibile garantire la sicurezza fisica dei siti di backup.
- Entrambe le reti potrebbero essere limitate ai dispositivi noti.
- La rete esterna deve consentire accessi remoti da determinati dispositivi mobili conosciuti.
- I file sulla rete interna sono per lo più costituiti da libri e documenti scansionati. Potrebbero esserci molti terabyte di tali scansioni. Non deve essere particolarmente conveniente trasferire i dati da e verso la rete interna.
- I file potrebbero dover essere protetti per molti decenni.
- Si può presumere che ci sia un individuo esperto che monitora la rete per rilevare anomalie 24/7.
- Il budget per la rete è di circa $ 100k, più circa $ 10k / anno di manutenzione, a meno che non ci sia una buona ragione per andare più in alto. Questo esclude tutti i costi di manodopera.
Esempi del tipo di approccio alla difesa in profondità che sto cercando:
- I nastri di backup sono crittografati con AES-256 e quindi con un blocco one-time che viene inviato in anticipo al sito di backup.
- Le pareti esterne dell'edificio sono rivestite con filo per formare una gabbia di Faraday.
- Il "pulsante di panico" stacca fisicamente le connessioni di rete esterne, anziché semplicemente disattivarle.
- Il vecchio hardware viene cancellato, smagnetizzato e dato alle fiamme.
- Tutti i firewall sono cumulativi - se un firewall rileva una condizione che avrebbe dovuto essere bloccata da un altro sistema, provoca l'invio di un messaggio di testo al sysadmin.
Quindi, quindi, le mie domande: quali tipi di misure potrebbero essere appropriate per una situazione come questa? Quali sono alcune buone "cose impossibili" da mettere nel percorso di un aggressore? Come posso progettare un sistema per trarre il massimo vantaggio dalla difesa in profondità?