Modello di livello per la sicurezza delle informazioni - nome scientifico?

Naviga le tue risposte
2

Alcuni giorni fa, stavo parlando con un amico delle rivelazioni di Snowden e del suo impatto sulla consapevolezza di Infosec e di come un certo numero di alternative (presumibilmente) sicure ai servizi affermati sono emerse nell'ultimo mese.

Tuttavia, abbiamo rapidamente concordato sul fatto che tutta la sicurezza del livello applicativo (se funziona davvero) è inutile se non ti fidi di tutti i livelli sottostanti, come il sistema operativo (potrebbe essere backdoor) o anche l'hardware (lì c'erano alcune notizie davvero spettrali sulla NSA che armeggiava con l'hardware inviato via mail). Questa idea sembra così semplice e intuitiva, tuttavia non sono riuscito a trovare alcuna letteratura scientifica su di essa. Esiste un nome comunemente usato per questo?

    
posta TheWolf 25.08.2015 - 21:07
fonte

4 risposte

4

Il termine che stai cercando è difesa in profondità .

È un termine che descrive le difese di sicurezza strutturate in modo da essere stratificate attorno a ciò che si desidera proteggere; questo include non solo la sicurezza di tutti i livelli ISO / OSI ma anche, per es. sicurezza fisica:

  • sala server con porte bloccate
  • badge di sicurezza per accedere all'edificio
  • guardie di sicurezza all'interno e all'esterno dell'edificio
  • controlli di background sul personale
  • addestramento del personale contro gli attacchi di social engineering
  • assicurazione per furto, perdita di servizio, problemi legali ecc.
  • qualsiasi altra cosa per cui un attacco sia fattibile

Si noti che un modello di protezione basato esclusivamente sulla sicurezza delle informazioni, ad es. la sicurezza fisica, è destinata al fallimento.

    
risposta data 26.08.2015 - 11:35
fonte
1

La difesa in profondità e la sicurezza a strati sono spesso usati in modo intercambiabile. L'idea è che un difetto in un singolo livello della tua difesa (ad esempio, i tuoi endpoint) non comporterà una violazione completa e totale di tutti i tuoi sistemi.

Questo non è "ufficiale" per se, ma mi piace suddividere gli strati in:

  1. umana
  2. fisico
  3. Gli endpoint
  4. Rete
  5. Application
  6. Dati

Ho scritto una guida davvero approfondita basata su questi 6 livelli qui:

link

E SANS ha un whitepaper sulla sicurezza a strati che è anche abbastanza buono (anche se non aggiornato) qui:

link [PDF]

    
risposta data 17.06.2016 - 15:29
fonte
0

Non sono a conoscenza di uno dal campo della sicurezza delle informazioni (sebbene ci siano termini come Riservatezza / Integrità / Disponibilità e simili) ma c'è il modello OSI . Questo è un modello abbastanza universalmente conosciuto.

    
risposta data 26.08.2015 - 03:01
fonte
0

Non sono a conoscenza di un quadro standard che è sanzionato da un ente governativo centrale e universalmente accettato dalla comunità di infosec.

La maggior parte dei modelli sono mappati 1: 1 con il modello OSI, il che ha un senso. Forse abbiamo bisogno di alcuni sottostrati per coprire l'ampiezza e la profondità dei diversi vettori di attacco. Ad esempio, il vettore di attacco umano non si adatta perfettamente a tale framework.

Oltre al vettore di attacco umano, personalmente credo che un modello a strati infosec possa forse fare anche con un livello di conformità.

Questo potrebbe rendere interessante un dottorato di ricerca o un progetto principale per qualcuno.

(O anche per il cervello collettivo di questo forum di elaborare una struttura di riferimento che possa fungere da base per qualsiasi standard potenziale)

    
risposta data 26.08.2015 - 10:03
fonte

Leggi altre domande sui tag

Dove posizionare i file PHP per sicurezza? Un trasferimento di BIOS o UEFI può essere trasferito ad altre unità di archiviazione senza la presenza del sistema operativo?