È ragionevole rendere obbligatorio all'interno di un'organizzazione (nella rete interna) che tutto il traffico è stato crittografato?

Naviga le tue risposte
1

È ragionevole rendere obbligatorio che tutto il traffico sia stato crittografato all'interno di un'organizzazione (nella rete interna)?

Di solito, nella LAN di un'organizzazione alcuni protocolli sono in chiaro, ad esempio, Telnet o FTP, ma anche altri come LDAP. Il rischio è molto meno all'interno della rete ma penso che oggigiorno, con l'Internet of Things, il BYOD, la mobilità e altre funzionalità, rendere la crittografia obbligatoria per le comunicazioni sia ragionevole e accettabile, cosa ne pensi?

Per favore, non rispondere che ciò dipende dal rischio della tua organizzazione o della tua politica. Suppongo che il rischio sia abbastanza per tutte le aziende che pensano solo agli addetti ai lavori maligni e quello che sto chiedendo è se questo requisito venga aggiunto a una politica di sicurezza o meno.

Dovrebbe dipendere dal segmento della rete interna?

EDIT: ho scoperto che c'è una domanda simile in ServerFault: link

    
posta Eloy Roldán Paredes 21.01.2016 - 16:10
fonte

2 risposte

4

Poiché questa domanda è principalmente basata sull'opinione pubblica - a mio parere :) - la mia risposta sarà principalmente basata sull'opinione pubblica.

Innanzitutto, se c'è una cosa che ho imparato negli anni in cui ho lavorato in IT / sicurezza professionale, è questa: non importa se sei d'accordo o in disaccordo con una politica aziendale o se ritieni che sia ragionevole per loro per crittografare il traffico come un esempio specifico; è la LORO (inserisci il nome della società qui) e possono far rispettare qualsiasi politica che desiderano purché non infranga le leggi / regolamenti locali, statali o federali. Se non ti piacciono le politiche, allora hai due possibilità: succhiarle e continuare a lavorare lì, o trovare un altro datore di lavoro; è davvero così semplice.

Ora passiamo alla mia personale opinione in merito. Non penso che sia una questione se sia ragionevole criptare tutto il traffico, anche internamente, ma è più che altro una domanda sul perché la tua leadership vorrebbe farlo. Lavoro per un'agenzia federale che ha diverse enclavi (le chiameremo isole), una delle quali riguarda SCADA e Industrial Control Systems (ICS). Queste enclavi / isole ICS hanno dati molto più sensibili rispetto all'enclave generale che quasi tutti gli altri utenti sono attivi e, a mio parere, sarebbe giustificato crittografare tutto il traffico. Questo potrebbe aiutare contro potenziali aggressori che proverebbero ad annusare la rete come esempio per qualsiasi informazione utile che potrebbero ottenere. Potrebbe anche aiutare a prevenire una miriade di altre cose, ma quando si arriva a questo, c'è un buon caso aziendale / giustificazione per questo. Il caso aziendale / la giustificazione è che se un utente malintenzionato ha accesso all'enclave regolare non ICS / SCADA non c'è molto che potrebbero fare per danneggiare i sistemi sul campo che controllano l'infrastruttura importante. Se, d'altro canto, avessero avuto accesso ai dati SCADA / ICS da qualcosa di semplice come un analizzatore di protocollo di rete, avrebbero avuto le chiavi del regno e avrebbero potuto distruggere un'infrastruttura seriamente critica che avrebbe afflitto un sacco di gente. Giusto, c'è la giustificazione di essere almeno un po 'paranoici e anche più cauti e adottare misure come la crittografia di tutto il traffico internamente ed esternamente. Non tutte le reti avrebbero una buona giustificazione per la crittografia di tutto il traffico.

Per rispondere alla tua domanda specifica, penso che dovrebbe dipendere dal segmento di rete come hai detto, tuttavia potrebbe essere più semplice da un punto di vista operativo crittografare tutto il traffico piuttosto che tentare di ritagliare determinate aree per crittografare o lasciare altri in chiaro . Ma, senza conoscere la leadership della tua azienda, non posso dire perché vorrebbero farlo su tutta la linea.

    
risposta data 21.01.2016 - 16:39
fonte
2

Inizierò dicendo che la crittografia della rete interna è normalmente una buona idea. L'idea che abbiamo di separare i "buoni" dai "cattivi" attraverso un firewall non ha tenuto conto delle realtà del mondo. Per qualsiasi grande organizzazione ci sono molti modi all'interno della rete, e semplicemente non impedirai agli aggressori di entrare. Il punto è che probabilmente non dovresti considerare la rete interna come intrinsecamente sicura.

Tuttavia, la politica è una questione completamente diversa. Sembra che tu stia cercando di raggiungere una politica quando usi le parole "crittografia obbligatoria". Personalmente non mi piace presumere che la politica di impostazione raggiunga qualsiasi obiettivo di sicurezza reale. Quando si imposta una politica, è necessario considerare i COSTI per l'impostazione di una politica. I costi di una politica possono essere notevoli e difficili da comprendere all'inizio, anche se coinvolgono molte parti interessate. Troppo spesso i "dipartimenti di sicurezza" non eseguono nemmeno questa minima analisi dei costi e non coinvolgono altre parti di un'azienda che il semplice team di sicurezza.

Ad esempio, non tutti i prodotti supporteranno la crittografia. Le parole "crittografia obbligatoria", prese al valore nominale escluderebbero tutti i prodotti / soluzioni che non supportano la crittografia. Potresti pensare che questa sia una buona cosa, ma ci sono molti casi in cui la sicurezza non è richiesta. In questi casi hai eliminato una serie di potenziali soluzioni semplicemente perché non soddisfa una politica che non avrebbe mai dovuto applicarsi.

Quindi dovresti pensare a lungo e duramente prima di impostare qualsiasi politica. Potresti finire a fare più male che bene.

    
risposta data 21.01.2016 - 21:18
fonte

Leggi altre domande sui tag

Differenza tra antivirus e sandbox? SNI (indicazione del nome del server) con SSL