Pasywa

Środowisko odpowiedzialności otaczające serwery WWW jest zbyt nowe, aby spory mogły się toczyć. Jednak nie ma powodu, aby sądzić, że niezliczone przepisy regulujące ujawnianie danych osobowych nie będą w pełni egzekwowane w kontekście witryn internetowych.

Witryny internetowe coraz częściej obsługują poufne informacje. Witryny branży finansowej rutynowo obsługują transakcje bankowe i transakcje papierami wartościowymi. Usługi e-mail obsługują duże ilości ruchu konsumenckiego, a coraz więcej firm ubezpieczeniowych, działów świadczeń pracowniczych i innych korzysta z witryn internetowych do przetwarzania niezwykle wrażliwych informacji objętych różnymi przepisami. Jednym z powodów, dla których zaleca się zwrócenie szczególnej uwagi na kontrolę serwerów internetowych i ich systemów wspierających, jest potrzeba stworzenia środowiska należytej staranności, w którym organizacja może wykazać, że podjęła rozsądne kroki w celu zapewnienia integralności, bezpieczeństwa i poufności informacji.

KWESTIE ETYCZNE I PRAWNE

Zarządzanie witryną wiąże się z szeregiem problemów etycznych i prawnych, głównie związanych z informacjami gromadzonymi przez witrynę podczas przetwarzania transakcji, a także ze śledzenia wydajności, identyfikacji problemów i audytów. Zasady muszą być publikowane, aby zapewnić, że informacje nie są wykorzystywane do nieautoryzowanych celów, a personel obsługujący takie systemy musi znać te zasady i przestrzegać ich. Wiele z tych kwestii etycznych ma również podłoże cywilne i karne

Nowe technologie

Nowe technologie w dalszym ciągu zmieniają wyzwania na arenie technologii internetowych. Jedno z takich wyzwań pojawia się przy korzystaniu z zapór ogniowych opartych na SSL / TLS. Korzystanie z protokołu HTTPS jako podstawy do budowania zaszyfrowanych tuneli wydaje się na pierwszy rzut oka niesamowitą technologią. Większość zapór ogniowych zezwala na inicjowanie połączeń ze strefy chronionej na porcie TCP 443 w celu umożliwienia połączenia z wieloma różnymi witrynami internetowymi, które wymagają zabezpieczenia informacji, o czym wspomniano w innych miejscach w tym rozdziale. Ze względu na prywatność i bezpieczeństwo taki ruch powinien być nieprzejrzysty do monitorowania. Użycie protokołu HTTPS jako podstawy tunelowania zapewnia również dostosowaną do potrzeb technikę nadużyć. Na przykład takie technologie umożliwiają zainfekowanemu komputerowi stacjonarnemu monitorowanie sieci, wyodrębnianie interesujących go danych i bezpieczne przesyłanie wynikowych danych do lokalizacji zewnętrznej przez zaporę ogniową. Nieprzezroczysty charakter połączenia opartego na protokole SSL / TLS uniemożliwia skanowanie wychodzących danych. Ta technologia może z powodzeniem stanowić koniec sieci LAN korzystających ze współdzielonej łączności. Coraz ważniejsze jest zabezpieczenie infrastruktury sieciowej przed atakami, które umożliwiają nieuczciwej maszynie gromadzenie danych poprzez monitorowanie ruchu sieciowego. Konieczne może być również przeprojektowanie systemów wykrywania włamań, aby zidentyfikować połączenia HTTPS o znacznym natężeniu ruchu w celu wykrycia oznak włamania lub nadużycia. W celu ochrony przed takimi atakami i nadużyciami konieczne może być podejście, które traktuje całą sieć jako z natury zagrożone, z wykorzystaniem technologii IPSec VPN z serwera stacjonarnego w celu zabezpieczenia infrastruktury komunikacyjnej. W tym kontekście używanie telnetu do komunikacji konsoli jest zdecydowanie odradzane. Należy używać protokołu SSH i innych szyfrowanych protokołów.

Audyt

W każdej organizacji należy monitorować i analizować wykorzystanie obiektów, w tym aktywność sieciową. Ponieważ osoby zainteresowane atakiem lub niszczeniem sieci przedsiębiorstwa będą atakować, kiedy zechcą, takie monitorowanie i analiza muszą być częścią ciągłego procesu. Bieżąca obserwacja i przegląd powinny obejmować:

* Fizyczna infrastruktura komunikacyjna

* Zapory, tabele routerów i reguły filtrowania

* Bezpieczeństwo hosta

* Bezpieczeństwo plików

* Wzorce ruchu w sieciach szkieletowych, strefach DMZ i innych segmentach sieci

* Fizyczne bezpieczeństwo systemów i infrastruktury komunikacyjnej

Obszary te są synergiczne i niezależne. Są synergiczne, ponieważ połączenie ich wszystkich wzajemnie się wzmacnia w promowaniu bezpiecznego środowiska komputerowego. Są niezależne, ponieważ każdy z nich może stanowić słaby punkt w bezpiecznym środowisku.

Przechodzenie w tryb offline

Systemy połączone z Internetem wymagają szybkości reakcji, która jest bezpośrednio związana z kosztami przestoju. Może to być koszt utraconego biznesu; w innych organizacjach kosztem może być stracony czas zawodowy, zniszczone relacje z mediami i obniżone morale. W każdym razie im większy odsetek organizacji (lub jej klientów) dotkniętych problemem, tym wyższe koszty i większa pilność wykonania napraw. Dzisiejszy świat wzajemnych połączeń sprawia, że ​​rozłączanie się z Internetem jest naprawdę bolesną opcją dla menedżera sieci lub bezpieczeństwa. Chociaż koszt odłączenia (lub częściowego odłączenia) może sięgać setek tysięcy dolarów w przypadku utraty działalności i produktywności, odłączenie w pewnych sytuacjach jest zarówno konieczne, jak i właściwe. Czasami odłączenie stanowi najtańszy i najskuteczniejszy sposób ochrony użytkowników, systemów i społeczeństwa. W dniu 4 maja 2000 r., podczas epidemii „I Love You”, Microsoft Outlook – wykorzystujący atak wirusów, menedżerowie sieci w Ford Motor Company odłączyli sieć Forda od świata zewnętrznego, aby ograniczyć przedostawanie się zanieczyszczonych wiadomości e-mail do systemów Forda i zapobiec Systemy Forda przed rozprzestrzenianiem się zakażenia. Odpowiedź osiągnęła swoje cele. Odłączenie skutkowało mniejszym bólem niż rozwiązania alternatywne. Sieci podzielone na segmenty pomagają zapewnić podział na segmenty, umożliwiając bardziej szczegółową odpowiedź niż zwykłe odłączenie. Podstawowym problemem związanym z rozłączaniem jest: Co można odłączyć? Kto ma władzę? Prawo Murphy’ego często interweniuje. Takie ważne incydenty wymagają krótkich czasów reakcji, nieuchronnie w przypadkach, gdy menedżerowie wyższego szczebla nie są dostępni. Najlepszym sposobem zabezpieczenia tej sytuacji awaryjnej jest dostarczenie wytycznych dla personelu posiadającego uprawnienia do obrony systemów oraz zagwarantowanie, że działania zgodne z wytycznymi będą odporne na odwet. Jeśli organizacja nie zezwoli na takie działania, zrzeka się również korzyści wynikających z działań mających na celu powstrzymanie szkód.

Bezpieczeństwo plików tylko do odczytu

Wiele witryn umożliwia pobieranie, zwykle przez FTP i HTTP, dużej liczby plików. Pliki te mogą zawierać kopie formularzy, instrukcji, instrukcji, map i przewodników serwisowych. Jeśli takie udostępnianie plików jest zapewniane, ważne jest, aby upewnić się, że:

* Serwery obsługujące usługę pobierania są bezpieczne.

* Zawartość publicznie dostępnego magazynu plików jest tylko do odczytu i może podlegać kontroli zmian.

* Cała zawartość publicznego magazynu plików może zostać szybko przywrócona w przypadku możliwego kompromisu.

* Istnieje wyraźnie wyznaczona strona odpowiedzialna za utrzymanie i ochronę usługi plików publicznych

Odpowiedzialność

Ludzie często mówią o nieprzeniknionych systemach. Pomimo analogii z zamkiem i fosą, które są używane w wielu dyskusjach o bezpieczeństwie, obwody są niedoskonałe. Biorąc pod uwagę prawdopodobieństwo udanych ataków, pracownicy ochrony muszą stosować środki techniczne i zarządcze w celu skutecznej reakcji. Zabezpieczając infrastrukturę, należy priorytetowo traktować środki ochronne, które zapewniają rozliczalność działań. Tak jak pożądane jest zapobieganie niewłaściwym działaniom, jeszcze ważniejsze jest zapewnienie, że można je policzyć. Na przykład istnieje wiele sposobów przeprowadzania ataków typu „odmowa usługi”. Najbardziej kłopotliwe są te, które są całkowicie legalne. Chociaż niektóre z tych ataków, takie jak rozproszona odmowa usługi, są wojownicze lub motywowane politycznie i ideologicznie i obejmują zdalnie sterowane programy zombie i botnety, wiele przypadkowych ataków DoS może wystąpić bez złośliwości w trakcie tworzenia oprogramowania. Na przykład dwa najbardziej znane robaki, które nieumyślnie doprowadziły do ​​DoS, robak Morris i robak WANK, zostały wykryte nieumyślnie w wyniku błędów implementacji w ich mechanizmach replikacji. Błędy te spowodowały, że oba robaki bardzo szybko się rozprzestrzeniły, skutecznie powodując niezamierzone ataki DoS i późniejsze wykrycie. Podczas analizy kryminalistycznej zaatakowanej maszyny obecność ataku może pozostać niewykryta. Jest to szczególnie prawdziwe, gdy atak dotyczy szkodliwego oprogramowania projektanta, którego nie ma w ogólnym obiegu. Ważne jest, aby przeanalizować naruszenia bezpieczeństwa, aby rozróżnić ataki, wypadki i eksperymenty. Lepiej jest odkryć, choćby przypadkowo, słabości organizacji, niż zająć się naprawdę wojowniczym naruszeniem bezpieczeństwa. Zasady i praktyki powinny zatem zachęcać pracowników do zgłaszania wypadków, zamiast próbować je ukrywać. Jeśli chodzi o fałszywe alarmy wywoływane przez nadmiernie entuzjastycznych neofitów zajmujących się bezpieczeństwem, kierownictwo powinno unikać karania tych, którzy zgłaszają iluzoryczne naruszenia lub ataki. Odpowiedzialność zapewnia surowiec do ustalenia, co faktycznie się wydarzyło. Uzyskane w ten sposób informacje stanowią kluczową podstawę analizy i edukacji, umożliwiając w ten sposób przedsiębiorstwu ewolucję na wyższy poziom bezpieczeństwa i integralności.

Konieczność dostępu

Czasami łatwo jest określić, kto potrzebuje dostępu, do jakich zasobów i do jakich informacji. Jednak kwestia kontroli dostępu często wiąże się z bolesnymi wyborami, z wieloma niuansami i subtelnościami. Odpowiedzialność prawna i umowna dodatkowo komplikuje sprawę. Na przykład brak dostępu może uniewinnić osoby podejrzewane o niewłaściwe wykorzystanie informacji. Fizyczne i logiczne kontrole dostępu należy wdrożyć w przypadku systemów dostępnych w Internecie, podobnie jak w przypadku każdego innego wrażliwego i krytycznego systemu. Kontrole takich systemów muszą być egzekwowane i przestrzegane przez wszystkich członków organizacji. Ważne jest, aby personel o ograniczonym dostępie do sieci i infrastruktury bezpieczeństwa rozumiał i rozumiał powody wprowadzenia zasad bezpieczeństwa i nie podejmował środków pozwalających na obejście tych zasad. Integralność zapór sieciowych i infrastruktury sieciowej organizacji jest tak dobra, jak fizyczne i logiczne bezpieczeństwo personelu, sprzętu, infrastruktury i systemów składających się na zaporę i sieć. Regularne kontrole fizycznego i logicznego dostępu do zasobów infrastruktury są krytyczne i konieczne. Rozsądne jest również skanowanie w poszukiwaniu nieautoryzowanych (fałszywych) punktów dostępu Wi-Fi. Tak jak w przeszłości z modemami telefonicznymi; fałszywe punkty dostępu Wi-Fi mogą zagrozić całej organizacji bezpieczeństwa. Potrzeba utrzymania bezpieczeństwa informacji w komunikacji wewnątrz organizacji przemawia za szerokim wykorzystaniem technologii bezpieczeństwa, nawet jeśli pakiety danych nigdy nie opuściłyby siedziby. Rozsądne planowanie, nawet w przedsiębiorstwie, wymaga, aby aplikacje z wymaganiami prywatności lub poufności korzystały z infrastruktury prywatności, takiej jak Secure Sockets Layer (SSL) dla aplikacji internetowych lub tunelowania, takich jak Layer 2 Tunneling Protocol44 i Point-to -Point Tunneling Protocol. Pomaga to zapewnić, że dystrybucja poufnych informacji jest ograniczona. Nie trzeba dodawać, że w tych podejściach należy stosować wysokiej jakości szyfrowanie i odpowiednio podpisane certyfikaty X.509 od dobrze uznanych urzędów certyfikacji. Nie należy używać certyfikatów z podpisem własnym, które utraciły ważność i nie są powszechnie akceptowane.

Podział na przedziały

Podział sieci na oddzielne przedziały bezpieczeństwa zmniejsza ryzyko całkowitego załamania sieci. Ograniczenie potencjalnych szkód spowodowanych incydentem jest ważnym krokiem w rozwiązywaniu problemów. Ta sama zasada dotyczy stref DMZ. Na przykład w przedsiębiorstwach zajmujących się handlem finansami lub produkcją często zdarza się, że bramy reprezentują punkty dostępu do sieci handlowych i partnerskich. Problematyczne jest umieszczenie tych przyjaznych systemów. Wiele organizacji zdecydowało się umieścić te systemy w swojej zwykłej strefie DMZ. Witryny z opóźnieniem odkryły, że takie bramy czasami okazały się działać jako routery, przejmując tę ​​funkcję od zamierzonych routerów. W innych przypadkach bramy działały nieprawidłowo i zakłócały działanie pozostałej części sieci (lub strefy zdemilitaryzowanej). Jak zawsze, jedynymi pewnymi rozwiązaniami są wyłączenie lub izolacja. Podział na przedziały zapobiega również kaskadowaniu wypadków. Awaria pojedynczej bramy prawdopodobnie nie rozprzestrzeni się w całej sieci, ponieważ nieoczekiwany ruch zostanie zatrzymany przez zaporę ogniową izolującą bramę od sieci. Takie zdarzenie może wywołać alarmy ataku zapory. Problem z siecią nie ogranicza się do węzłów dostarczanych z zewnątrz. Błędny system działający w sieci pozbawionej przedziałów, znajdującej się w zewnętrznej strefie bezpieczeństwa, może siać spustoszenie w całej korporacji. Skonstruowanie sieci jako szeregu zagnieżdżonych i powiązanych ze sobą domen bezpieczeństwa, z których każda jest chroniona przez odpowiednie zapory ogniowe, lokalizuje wpływ nieuniknionych incydentów, podczas gdy sieć bez przedziałów umożliwia rozprzestrzenianie się infekcji w całej organizacji. Większe sieci dramatycznie podnoszą koszty incydentu. Można sobie wyobrazić, że cały budżet przeznaczony na podział sieci korporacyjnej będzie mniejszy niż koszt jednej godziny przestoju wynikającego z pierwszego błędnego systemu. Łatwa dostępność przenośnych urządzeń pamięci masowej, w tym pamięci USB i zewnętrznych dysków twardych, sprawia, że ​​podział na segmenty jest jeszcze poważniejszym problemem. Exploity pokazały celowość wyłączenia automatycznego wykonywania oprogramowania przechowywanego na urządzeniach typu plug-in

Wiele domen zabezpieczeń

Wiele sieci wdraża zabezpieczenia wyłącznie w punkcie wejścia, gdzie sieć organizacji łączy się z publicznym Internetem. Takie monolityczne zapory ogniowe nie są skutecznym wyborem dla wszystkich, z wyjątkiem najprostszych małych organizacji. Na początek systemy dostępne dla ogółu ludności powinny znajdować się poza obszarem bezpieczeństwa wewnętrznego na ziemi niczyjej między publicznym Internetem a prywatną siecią wewnętrzną. Taka izolacja jest określana jako strefa zdemilitaryzowana (DMZ). Systemy  te powinny mieć pewien stopień ochrony poprzez umieszczenie ich pomiędzy zewnętrzną zaporą ogniową (chroniącą strefę zdemilitaryzowaną przed siecią publiczną) a wewnętrzną zaporą ogniową (chroniącą sieć wewnętrzną przed siecią publiczną i kontrolując komunikację między publicznie dostępnymi serwerami znajdującymi się w DMZ do sieci wewnętrznej). Alternatywnie strefa DMZ może być ślepą uliczką połączoną z oddzielnym portem na pojedynczej zaporze przy użyciu innego zestawu reguł zarządzania ruchem. Taka topologia pozwala na implementację różnych ograniczeń bezpieczeństwa mających zastosowanie do obu sieci. Podejrzane powinny być również systemy zlokalizowane w strefie DMZ, ponieważ stanowią one cel kompromisu. Chociaż cała branża zgadza się co do potrzeby konfiguracji DMZ, mniej docenia się, że takie ograniczenia mają również miejsce w organizacjach. Różne grupy, działy i funkcje w organizacji mają różne wymagania dotyczące bezpieczeństwa i dostępu. Na przykład w firmie świadczącej usługi finansowe wymagania dotyczące bezpieczeństwa różnią się znacznie w poszczególnych działach. Trzy oczywiste przykłady działów o różnych wymaganiach to personel, fuzje i przejęcia oraz badania i rozwój. Dział personalny jest opiekunem szerokiego zakresu wrażliwych informacji o firmie, jej pracownikach i często osobach z zewnątrz, które albo regularnie przebywają na terenie firmy, albo regularnie współpracują z firmą przy projektach. Niektóre z tych informacji, takie jak adresy zamieszkania, poziomy płac i tablice rejestracyjne, są poufne ze względów osobistych lub kulturowych. Inne informacje narażają organizację na sankcje prawne lub regulacyjne, jeśli zostaną nieprawidłowo ujawnione lub wykorzystane. W Stanach Zjednoczonych przykłady danych wrażliwych obejmują numery ubezpieczenia społecznego, wiek, orientację seksualną i obecność ludzkiego wirusa niedoboru odporności (HIV) lub inne dane medyczne. Jeszcze inne informacje mogą podlegać określonym prawnym lub umownym przepisom dotyczącym poufności.

Dział fuzji i przejęć obsługuje różnego rodzaju poufne informacje. Informacje o negocjacjach biznesowych lub planach na przyszłość podlegają ścisłym wymogom poufności. Ponadto ujawnienie takich informacji podlega różnym przepisom na szczeblu rządowym i branży papierów wartościowych. W dziale fuzji i przejęć dostęp do informacji często musi być konieczny, zarówno w celu ochrony transakcji, jak i ochrony firmy przed narażeniem na odpowiedzialność cywilną i karną. Niektóre informacje w dziale badań i rozwoju są całkowicie jawne, podczas gdy inne informacje są w różnym stopniu ograniczone. Pełne wdrożenie odpowiedniego środowiska bezpieczeństwa będzie wymagało zabezpieczeń, które nie tylko różnią się logicznie w zależności od działu, ale także wymagają wzajemnej ochrony różnych działów. Dlatego też, jeśli nie jest to topologicznie niemożliwe, pojedyncza zapora ogniowa, znajdująca się na połączeniu ze światem zewnętrznym, może wdrożyć wymagane środki bezpieczeństwa. Trudno jest zapewnić, że szkielet korporacyjny jest wolny od potajemnego monitorowania. Ponadto nawet autoryzowane monitorowanie może tworzyć dzienniki komunikacji zawierające wrażliwe chronione informacje. Dzienniki sieciowe stają się wtedy zagrożeniem same w sobie. Zabezpieczanie systemów w izolowanych obszarach logicznych jest przykładem niezbędnej nieufności, a jedynie kwestia zapewnienia, że ​​interakcje między systemami stron trzecich a światem zewnętrznym są dozwolone w takim zakresie, w jakim są oczekiwane. Jako przykład rozważ prostą sytuację w Hipotetycznym Domu Maklerskim. Hipotetyczny dom maklerski korzysta z dwóch sieci handlowych, Omega i Gamma.

Na pierwszy rzut oka wydaje się, że byłoby dopuszczalne umieszczenie bram sieciowych Omegi i Gamma w zwykłej strefie DMZ, razem z serwerami WWW firmy Hypothetical. Jednak daje to duże zaufanie firmom Omega i Gamma oraz całemu ich personelowi, dostawcom i wykonawcom. Najważniejszym pytaniem operacyjnym jest to, czy istnieje wiarygodne zagrożenie. Każda z dwóch bramek jest dobrze usytuowana, aby:

  • Monitorować ruch komunikacyjny do i z serwerów WWW firmy Hypothetical
  • Monitorować ruch między Hypothetical a inną, konkurencyjną siecią
  • Zaatakować drugą bramę
  • Przerwać komunikację do i z drugiej bramy

Sieć Attack Hypothetical

Dostawcy sieci również stanowią atrakcyjną opcję ataku. Pojedyncze włamanie do komponentu systemu dostarczonego przez dostawcę sieci skutkuje naruszeniem bezpieczeństwa dużej liczby witryn użytkowników końcowych. Istnieje bogata historia preferowanych celów przełączników prywatnych (PBX) i publicznych (należących do operatora). Routery SOHO dostarczone przez dostawcę ze zdalnym zarządzaniem lub funkcją Wi-Fi mogą również stać się wektorem ataku, jeśli konfiguracja dostarczona przez dostawcę jest wadliwa lub jeśli hasła zarządzania wygenerowane przez dostawcę zostaną naruszone. Rozwiązaniem jest odizolowanie systemów innych firm w oddzielnych strefach DMZ, przy czym ruch między każdą z DMZ a resztą sieci jest skrupulatnie sprawdzany pod kątem protokołu kontroli transmisji i protokołu datagramów użytkownika (TCP / UDP), numeru portu i źródła i adresy docelowe, aby upewnić się, że cały ruch jest autoryzowany. Jedną z metod jest użycie pojedynczej zapory z wieloma portami sieci lokalnej (LAN), z których każdy ma inne reguły filtrowania, w celu przekształcenia oryginalnej pojedynczej strefy DMZ firmy Hypothetical w rozłączne, chronione strefy DMZ.