¿Es razonable hacer obligatorio dentro de una organización (en la red interna) que todo el tráfico esté cifrado?

1

¿Es razonable hacer obligatorio que todo el tráfico se haya cifrado dentro de una organización (en la red interna)?

Por lo general, en la LAN de una organización, algunos protocolos son texto sin formato, por ejemplo, Telnet o FTP, pero también otros como LDAP. El riesgo es mucho menor dentro de la red, pero creo que hoy en día, con Internet of Things, BYOD, la movilidad y otras funciones, hacer que el cifrado de las comunicaciones sea obligatorio y razonable es razonable y aceptable, ¿qué piensa?

Por favor, no responda que esto depende del riesgo de su organización o de su política. Supongo que el riesgo es suficiente para todas las empresas que solo piensan en información confidencial y lo que estoy preguntando es si este requisito debe agregarse a una política de seguridad o no.

¿Debería depender del segmento de la red interna?

EDIT: He descubierto que hay una pregunta similar en ServerFault: enlace

    
pregunta Eloy Roldán Paredes 21.01.2016 - 16:10
fuente

2 respuestas

4

Dado que esta pregunta se basa principalmente en la opinión, en mi opinión :), mi respuesta se basará principalmente en la opinión.

Primero, si hay algo que he aprendido en los años en que he trabajado en TI / seguridad profesional, es esto: realmente no importa si está de acuerdo o en desacuerdo con una política de la compañía o si cree que es razonable. para que ellos cifren el tráfico como un ejemplo específico; es la compañía THEIR (inserte el nombre de la empresa aquí) y pueden hacer cumplir cualquier política que deseen siempre que no infrinja las leyes / regulaciones locales, estatales o federales. Si no le gustan las políticas, tiene dos opciones: absorberlo y continuar trabajando allí, o buscar otro empleador; Es realmente tan simple.

Ahora a mi opinión personal del asunto. No creo que sea una cuestión de si es razonable cifrar todo el tráfico, incluso internamente, pero es más una cuestión de por qué su liderazgo querría hacer esto. Trabajo para una agencia federal que tiene varios enclaves (los llamaremos islas), uno de los cuales trata con SCADA y Sistemas de Control Industrial (ICS). Estos enclaves / islas ICS tienen datos mucho más confidenciales que el enclave general en el que se encuentran casi todos los demás usuarios y, en mi opinión, se justificaría cifrar todo el tráfico. Esto podría ayudar a los posibles atacantes que intenten rastrear la red como un ejemplo de cualquier información útil que puedan obtener. También podría ayudar a prevenir un sinnúmero de otras cosas, pero cuando se llega a esto hay un buen caso de negocio / justificación para esto. El caso de negocio / justificación es que si un atacante obtiene acceso al enclave regular que no es ICS / SCADA, no hay mucho que pueda hacer para dañar los sistemas en el campo y controlar una infraestructura importante. Si, por otro lado, obtuvieran acceso a los datos de SCADA / ICS de algo tan simple como un analizador de protocolo de red, tendrían las claves del reino y podrían eliminar una infraestructura seriamente crítica que afectaría a mucha gente. Ahí está justificado ser al menos un poco paranoico, así como más cauteloso y tomar medidas como encriptar todo el tráfico interno y externo. No todas las redes tendrían una buena justificación para cifrar todo el tráfico.

Para responder a su pregunta específica, creo que debería depender del segmento de red como lo ha puesto, sin embargo, puede ser más fácil encriptar todo el tráfico en lugar de intentar cortar ciertas áreas para encriptar y dejar otras sin cifrar . Pero, sin conocer el liderazgo de su empresa, no puedo decir por qué querrían hacer esto de forma generalizada.

    
respondido por el Brad Bouchard 21.01.2016 - 16:39
fuente
2

Comenzaré diciendo que cifrar su red interna normalmente es una buena idea. La idea que tenemos de que podemos separar a los "buenos" de los "malos" a través de un cortafuegos no se ha mantenido en las realidades del mundo. Para cualquier organización grande, hay muchas formas dentro de la red, y simplemente no evitará que ingresen los atacantes. El hecho es que probablemente no debería tratar la red interna como inherentemente segura.

Sin embargo, la política es un asunto completamente diferente. Parece que está intentando alcanzar una política cuando usa las palabras "cifrado obligatorio". Personalmente, no me gusta suponer que la política de configuración logra objetivos de seguridad reales. Al establecer una política, debe considerar los COSTOS de establecer una política. Los costos de una política pueden ser sustanciales y difíciles de entender desde el principio, incluso si involucra a muchas partes interesadas. Con demasiada frecuencia, los "departamentos de seguridad" ni siquiera hacen esta cantidad mínima de análisis de costos, y no involucran a otras partes de una empresa que no sea simplemente el equipo de seguridad.

Por ejemplo, no todos los productos admiten el cifrado. Las palabras "cifrado obligatorio", tomadas en su valor nominal excluirían cualquier producto / solución que no admita el cifrado. Puede pensar que esto es bueno, pero hay muchos casos en los que no se requiere seguridad. En esos casos, ha eliminado una serie de posibles soluciones simplemente porque no cumple con una política que nunca debería haber aplicado.

Por lo tanto, debe pensar detenidamente antes de establecer una política. Puedes terminar haciendo más daño que bien.

    
respondido por el Steve Sether 21.01.2016 - 21:18
fuente

Lea otras preguntas en las etiquetas