¿Cómo haría una red resistente a lo desconocido?

Navega tus respuestas
8

Juego en un juego que incluye riesgos normales, pero también una amplia gama de poderes sobrenaturales que podrían afectar la seguridad de una red. Estos pueden ser tan prosaicos como recuperar datos directamente de la memoria de un dispositivo con un toque o tan dramáticos como enviar la mente directamente a una red o construir una pequeña realidad alternativa donde las leyes de la física permiten la construcción de una computadora cuántica práctica a gran escala. Es imposible adivinar los límites de estas habilidades, ya que cualquier cosa que esté permitida en cualquier capítulo del juego podría surgir.

Ahora, obviamente, diseñar un sistema que pueda defenderse de manera confiable contra ataques arbitrarios desconocidos que no tienen que obedecer las leyes de la realidad es un esfuerzo ridículo. Lo que estoy buscando son formas de hacer que el sistema sea desconocido-arbitrary-attack- resistente .

Como ejemplo, toda la información sensible a la crítica se guarda en una red separada que está separada de todo lo que se conecta fuera del edificio. Esto normalmente sería un obstáculo insuperable para cualquiera que intente comprometer la red interna desde el exterior. Sin embargo, no puedo descartar la posibilidad de que alguien pueda cruzar el espacio de aire. Lo ideal es que el acceso a información confidencial requiera que un atacante haga al menos dos cosas que son prácticamente imposibles, en caso de que uno de ellos no lo sea.

Así que, sin más dilación, los parámetros del sistema:

  • El sistema tiene unos diez usuarios. Tienen niveles muy diferentes de habilidades informáticas, y estas habilidades pueden estar desactualizadas por décadas. Querrán ejecutar su propio software, y pueden superar al administrador de sistemas.
  • Los usuarios deben poder acceder a Internet casi sin restricciones.
  • Los usuarios deben acceder a la red interna, pero los controles de acceso pueden ser estrictos.
  • Algunas áreas del edificio son públicas, pero las partes seguras son tan seguras físicamente como pueden ser. Para que un atacante obtenga acceso físico a la red se puede contar de manera segura como una "cosa imposible".
  • Las copias de seguridad fuera del sitio son obligatorias. No se puede garantizar que los sitios de copia de seguridad estén físicamente seguros.
  • Ambas redes pueden estar restringidas a dispositivos conocidos.
  • La red externa debe permitir inicios de sesión remotos desde ciertos dispositivos móviles conocidos.
  • Los archivos en la red interna consistirán principalmente de libros y papeles escaneados. Puede haber muchos terabytes de tales exploraciones. No tiene que ser particularmente conveniente para transferir datos hacia y desde la red interna.
  • Es posible que los archivos deban permanecer seguros durante muchas décadas.
  • Se puede suponer que hay un individuo capacitado que monitorea la red para detectar anomalías 24/7.
  • El presupuesto para la red es de alrededor de $ 100k, más alrededor de $ 10k / año de mantenimiento, a menos que haya una buena razón para ir más alto. Esto excluye todos los costos laborales.

Ejemplos del tipo de enfoque de defensa en profundidad que voy a buscar:

  • Las cintas de copia de seguridad se cifran con AES-256, y luego con un teclado de una sola vez que se envía de antemano al sitio de copia de seguridad.
  • Las paredes exteriores del edificio están revestidas con alambre para formar una jaula de Faraday.
  • El "botón de pánico" separa físicamente las conexiones de red externas, en lugar de simplemente desactivarlas.
  • El hardware antiguo se borra, desmagnetiza y se enciende.
  • Todos los firewalls son acumulativos: si un firewall detecta una condición que debería haber sido bloqueada por otro sistema, se envía un mensaje de texto al administrador de sistemas.

Entonces, entonces, mi (s) pregunta (s): ¿Qué tipo de medidas podrían ser apropiadas para una situación como esta? ¿Cuáles son algunas buenas "cosas imposibles" para poner en el camino de un atacante? ¿Cómo puedo diseñar un sistema para aprovechar al máximo la defensa en profundidad?

    
pregunta Thom Smith 27.06.2012 - 05:57
fuente

3 respuestas

8

La seguridad moderna se basa en la creencia de que no se puede hacer que una red sea infinitamente segura: cree una trampa para ratones mejor y fomentará la evolución de los ratones. Cualquier sistema de seguridad tendrá que estar limitado por las capacidades esperadas de los atacantes y tendrá que emplear una estrategia de remediación de riesgos basada en amenazas que ponga la mayor inversión en el suceso que es más probable que cause el mayor daño.

Puede que sea un experto en seguridad de alto nivel, pero su presupuesto no es suficiente para lo que propone. Puede intercambiar mano de obra por equipos hasta un punto: herramientas de cifrado de software freeware frente a pagos por hardware: procesos realizados por humanos en lugar de sistemas automatizados. Sin embargo, varias de las cosas que propone están fuera de su presupuesto:

  • Las salas de trabajo seguras TEMPEST (esencialmente las jaulas de Faraday) costarán un poco más de $ 100K para instalar, incluso si usted asume que tiene mano de obra gratuita con la experiencia adecuada, sospecho que los suministros corre más alto que eso.

  • hardware para el botón de pánico: si lo único que quieres decir es que un tipo tira el cable al exterior, es gratis. Pero si te refieres a casos de dispositivos a prueba de manipulaciones (reducir a cero cuando se produce un acceso inapropiado), entonces estás tomando $ 10K o más por dispositivo, dependiendo de los tipos de dispositivos.

  • recopilación de datos: si desea un almacén de datos de red altamente correlacionado para la detección de intrusos y el análisis de anomalías, tiene más de $ 100,000 en la combinación de servidores, almacenes de datos, SAN, licencias de bases de datos, licencias de servidores de aplicaciones, etc. eso asumiendo que usted está haciendo crecer su infraestructura. El costo variará considerablemente según la complejidad de la red, el tráfico y la cantidad de vectores que intenta correlacionar. El precio cambia si lleva algo de esto a la nube, pero también lo hace el tipo de riesgo que encontrará.

Todas sus opciones son excelentes ideas para asegurar sistemas de alto nivel, pero se le ha dado el presupuesto de un proyecto de ciencia de escuela secundaria y está tratando de construir un transbordador espacial.

La mejor práctica de seguridad para trabajar con esto es observar los datos y los activos y determinar cuál es realmente su alto valor. ¿Es tu reputación? ¿Tu información? ¿La disponibilidad de su servicio? ¿La seguridad de tu gente? ¿Qué es lo que quieres proteger?

Luego, mire quién (o qué) sería antagónico a ese deseo. Puede ser un adversario intencional o algo sin sentido (como desastres naturales). ¿Cuáles son las capacidades de sus amenazas más altas, cuáles serán sus objetivos y cuáles son sus recursos? Un niño que piratea después de la escuela (incluso si es un genio malvado) funciona de manera diferente que un estado nación que emprende una acción de guerra cibernética. Incluso puede variar según la nación: la forma en que los países asiáticos conciben la guerra es diferente del contexto del mundo occidental. Así que tu enemigo hace toda la diferencia.

Luego mire con el ojo del enemigo a su sistema, impleméntelo tan directo como pueda y luego vea qué es lo más fácil de romper. Vaya con la tecnología más baja con la que pueda salirse y verifique que sea suficiente.

Si aún no tiene esta información, invierta su tiempo y su dinero en obtenerla, no dispare a lo desconocido e imposible de imaginar.

    
respondido por el bethlakshmi 06.09.2012 - 22:34
fuente
9

Ha llegado a la premisa básica de la Seguridad de TI: no puede predecir o detener todo, y intentarlo puede costar más de lo que intenta proteger. Tu personaje está preocupado por el dominio de la habilidad para superar obstáculos de nivel superior, pero la carrera para crear obstáculos que son más altos que las habilidades de otras personas es una tontería en la realidad.

En realidad, necesitas hacer otras preguntas. ¿Qué necesita protección? ¿Cuál es la severidad del riesgo? ¿Cuál es la probabilidad de riesgo? ¿Qué podría comprometerse sin preocuparse? ¿Cómo se accede a los activos? ¿Cómo puedes emplear a la CIA contra esos activos? Luego, reduce los riesgos, las probabilidades y los costos a niveles por debajo de los costos de la pérdida de activos.

Para abordar su pregunta directamente, su concepto de un 'tecnomage' todopoderoso está bien, pero se contrarresta fácilmente con la idea de 'falta de forma'. Si construyes una fortaleza, puedes atacar una fortaleza. Sin embargo, si eres aire, no hay nada que atacar. Cuanto más crea 'defensa en profundidad' con muros más altos y reglas más duras, más frágil se vuelve. Un sistema adaptativo y regenerativo, por otro lado, es resistente a los ataques. Los principios de privilegio mínimo, los honeypots internos, el monitoreo del tráfico que sale de cada nodo en la red y la clasificación de cada pieza de datos que se va a proteger le proporcionarán más que un diseño innovador. (por supuesto, todas esas cosas son consideradas "innovadoras" por muchos)

Editar
Por "falta de forma" (lea El arte de la guerra, Tao Te Ching), considere no tener un administrador de todo el poder en la red. Los usuarios, incluso los administradores, solo deben tener el poder suficiente para hacer su trabajo y no más. Cuando necesiten más poder, dáselos para que hagan el trabajo, luego revóquelos. Ningún administrador significa que no hay poderes administrativos para usurpar.

    
respondido por el schroeder 27.06.2012 - 06:30
fuente
3

Un consejo que puedo dar es limitar seriamente lo que se permite a una sola persona que actúa sola. En los casos de seguridad más extremos, como la emisión o el cambio de autorizaciones o credenciales, ni siquiera permita que solo dos personas tengan la capacidad de hacerlo. Supongamos que su organización ha sido infiltrada y al menos una persona es un espía. Diseña tus sistemas para limitar el daño que puede hacer el espía. Luego, asuma que el espía puede elegir a alguien para chantajear y limitar lo que ambos pueden hacer juntos. Este no solo es un escenario válido del mundo real, sino que también la protección contra este tipo de escenario le brinda una gran seguridad contra personas no autorizadas que hagan cualquier cosa.

En cuanto al cifrado, las copias de seguridad cifradas AES-256 no serán seguras durante décadas contra una computadora cuántica práctica a gran escala. Puede preguntar en Criptografía qué puede sobrevivir durante tanto tiempo; No sé qué podría ser eso.

    
respondido por el Major Major 27.06.2012 - 21:56
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo detectar una conexión VPN (incluso en algunos casos) para obtener la ubicación real del usuario? ¿Es una buena práctica bloquear manualmente los puertos en cada host?