Sí cifrar, es fácil. Además, de acuerdo con un estudio de 2014 del Instituto de Ingeniería de Software, 1 de cada 4 hacks era de alguien dentro de la empresa con un daño promedio 50% mayor que el de un actor externo de amenazas.

Enlace a la fuente: enlace Aunque esta es la versión 2017.

  

¿Cuáles son las posibilidades reales de que alguien robe su identidad?

Ejecutar un ataque MITM en una conexión HTTP cuando está en la misma LAN es básicamente trivial. ARP no está diseñado para ser seguro. Algunos interruptores de gama alta proporcionan una mitigación razonable, pero es bastante débil en todo lo que no es fabulosamente caro.

  

Un empleado se queja de que no le gusta enviar sus credenciales en texto sin formato a través de la red y que no puede responsabilizarse de su identidad de red en tal caso.

Si el hombre es responsable de las acciones que se toman con sus credenciales, es injusto no tomar las precauciones razonables para proteger esas credenciales de otros empleados. Es posible que estén a salvo de actores externos debido al aislamiento de la red, pero probablemente no sea eso lo que preocupa al tipo ...

Sí, tienes que cifrar tus conexiones. Supongamos que cree que su red está físicamente protegida (con seguridad física requerida y otras medidas de seguridad requeridas) y sin acceso a Internet (ya que ha indicado que solo permite el acceso de VPN a fuentes confiables), pero supongamos que sus empleados toman su computadora portátil Hogar y conexión a internet. Las posibilidades de que cualquier malware sea implementado sin su aviso están ahí. Y este malware puede activarse cuando se conecta a su red corporativa y comienza a rastrear el tráfico. Esto llevaría a la exposición de todas sus comunicaciones corporativas, incluidas las credenciales de todos.

Por lo tanto, siempre se recomienda cifrar el tráfico confidencial.

Además, un estudio de CA (Insider Threat Report - 2018) indica las siguientes preocupaciones sobre amenazas internas (Referencia: enlace ).

Extracto del informe:

• El noventa por ciento de las organizaciones se sienten vulnerables a los ataques internos. Los principales factores de riesgo habilitadores incluyen demasiados usuarios con excesivos privilegios de acceso (37%), un número creciente de dispositivos con acceso a datos sensibles (36%), y la creciente complejidad de la información tecnología (35%).
• Una mayoría del 53% confirmó ataques internos contra sus organización en los últimos 12 meses (típicamente menos de cinco ataques). Veintisiete por ciento de las organizaciones dicen ataques internos se han vuelto más frecuentes.

• Las organizaciones están cambiando su enfoque en la detección de información privilegiada amenazas (64%), seguidas de métodos de disuasión (58%) y análisis y Análisis forense posterior a la violación (49%). El uso del monitoreo del comportamiento del usuario es acelerador; El 94% de las organizaciones implementan algún método de monitoreo. los usuarios y el 93% monitorean el acceso a datos confidenciales.

• Las tecnologías más populares para disuadir amenazas internas son la pérdida de datos Prevención (DLP), cifrado y gestión de identidad y acceso. soluciones Para detectar mejor las amenazas internas, las empresas implementan Detección y prevención de intrusiones (IDS), gestión de registros y SIEM plataformas.

• La gran mayoría (86%) de las organizaciones ya tienen o están construyendo Un programa de amenazas internas. El treinta y seis por ciento tiene un programa formal. en lugar de responder a los ataques internos, mientras que el 50% se centra en desarrollando su programa.

Las posibles soluciones / controles de mitigación para ataques internos serían: Fuente: Informe de amenazas internas de 2018, CA Technologies

Riesgo de repudio

Además de todas las respuestas finas sobre los empleados como una amenaza y los visitantes como una amenaza, creo que debe considerar que el simple hecho de que el tráfico no esté encriptado es de sí mismo una vulnerabilidad incluso en ausencia total de hackers .

Se está preparando para una situación en la que cualquier empleado que haga algo que no debe hacer (por error o a propósito) y luego se le llame a ella puede negar que en realidad fue ellos. Normalmente, usted, el gerente, solo diría: "Sabemos que fue usted porque inició sesión". En este caso, el empleado acusado puede responder razonablemente "el inicio de sesión no tiene ningún valor y usted lo sabe. Cualquier persona en la LAN podría haber olfateado mi contraseña y haber hecho esto tan mal como yo".

Algunas empresas, especialmente las más grandes que han existido el tiempo suficiente para desarrollar malos hábitos, tienen aproximadamente el siguiente modelo de seguridad erróneo:

  

La red es segura siempre que nadie más se conecte a ella y nadie en su interior tenga la suficiente tecnología para abusar de ella.

¿Es posible proteger esto en todos los casos? No, pero los controles físicos / de acceso adecuados al edificio pueden ayudar a reducir el riesgo. Pero, ¿y si se permite a los invitados en la oficina para reuniones, etc .; ¿hay puertos Ethernet de fácil acceso en las salas de conferencias o redes inalámbricas de fácil acceso, o estas redes están segregadas de aquellas donde las credenciales pueden estar volando?

También depende de lo que está tratando de proteger. Considere el peor escenario en el que alguien (de dentro o fuera de la organización) roba las credenciales de texto sin formato para otro usuario. ¿Qué son capaces de hacer? ¿Accede a la infraestructura crítica o solo a algunos servidores de desarrollo de bajo perfil? Si se roba una identidad, ¿puede determinar quién está utilizando el inicio de sesión?

Idealmente, todos usarían el cifrado en todas partes. Pero si las amenazas anteriores están dentro de su tolerancia al riesgo, tal vez no sea urgente cifrar los recursos de la intranet. Dependiendo del tamaño de la organización, puede haber cierta sobrecarga en la implementación de certificados CA y SSL en todos los recursos. Pregúntese qué es peor: ¿el peor de los casos o poner el trabajo para cifrar todo?

En 2018, la respuesta depende de sus resultados de análisis de amenazas y riesgos. Lo que, por supuesto, realizó, identificó los escenarios probables, los calificó y tomó una decisión de negocios basada en el impacto y la frecuencia, de acuerdo con un método estadístico o cuantitativo adecuado.

Su empleado individual, sin embargo, ha realizado su propio análisis de riesgo personal y llegó al resultado que usted indicó, a saber:

  

no puede responsabilizarse de su identidad de red en tal caso

Y él es perfectamente correcto en esa evaluación. Incluso una mirada superficial a la situación deja claro que alguien que no sea él, con habilidades técnicas mínimas, podría hacerse pasar por él.

Para usted el riesgo comercial es aceptable (obviamente, quiero decir que es 2018, que la red interna no esté encriptada es una decisión intencional y no, por ejemplo, un caso de que siempre lo hemos hecho -es como eso, ¿verdad?) y puede que tengas razón en esa decisión. Aceptar un riesgo es una opción perfectamente válida.

Para él el riesgo no es aceptable. Tenga en cuenta que no toma una decisión comercial para la empresa con su declaración. Él toma una decisión personal por sí mismo. Es por eso que los dos análisis de riesgo pueden llegar a resultados diferentes: contexto diferente, apetito por el riesgo, impactos.

La respuesta correcta es que usted está asumiendo la responsabilidad que él se niega a aceptar. Al ejecutar la red sin cifrar y aceptar el riesgo, la empresa asume la responsabilidad de la identidad de red de los usuarios de esa red, ya que ha decidido no protegerlos.

También puedo equivocarme en mis suposiciones acerca de su gestión de riesgos corporativos, en cuyo caso recomiendo realizar un análisis de riesgos de este hecho en particular (red interna sin cifrar) y amenaza (suplantación de usuarios) para que pueda revisar la decisión. de tener una red sin cifrar, o solidificarla con resultados que muestren que proteger la red sería más costoso que la pérdida esperada.

Sí, necesita encriptar dentro de su red "segura".

Cualquier penetración en la red conducirá a espiar el tráfico, y cualquier cosa que no esté encriptada es una selección fácil para el atacante. Credenciales, contraseñas, información salarial, planes de negocios, lo que sea.

Para historias de terror del mundo real, solo busca "seguridad de movimiento lateral" La cáscara dura y crujiente, la masticable suave en el interior ya no es una postura de seguridad válida para ninguna empresa.

Si bien GDPR tiene pocos requisitos técnicos estrictos, si está manejando información personal para ciudadanos de la UE, una solución común para cumplir con GDPR es demostrar que tiene cifrado en datos en vuelo (a través de su red)

La realidad es que, aparte de su seguridad física, no es demasiado difícil obtener acceso dentro de la red, ya sea conectándose físicamente a un puerto (¿está monitoreando a su personal de limpieza todas las noches? ¿Qué le parece visitar a los proveedores?) o, más probablemente, a través de algún tipo de intrusión en la red.

Otros han citado el artículo de Google BeyondCorp, que vale la pena leer. enlace

Esencialmente, no se debe confiar en su red "interna" mucho más que en el exterior salvaje y desagradable de Internet.

El cifrado es una postura defensiva de bajo costo y alta recompensa. ¿Por qué no lo harías?

Sí. Siempre debe cifrar las conexiones en cualquier intranet, tal como lo haría en la Internet pública.

El ataque de Rebobinado de DNS publicitado ayer permite que un atacante tenga acceso completo a cualquier recurso HTTP en la intranet de la víctima, mediante el uso de un DNS que se enlaza de una dirección IP controlada por el atacante a una IP de la intranet de corproate (por ejemplo, 10.0.0.22). (La exploración de un espacio IP de la intranet para servicios HTTP se puede realizar con otras técnicas , más fácil con conocimiento de la IP privada del usuario dirección .)

Lo único necesario para que funcione un ataque de este tipo es engañar a la víctima para que cargue una página web controlada por un atacante (o javascript o iframe, etc.) .

Este ataque se puede mitigar mejor con HTTPS, ya que la recuperación de DNS no coincidirá con el dominio de certificado presentado. Si bien la eliminación de los hosts virtuales predeterminados también parece mitigar este ataque en particular, este solo muestra cómo exponer los recursos internos a través de conexiones no cifradas puede convertirse en una responsabilidad con una vulnerabilidad de seguridad en otro lugar. (Ni siquiera estoy hablando de la gran cantidad de vulnerabilidades de 802.11 wifi que tuvimos a fines del año pasado. ¡No exponga los recursos de intranet a través de wifi!)

Defensa en profundidad

Hay varias respuestas buenas aquí, pero incluso si confía en todos sus empleados (lo que probablemente no debería), abre la puerta a un atacante externo y hace que la seguridad sea mucho más difícil.

Normalmente, un atacante primero debe ingresar a su red de alguna manera (esto podría hacerse de varias maneras) y luego necesita obtener un inicio de sesión en algún lugar para acceder a datos confidenciales. Al proporcionar contraseñas de inicio de sesión sin cifrar volando por todas partes, acaba de hacer el segundo paso mucho más fácil. Ahora, cada vez que un atacante obtiene acceso a su red, inmediatamente tiene acceso a credenciales de alto nivel.

El concepto de defensa en varias capas se llama defensa en profundidad: si un atacante puede comprometer una capa, aún tiene que romper barreras adicionales para causar daño.

Así que, por favor, CIFRA TUS CREDENCIALES!

  

¿necesito cifrar el acceso a los recursos de la intranet a través de HTTP?

Sí, si las personas se autentican contra el servicio.

  

¿Cuáles son las posibilidades reales de que alguien robe su identidad?

No lo sé: nunca he conocido a las personas que trabajan en su oficina / que se encuentren dentro del alcance de su red Wifi / puedan conectarse a su red. No sé lo que considera un "nivel decente de seguridad física". No sé cuánto confías en las "partes de confianza". Ciertamente, la supervisión de las direcciones MAC hace muy poco para protegerse contra el rastreo de la red.

¿Cuánto le haría daño implementar TLS?

La crítica de tu empleado es acertada.

Piénselo de esta manera: si confía en su red hasta el punto en que no sea necesario encriptar las credenciales, entonces ¿por qué necesita credenciales? ¿Cree que podría reemplazar un formulario de inicio de sesión con un campo simple donde los usuarios pueden escribir su nombre?

Si la respuesta es no, el envío de credenciales sin cifrar tampoco es una opción, ya que después de todo, no confías mucho en las partes en las que confías, y una contraseña enviada a través de HTTP no es un secreto.

Para citar una camiseta: "¡Sólo hazlo!"

• Está gastando horas en el intercambio de pila para una justificación de no    gastar $ 7 para un certificado y 20 minutos para asegurar su servidor.

• Una cosa en la que no pensaste: ¿Cómo sabe eso el empleado?    él está ingresando su credencial en el sitio web real y no en una    clon del sitio que se está ejecutando en un arduino oculto detrás de la    copiadora que es ARP falsificación?

• ¿La palabra "cumplimiento" significa algo? PCI / HIPAA / GDPR llegará a llamar cualquier día. Si algún usuario "administrador" inicia sesión en su sitio web, TIENE QUE cifrar todas las conexiones o enfrentar problemas serios.