Еще раз о несуществующем периметре

Еще раз о несуществующем периметре
Продолжаю делиться соображениями о заблуждениях в индустрии информационной безопасности. Сегодня снова о периметре, которого, как известно, нет. Также, как нет ложки , Деда Мороза и тринадцатой зарплаты у работающих по контракту.

Бытует мнение, что настройки безопасности информационной системы (ОС, СУБД, приложения и т.д.) каким-то мистическим образом зависят от того, где в сети эта система расположена. Например, для сервера, обитающего в глубине корпоративной сети, нужны настройки, которые в корне отличаются от оных на сервере, установленном в диком Интернете. Если вы все еще сторонник этого мнения, то этот пост для вас. Вашу персональную красную таблетку я излагаю ниже.

Во-первых, это неправильно с точки зрения системности ИБ. Ни классификация (критичность, важность обрабатываемых данных), ни степень защиты системы не зависят от ее положения в сети. Напротив, помещение системы в соответствующий ее классификации сегмент сети -- это один из методов защиты этой системы. Как говорится, не путайте мягкое с теплымпричину со следствием

Во-вторых, это неразумно с точки зрения бизнес-потребностей. Никто не знает, где эта система "окажется" завтра. Может быть, к ней предоставят доступ из сети компании-партнера, соединят при помощи middleware с Интернет-порталом, или еще чего доброго -- поместят в DMZ. Получится, что ни роль, ни критичность системы не изменятся, а политика безопасности системы потребует пересмотра. Это по меньшей мере нелогично.

Ну и в-третьих, за такой подход к защите систем вам будет крайне признателен потенциальный злоумышленник. Периметр преодолеть нелегко, но возможно. Особенно при помощи атаки типа client-side и/или социальной инженерии. Когда вектор атаки будет направлен "изнутри" сети, обнаружится полная незащищенность системы.

Может показаться, что точки зрения анализа рисков обсуждаемое предположение верно. Мол, если система живет в Интернете, то она открыта более широкому спектру угроз, и защищать ее следует тщательнее, чем систему в корпоративке. На самом деле это не так в следствие пунктов 2, - нет гарантии, что система не изменит своего положения до старости, - и 3, - в Интернете угроз по-боле будет, но зато за "периметром" они по-серьезнее: злоумышленник, преодолевший первую линию обороны, явно настроен решительно.

Ладно, хватит уже горькой правды. Пора решать, что можно со всем этим сделать.

Для начала -- забудьте о периметре. Стройте вашу сеть и защищайте ваши системы исходя из их важности, то есть важности данных, которые они обрабатывают, и сервисов, которые предоставляют. Из бизнес-критичности, короче. Для администраторов ИБ есть по этому поводу хорошая памятка: защищайте (конфигурируйте) ваши системы так, будто ваша сеть уже взломана. То есть, прибегая к ненавистному мне тезису, настраивайте все так, будто это планируется установить голой жв дикий Интернет.

На этом все. Надеюсь, по ходу прочтения этого поста, вы уже успели забыть о периметре. Что значит "о каком периметре?"...
периметр
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Vlad Styran

информационно. безопасно.*