Cisco CyberOps Associate - Obrona

1. Analitycy cyberbezpieczeństwa muszą zabezpieczyć aktywa sieci organizacji, identyfikując wartościowe aktywa, podatności systemu i potencjalne zagrożenia. Wraz z rozwojem organizacji rośnie liczba aktywów do ochrony, co obejmuje urządzenia, dane i usługi wirtualne. Organizacje muszą zidentyfikować, gdzie przechowywane są kluczowe aktywa informacyjne i jak uzyskuje się do nich dostęp. Każde z tych aktywów może przyciągać różnych aktorów zagrożeń. Identyfikacja zagrożeń dostarcza organizacji listy prawdopodobnych zagrożeń dla określonego środowiska. Ważne jest, aby zadać pytania dotyczące możliwych podatności systemu, potencjalnych atakujących i konsekwencji utraty aktywów.

2. Identyfikacja zagrożeń dla systemu e-bankowości obejmuje:

• Kompromitacja wewnętrznego systemu - Atakujący wykorzystuje narażone serwery e-bankowości do włamania się do wewnętrznego systemu banku. 
• Skradzione dane klientów - Atakujący kradnie osobiste i finansowe dane klientów banku z bazy danych klientów. 
• Fałszywe transakcje z zewnętrznego serwera - Atakujący modyfikuje kod aplikacji e-bankowości i dokonuje transakcji, podszywając się pod prawdziwego użytkownika. 
• Fałszywe transakcje przy użyciu skradzionego PINu klienta lub karty inteligentnej - Atakujący kradnie tożsamość klienta i dokonuje złośliwych transakcji z kompromitowanego konta. 
• Atak od wewnątrz na system - Pracownik banku znajduje w systemie lukę, z której może przeprowadzić atak. 
• Błędy wprowadzania danych - Użytkownik wprowadza niepoprawne dane lub składa niepoprawne żądania transakcji. 
• Zniszczenie centrum danych - Kataklizmiczne zdarzenie poważnie uszkadza lub niszczy centrum danych. Identyfikacja podatności w sieci wymaga zrozumienia ważnych aplikacji, które są używane, a także różnych podatności tej aplikacji i sprzętu. Może to wymagać znacznej ilości badań ze strony administratora sieci.

3. Często używaną analogią do opisania podejścia obrony wielowarstwowej jest “cebulowa warstwa bezpieczeństwa”. Aktor zagrożenia musiałby stopniowo przebijać się przez warstwy obrony sieci, podobnie jak obieranie cebuli. Dopiero po przedostaniu się przez każdą warstwę, aktor zagrożenia dotarłby do docelowych danych lub systemu.

4.  “Karczoch bezpieczeństwa” (ang. security artichoke), który przynosi korzyści aktorowi zagrożenia.

Jak pokazano na rysunku, aktorzy zagrożeń nie muszą już obierać każdej warstwy. Muszą tylko usunąć pewne “liście karczocha”. Dodatkowym atutem jest to, że każdy “liść” sieci może ujawnić wrażliwe dane, które nie są dobrze zabezpieczone.

Na przykład, dla aktora zagrożenia łatwiej jest skompromitować urządzenie mobilne niż wewnętrzny komputer lub serwer, który jest chroniony warstwami obrony. Każde urządzenie mobilne to liść. I liść za liściem, wszystko prowadzi hakera do coraz większej ilości danych. Serce karczocha to miejsce, gdzie znajdują się najbardziej poufne dane. Każdy liść zapewnia warstwę ochrony, jednocześnie stanowiąc ścieżkę do ataku.

Nie każdy liść musi być usunięty, aby dostać się do serca karczocha. Hacker odłupuje pancerz bezpieczeństwa wzdłuż obwodu, aby dostać się do “serca” przedsiębiorstwa.

Chociaż systemy zwrócone do Internetu są zazwyczaj bardzo dobrze chronione, a ochrona granic jest zazwyczaj solidna, wytrwali hakerzy, wspomagani mieszanką umiejętności i szczęścia, ostatecznie znajdują lukę w tym twardej zewnętrznej powłoce, przez którą mogą wejść i robić, co im się podoba.

5. Polityki biznesowe to wytyczne, które organizacja opracowuje, aby kierować swoimi działaniami. Polityki określają standardy poprawnego zachowania dla biznesu i jego pracowników. W sieciach, polityki definiują działania, które są dozwolone w sieci. Ustala to podstawowy poziom dopuszczalnego użytkowania. Jeśli na sieci zostanie wykryte zachowanie naruszające politykę biznesową, możliwe jest, że doszło do naruszenia bezpieczeństwa.

Polityka	Opis
Polityki firmy	Te polityki ustanawiają zasady postępowania i obowiązki zarówno pracowników, jak i pracodawców. Polityki chronią prawa pracowników, jak również interesy biznesowe pracodawców. W zależności od potrzeb organizacji, różne polityki i procedury ustanawiają zasady dotyczące zachowania pracowników, obecności, dress code’u, prywatności i innych obszarów związanych z warunkami zatrudnienia.
Polityki pracownicze	Te polityki są tworzone i utrzymywane przez personel działu zasobów ludzkich w celu identyfikacji wynagrodzenia pracowników, harmonogramu płatności, świadczeń pracowniczych, harmonogramu pracy, urlopów i innych. Często są one dostarczane nowym pracownikom do przeglądania i podpisania.
Polityki bezpieczeństwa	Te polityki identyfikują zestaw celów bezpieczeństwa dla firmy, definiują zasady zachowania dla użytkowników i administratorów oraz określają wymagania systemowe. Te cele, zasady i wymagania łącznie zapewniają bezpieczeństwo sieci i systemów komputerowych w organizacji. Podobnie jak plan ciągłości działania, polityka bezpieczeństwa to dokument stale ewoluujący na podstawie zmian w krajobrazie zagrożeń, podatnościach oraz wymaganiach biznesowych i pracowniczych.

6. Wszechstronna polityka bezpieczeństwa ma wiele korzyści, w tym:

• Demonstruje zaangażowanie organizacji w bezpieczeństwo 
• Ustala zasady oczekiwanego zachowania 
• Zapewnia spójność w operacjach systemowych, nabywaniu i użytkowaniu oprogramowania i sprzętu oraz konserwacji 
• Określa prawne konsekwencje naruszeń 
• Daje personelowi bezpieczeństwa poparcie zarządu 
• Polityki bezpieczeństwa są używane do informowania użytkowników, personelu i kierownictwa organizacji o wymaganiach dotyczących ochrony technologii i aktywów informacyjnych. 

Polityka bezpieczeństwa określa również mechanizmy, które są potrzebne do spełnienia wymagań bezpieczeństwa, i dostarcza punkt odniesienia do nabywania, konfigurowania i audytu systemów komputerowych i sieci pod kątem zgodności.

Polityka	Opis
Polityka identyfikacji i uwierzytelniania	Określa osoby upoważnione, które mogą mieć dostęp do zasobów sieciowych oraz procedury weryfikacji tożsamości.
Polityki dotyczące haseł	Zapewnia, że hasła spełniają minimalne wymagania i są regularnie zmieniane.
Polityka dopuszczalnego użytkowania (AUP)	Identyfikuje aplikacje sieciowe i zastosowania, które są akceptowalne dla organizacji. Może również określać konsekwencje naruszenia tej polityki.
Polityka dostępu zdalnego	Określa, jak użytkownicy zdalni mogą uzyskać dostęp do sieci i co jest dostępne za pośrednictwem łączności zdalnej.
Polityka utrzymania sieci	Określa systemy operacyjne urządzeń sieciowych i procedury aktualizacji aplikacji użytkowników końcowych.
Procedury obsługi incydentów	Opisuje, jak są obsługiwane incydenty związane z bezpieczeństwem.

7. Jednym z najczęstszych elementów polityki bezpieczeństwa jest AUP, czyli polityka odpowiedniego użytkowania. Ten element definiuje, co użytkownicy mogą i czego nie mogą robić na różnych komponentach systemu. Obejmuje to rodzaj ruchu, który jest dozwolony w sieci. AUP powinna być jak najbardziej precyzyjna, aby uniknąć nieporozumień.

Na przykład, AUP może wymieniać konkretne strony internetowe, grupy dyskusyjne lub aplikacje intensywnie korzystające z przepustowości, które są zabronione do dostępu z komputerów firmy lub z sieci firmy. Każdy pracownik powinien być zobowiązany do podpisania AUP, a podpisane AUP powinny być przechowywane przez cały okres zatrudnienia.

8. Wiele organizacji musi teraz również obsługiwać BYOD (Bring Your Own Device - przynieś swoje urządzenie). Umożliwia to pracownikom korzystanie z własnych urządzeń mobilnych do dostępu do systemów, oprogramowania, sieci lub informacji firmy. BYOD przynosi kilka kluczowych korzyści dla przedsiębiorstw, w tym zwiększoną produktywność, zmniejszone koszty IT i operacyjne, lepszą mobilność dla pracowników oraz większą atrakcyjność podczas zatrudniania i zatrzymywania pracowników.

Jednak te korzyści wiążą się również ze zwiększonym ryzykiem bezpieczeństwa informacji, ponieważ BYOD może prowadzić do naruszeń danych i większej odpowiedzialności dla organizacji.

Polityka bezpieczeństwa BYOD powinna być opracowana w celu osiągnięcia następujących celów:

• Określenie celów programu BYOD. 
• Zidentyfikowanie, którzy pracownicy mogą przynosić swoje urządzenia. 
• Zidentyfikowanie, które urządzenia będą obsługiwane. 
• Zidentyfikowanie poziomu dostępu, jaki pracownikom przyznaje się przy korzystaniu z urządzeń osobistych. 
• Opisanie praw dostępu i działań dozwolonych dla personelu bezpieczeństwa na urządzeniu.
• Zidentyfikowanie, które przepisy muszą być przestrzegane podczas korzystania z urządzeń pracowników. 
• Zidentyfikowanie środków ostrożności, które należy wprowadzić, jeśli urządzenie zostanie skompromitowane.