Slik bruker du Defense in Depth for å holde dataene dine trygge

Mens cybersikkerhet innebærer å sikre datasystemer mot ondsinnede angripere, har den tatt i bruk sikkerhetspraksis fra militæret for å styrke innsatsen for å forhindre og stoppe cyberangrep. En slik praksis lånt fra militæret er Defence in Depth (DiD)

Forsvar i dybden er en militær strategi som kan spores tilbake til middelalderen da slottene hadde flere lag med sikkerhet, som vindebroer, grøfter, vollgraver, murer og vakttårn, og ga slottet ytterligere lag med sikkerhet.

Dybdeforsvar ble også brukt under den første og andre verdenskrigen da militære gravde skyttergraver, brukte strategisk plasserte maskingevær, bygde festningsverk og brukte panservernhindringer for å bremse fiender fra å rykke frem, forårsake skader og kjøpe tid til å gjengjelde.

Innen cybersikkerhet er dybdeforsvar en sikkerhetspraksis der flere sikkerhetsprodukter og kontroller, som brannmurer, kryptering og inntrengningsdeteksjonssystemer, er lagdelt og brukes sammen for å beskytte nettverk og datasystemer mot angrep.

Dette resulterer i forbedret sikkerhet for kritiske eiendeler som gjør systemene vanskeligere å trenge inn, ettersom når ett sikkerhetstiltak mislykkes, er det flere lag med sikkerhet for å beskytte et system mot trusler.

Forsvar i dybden benytter redundans i cybersikkerhet, noe som gjør det svært effektivt ettersom et enkelt cybersikkerhetstiltak eller kontroll ikke kan stoppe alle former for cyberangrep. Forsvar i dybden sin flerlags tilnærming til cybersikkerhet gir beskyttelse mot et bredt spekter av cyberangrep som resulterer i bedre sikrede datasystemer som er svært vanskelige å kompromittere.

Elementer av forsvar i dybden

Dybdeforsvar består av følgende nøkkelelementer

Fysiske kontroller

Dette er sikkerhetstiltak som er satt i verk for å sikre datasystemer og forhindre fysisk tilgang til systemene for inntrengere. Dette innebærer vanligvis å begrense tilgangen til datasystemer ved å sette inn fysisk infrastruktur som sikkerhetskameraer, låste dører, ID-kortskannere og biometriske systemer eller til og med bruke vakter til å bemanne rom med kritiske datasystemer.

Tekniske kontroller

Dette er maskinvaren og programvaren som er implementert for å beskytte systemer mot ondsinnede angripere. Eksempler på slike sikkerhetstiltak inkluderer brannmurer, multifaktorautentisering, inntrengningsdeteksjon eller forebyggingssystemer (IDS/IPS), antivirus og konfigurasjonsadministrasjon, blant mange andre.

Administrative kontroller

Disse omfatter en organisasjons retningslinjer og prosedyrer for sine ansatte, som er ment å kontrollere tilgangen til organisasjonens ressurser og også veilede ansatte i riktig cybersikkerhetspraksis for å redusere menneskelige feil som kan føre til at datasystemer blir kompromittert av angripere.

Hvorfor forsvar i dybden er viktig

Kevin Mitnick, som en gang ble sett på som verdens mest kjente hacker etter å ha hacket systemer fra selskaper som Sun Microsystems, Nokia og Motorola, er kjent for å si at «Alt der ute er sårbart for angrep gitt nok tid og ressurser.»

Denne uttalelsen gjelder fortsatt frem til i dag, spesielt med de sofistikerte verktøyene som er tilgjengelige for angripere. Dette betyr igjen at det aldri finnes en én-fiks-alt cybersikkerhetsløsning som ikke kan kompromitteres. Dette er grunnen til at dybdeforsvar er veldig viktig i en verden med sofistikerte angripere som har tilgang til enorme ressurser.

Dybdeforsvar tvinger organisasjoner til å ta en proaktiv tilnærming til deres sikkerhet og tenke på sikkerheten til ressursene deres selv når ett sikkerhetsprodukt svikter.

Denne lagdelingen av forskjellige sikkerhetsprodukter gir bedrifter robust beskyttelse for sine kritiske ressurser, noe som reduserer sannsynligheten betydelig for at systemene deres blir kompromittert. Dybdeforsvar gjør prosessen med å kompromittere systemer svært vanskelig for angripere.

I tillegg tvinger det organisasjoner til å ta en helhetlig tilnærming til deres sikkerhet og adressere alle mulige måter systemene deres kan bli rammet på. Akkurat som i militæret, hvor dybdeforsvar bremser angrep og kjøper tid til gjengjeldelse, gjør det det samme innen cybersikkerhet.

Dybdeforsvar kan bremse ondsinnede aktører før de får tilgang til systemer og gi administratorer tid til å identifisere angrep og implementere mottiltak for å stoppe angrepene før de bryter systemene deres.

Det begrenser også skaden påført av angripere i tilfelle ett sikkerhetstiltak mislykkes, ettersom andre sikkerhetskontroller vil begrense tilgangen og mengden skade som angripere kan påføre et system.

Hvordan forsvar i dybden fungerer

En nøkkelkomponent i dybdeforsvaret er redundansen av sikkerhetstiltak som gjør det vanskeligere for angripere å utføre angrep. For eksempel kan en angriper vurdere å fysisk komme til lokalene dine for å installere en infisert USB-pinne i systemene dine.

Ved å la sikkerhetsvakter bemanne lokalene eller bruke biometri for å logge og kontrollere tilgang til datamaskiner, kan en slik angriper bli stoppet.

Forutsatt at de er svært målbevisste i angrepet og skifter fokus til å angripe nettverket ved å sende skadevare til nettverket, kan et slikt angrep stoppes ved hjelp av en brannmur som overvåker nettverkstrafikk eller et antivirus installert i nettverket.

Eller si at de prøver å få tilgang til nettverket ved å bruke kompromittert legitimasjon, en multifaktorautentisering implementert i et nettverk kan kanskje stoppe dem fra å få tilgang til systemet.

Forutsatt at de fortsatt er i stand til å komme inn i systemet, kan et inntrengningsdeteksjonssystem fange og rapportere inntrengingen deres, som deretter kan adresseres før ytterligere skade er gjort. Alternativt kan et inntrengingsforebyggende system også brukes til å aktivt stoppe trusler.

Hvis de skal gå gjennom alle disse sikkerhetstiltakene, kan du hindre angripere i å utnytte sensitiv informasjon ved å kryptere data under overføring og hvile.

Så mye som angripere til tider kan være svært målbevisste i sine angrep og omgå de forskjellige sikkerhetstiltakene som er installert for å sikre data, fungerer dybdeforsvar ved å gjøre det svært vanskelig for angripere å få tilgang til et system. Dette kan ta motet fra dem i sine angrep, eller enda bedre, gi organisasjonen tid til å svare på angrep før systemene deres brytes.

Bruk tilfeller av forsvar i dybden

Dybdeforsvar kan brukes i en rekke scenarier. Noen av disse inkluderer:

#1. Nettverksikkerhet

En vanlig anvendelse av forsvar i dybden er å beskytte nettverk mot angrep. Dette gjøres vanligvis ved å ha brannmurer for å overvåke nettverkstrafikk basert på en organisasjons policy og inntrengningsbeskyttelsessystemer for å overvåke for ondsinnet nettverksaktivitet og iverksette tiltak for å forhindre og redusere inntrenging i et nettverk.

I tillegg er antivirusprogramvare installert i nettverket for å hindre skadelig programvare fra å bli installert i nettverket eller fjerne eventuelle installerte.

Det siste sikkerhetslaget er kryptering av hvilende data og data under overføring i nettverket. På denne måten, selv om angripere omgår alle tidligere sikkerhetstiltak, er de ikke i stand til å bruke dataene de får tilgang til da de er kryptert.

#2. Endpoint Security

Endepunkter er enheter som servere, stasjonære datamaskiner, virtuelle maskiner og mobile enheter som kobles til en organisasjons nettverk. Endepunktsikkerhet innebærer å sikre disse enhetene mot trusler.

En dybdeforsvarsstrategi innen endepunktsikkerhet kan innebære fysisk sikring av stedet der endepunktene er lokalisert, bruk av sterke passord og multifaktorautentisering for å kontrollere tilgangen til enhetene, og logging av enhetenes aktiviteter. Brannmurer, antivirusprogramvare og kryptering av data kan også implementeres for å legge til ekstra lag med sikkerhet.

#3. Søknadssikkerhet

Dybdeforsvar er også nyttig for å sikre applikasjoner da de håndterer sensitive data som brukernes bankkontoer, personlige identifikasjonsnumre og adresser.

I et slikt scenario kan dybdeforsvar implementeres ved bruk av god kodingspraksis for å minimere sikkerhetsfeil, regelmessig testing av applikasjoner for å jakte på sårbarheter, kryptering av data under overføring og hvile, og implementering av multifaktorautentisering for å bekrefte identiteten til brukere og også føre en logg over aktiviteter utført av brukere av applikasjonen.

Lagdelt sikkerhet vs. forsvar i dybden

Selv om disse to sikkerhetstiltakene innebærer bruk av flere lag med sikkerhetsprodukter for å forbedre sikkerheten til dataressurser, er de forskjellige i implementering og fokus. Imidlertid er de begge avhengige av å bygge redundans for å øke sikkerheten.

Lagdelt sikkerhet er en sikkerhetstilnærming der flere sikkerhetsprodukter distribueres for å beskytte de mest sårbare områdene i en organisasjons sikkerhet.

I denne tilnærmingen er de flere sikkerhetstilnærmingene utplassert i samme lag eller stabel, for eksempel å bruke forskjellig antivirusprogramvare, slik at i tilfelle ett antivirus savner et virus eller har en mangel, kan det andre tilgjengelige alternativet plukke opp viruset eller overvinne manglene av det andre antiviruset.

Et annet eksempel på dette er bruk av flere brannmurer eller inntrengningsdeteksjonssystemer slik at i tilfelle ett produkt ikke klarer å oppdage eller stoppe et inntrenging, kan et annet produkt plukke det opp.

En slik tilnærming sikrer at sikkerheten til datasystemer ikke kompromitteres selv når ett produkt svikter. Lagdelt sikkerhet kan være på tvers av forskjellige sikkerhetslag for å forbedre sikkerheten til kritiske datasystemer.

I motsetning til lagdelt sikkerhet, som bygger redundans på ett enkelt sikkerhetslag, bygger dybdeforsvar redundans på tvers av flere lag eller områder av et mulig angrep for å beskytte datasystemer mot et bredt spekter av angrep.

Et eksempel på forsvar i dybden er implementering av brannmurer, multifaktorautentisering, inntrengningsdeteksjonssystemer, fysisk låsing av rom med datamaskiner og bruk av antivirusprogramvare. Hvert sikkerhetsprodukt adresserer et annet sikkerhetsproblem og beskytter dermed et system mot et bredt spekter av angrep.

Konklusjon

Tidligere nettangrep har vist at ondsinnede aktører vil prøve ut forskjellige angrepsvektorer når de leter etter en sårbarhet å utnytte i ethvert system. Siden angripere har et bredt spekter av angrep de kan sette i gang for å kompromittere et system, kan ikke organisasjoner stole på et enkelt sikkerhetsprodukt for å garantere sikkerheten til datamaskinressursene deres mot angripere.

Det er derfor viktig å implementere forsvar i dybden for å beskytte kritiske dataressurser mot et bredt spekter av angrep. Dette har fordelen av å sikre at alle mulige kanaler som ondsinnede aktører kan bruke for å utnytte et system er dekket.

Dybdeforsvar gir også organisasjoner fordelen av å bremse angrep og oppdage pågående angrep, noe som gir dem tid til å motvirke trusselaktører før de kan kompromittere systemene sine.

Du kan også utforske Honeypots og Honeynets innen cybersikkerhet.