In partea intai a acestui ghid am pus bazele unei aparari pe mai multe nivele de securitate si am discutat despre educatia utilizatorilor cu privire la atacurile Informationale la care sunt susceptibili, despre o autentificare in doi pasi si despre securitatea serviciului de email. Continuam cu alte trei nivele unde putem implementa masuri de control si de protectie pentru utilizatori, datele acestora si dispozitivele folosite pentru munca.
Nivelul 4 – Protectia endpoint-urilor. Impiedica atacatorii sa preia controlul asupra dispozitivului, tine malware-ul la distanta si protejeaza impotriva stick-urilor USB necunoscute. Un dispozitiv de-alea utilizatorului care a fost compromis de un atacator poate fi folosit ca o poarta de intrare in reteaua companiei, si de acolo doar imaginatia hacker-ului este singura limita a acestuia. Oamenii sunt curiosi si asta poate fi un risc pentru organizatie. Utilizatorii pot da click pe link-uri primite in email-uri dubioase, pe sms sau in mesaje instant pe Whatsapp sau Facebook. Pot descarca fisiere si programe din surse cel putin obscure si pot conecta in laptop stick-uri USB gasite in diverse locuri publice, lasate de atacatori tocmai pentru a incita la actiuni de genul “oare ce se afla pe stick-ul asta?”. O solutie moderna de endpoint protection trebuie sa fie capabila sa stopeze o gama larga si variata de amenintari informatice: virusi, troieni, ransomware, dar sa si monitorizeze activitatea endpoint-ului pentru a detecta comportamente neobisnuite ( de exemplu, de ce un fisier Word executa un task in PwerShell) si sa poate submite fisiere suspicioase catre o platforma de sandboxing pentru a fi analizate si pentru a decide daca sunt benigne (nu contin malware) sau maligne (contin malware). Cisco are in portofoliul sau solutia Cisco Secure Endpoint pentru protejarea dispozitivelor folosite de utilizatori. Protectia endpoint-urilor are un rol dual extrem de important pentru securitatea generala a organizatiei: reprezinta ultima linie de aparare pentru sistemele care se afla in interiorul perimetrului organizatiei si serveste ca prima linie de aparare pentru sistemele care se afla oriunde in alta parte, cum este in cazul celor care muncesc de la distanta.
Nivelul 5 – Accesul securizat de la distanta a resurselor. Securitatea ar fi mult mai usor de implementat daca ar exista un perimetru clar in interiorul caruia sa se afle tot ce trebuie protejat. In zilele noastre, traim insa o realitate hiper-distribuita in care utilizatorii si resursele pe care le acceseaza acestia se afla in locatii diferite de reteaua companiei. Reteaua companiei este fara granite fizice bine definite, este borderless, cu utilizatorii care muncesc de acasa, sau de oriunde, si cu servicii si aplicatii care sunt gazduite pe serverele on-premises ale organizatiei sau pe instantele virtuale din cloud. Accesul la resurse trebuie sa fie acordat doar dupa ce identitatea utilizatorului a fost verificata si confirmata, dupa ce dispozitivul folosit de acesta trece de evaluarea posturii de securitate si dupa ce locatia de unde se face accesarea este una acceptata de companie. Apoi accesul va fi acordat conform principiului privilegiului minim. Cisco AnyConnect poate fi folosit de utilizator pentru a realiza o conexiune securizata inainte de a accesa resursele necesare si poate fi combinat cu Cisco Duo pentru a avea al doilea factor de autentificare care sa fie folosit la verificare identitatii si partea de complianta cu politica de securitate a organizatiei (geolocatie, respectarea conditiilor de securitate pentru dispozitiv).
Nivelul 6 – Inspectia traficului criptat. Protejeaza impotriva malware-ului ascuns in traficul de tip SSL/TLS. Nu te poti apara de ce nu vezi, mai exact de ce nu reusesti sa detectezi. O metoda foarte eficienta pe care atacatorii o folosesc pentru a infiltra malware in interiorul unei retele este sa ascunda malware-ul in trafic criptat. Conform acestui studiu, intre luni aprilie-iunie din 2021 peste 90% din malware a fost transmis prin conexiuni criptate HTTPS. Ceea ce inseamna ca orice organizatie care nu efectueaza inspectia traficului criptat in punctul de intrarea in retea nu reuseste sa detecteze malware-ul in 9 din 10 cazuri. Firewall-urile Cisco dispun de caracteristici hardware capabile sa acopere nevoile de inspectie a traficului criptat pentru cele mai dintre organizatii ca volum de trafic, astfel incat amenintarile sa fie identificate si blocate inainte de a produce pagube.
Dendrio, in calitate de partener si integrator de solutii de securitate Cisco, va poate ajuta cu un audit de securitate al infrastructurii organizatiei dumneavoastra si cu o serie de recomandari, acolo unde este cazul, pentru a atinge obiectivul de a avea o aparare fara niciun “single point of failure” cu multiple nivele de securitate proactive, complementare si rezistente in fata atacurilor informatice.
Mihai Dumitrascu, Sr Systems Engineer
