Tak, zaszyfruj, to łatwe. Ponadto, według badania przeprowadzonego przez Software Engineering Institute w 2014 roku, 1 na 4 włamań wykonał ktoś z firmy, który ze średnią szkodą o 50% wyższą niż osoba będąca zagrożeniem zewnętrznym.

Link do źródła: https://insights.sei.cmu.edu/insider-threat/2017/01/2016-us-state-of-cybercrime-highlights.html Chociaż jest to wersja 2017.

Jakie są rzeczywiste szanse, że ktoś ukradnie jego tożsamość?

Przeprowadzenie ataku MITM na połączenie HTTP w tej samej sieci LAN jest w zasadzie trywialne. Protokół ARP nie został zaprojektowany jako bezpieczny. Niektóre przełączniki z wyższej półki zapewniają rozsądne ograniczenie, ale przeważnie są dość słabe w przypadku wszystkiego, co nie jest bajecznie drogie.

Jest pracownik narzekający, że nie lubi przesyłać swoich danych uwierzytelniających zwykłym tekstem sieci i że w takim przypadku nie może wziąć odpowiedzialności za swoją tożsamość sieciową.

Jeśli facet jest odpowiedzialny za działania podjęte przy użyciu jego danych uwierzytelniających, niesprawiedliwe jest niepodejmowanie rozsądnych środków ostrożności chronić te dane uwierzytelniające przed innymi pracownikami. Mogą być chronieni przed aktorami zewnętrznymi ze względu na izolację sieci, ale prawdopodobnie nie tym facet się martwi ...

Tak, musisz szyfrować swoje połączenia. Weźmy scenariusz, w którym uważasz, że Twoja sieć jest fizycznie zabezpieczona (z wymaganymi fizycznymi zabezpieczeniami i innymi wymaganymi środkami bezpieczeństwa) i nie ma dostępu do Internetu (ponieważ wskazałeś, że zezwalasz na dostęp VPN tylko do zaufanych źródeł), ale załóżmy, że Twoi pracownicy zabierają laptopa dom i łączenie się z internetem. Istnieje prawdopodobieństwo, że jakiekolwiek złośliwe oprogramowanie zostanie zaimplementowane bez ich powiadomienia. To złośliwe oprogramowanie może stać się aktywne, gdy zostanie podłączone do sieci firmowej i zacznie węszyć ruch. Doprowadziłoby to do ujawnienia całej komunikacji firmowej, w tym danych uwierzytelniających wszystkich osób.

Dlatego zawsze zaleca się szyfrowanie wrażliwego ruchu.

Dalsze badanie przeprowadzone przez CA (Raport o zagrożeniach wewnętrznych - 2018) wskazuje poniżej obawy dotyczące zagrożeń wewnętrznych (źródło: https://www.ca.com/content/dam/ca/us/files /ebook/insider-threat-report.pdf).

Wyciąg z raportu:

• Dziewięćdziesiąt procent organizacji czuje się zagrożonych Główne czynniki ryzyka to zbyt wielu użytkowników z nadmiernymi uprawnieniami dostępu (37%), rosnąca liczba urządzeń z dostępem do wrażliwych danych (36%) oraz rosnąca złożoność technologii informacyjnej (35%).
• Większość z 53% potwierdziła ataki wewnętrzne na ich organizację w ciągu ostatnich 12 miesięcy (zazwyczaj mniej niż pięć ataków). Dwadzieścia siedem procent organizacji twierdzi, że ataki wewnętrzne stają się coraz częstsze.

• Organizacje koncentrują się na wykrywaniu zagrożeń wewnętrznych (64%), a następnie na metodach odstraszania (58%) oraz analizie i kryminalistyce włamań (49%). Korzystanie z monitorowania zachowania użytkownika przyspiesza; 94% organizacji stosuje jakąś metodę monitorowania użytkowników, a 93% monitoruje dostęp do poufnych danych.

• Najpopularniejsze technologie odstraszania wewnętrznych zagrożeń to Data LossPrevention (DLP), szyfrowanie i zarządzanie tożsamością i dostępem rozwiązania. Aby lepiej wykrywać aktywne zagrożenia wewnętrzne, firmy wdrażają wykrywanie i zapobieganie włamaniom (IDS), zarządzanie dziennikami oraz platformy SIEM.

• Zdecydowana większość (86%) organizacji już posiada lub tworzy program zagrożeń wewnętrznych. Trzydzieści sześć procent posiada formalny program do reagowania na ataki wewnętrzne, podczas gdy 50% koncentruje się na rozwijaniu swojego programu.

Możliwe rozwiązania / kontrole łagodzące dla ataków wewnętrznych to: Źródło: Raport o zagrożeniach z 2018 r., CA Technologies

Ryzyko odrzucenia

Oprócz wszystkich dobrych odpowiedzi na temat pracowników jako zagrożenia i gości jako zagrożenia, myślę, że musisz wziąć pod uwagę, że sam fakt, że ruch jest niezaszyfrowany jest sam w sobie luką w zabezpieczeniach nawet przy całkowitym braku hakerów .

Przygotowujesz się na sytuację, w której każdy pracownik, coś, czego nie powinni robić (przez pomyłkę lub celowo), a następnie jest wywoływane, może zaprzeczyć , że to faktycznie oni. Zwykle menedżer po prostu powie: „wiemy, że to byłeś Ty, ponieważ byłeś zalogowany”. W tym przypadku oskarżony pracownik może rozsądnie odpowiedzieć „login jest bezwartościowy i wiesz o tym. Każdy w sieci LAN mógł powąchać moje hasło i zrobić coś złego, udając mnie”.

Niektóre firmy, szczególnie te większe, które istnieją wystarczająco długo, aby rozwinąć złe nawyki, mają mniej więcej następujący błędny model bezpieczeństwa:

Sieć jest bezpieczna, o ile nikt inny się do niej nie podłączy i nikt w środku nie ma wystarczających umiejętności technicznych, aby go nadużywać.

Czy można to chronić we wszystkich przypadkach? Nie, ale odpowiednia kontrola dostępu fizycznego / budowlanego może pomóc obniżyć ryzyko. Ale co, jeśli goście są wpuszczani do biura na spotkania itp .; Czy w salach konferencyjnych są łatwo dostępne porty Ethernet lub łatwo dostępne sieci bezprzewodowe, czy też te sieci są oddzielone od tych, w których mogą latać poświadczenia?

Zależy to również od tego, co próbujesz chronić. Rozważ najgorszy scenariusz, w którym ktoś (z organizacji lub spoza niej) kradnie poświadczenia innego użytkownika w postaci zwykłego tekstu. Co oni są w stanie zrobić; uzyskać dostęp do infrastruktury krytycznej lub tylko do niewielkich serwerów programistycznych? Jeśli tożsamość zostanie skradziona, czy jesteś w stanie ustalić, kto używa loginu?

Idealnie byłoby, gdyby wszyscy wszędzie korzystali z szyfrowania. Ale jeśli powyższe zagrożenia mieszczą się w zakresie Twojej tolerancji na ryzyko, być może nie jest pilne szyfrowanie zasobów intranetowych. W zależności od wielkości organizacji może wystąpić pewne obciążenie związane z wdrażaniem certyfikatów CA i SSL we wszystkich zasobach. Zadaj sobie pytanie, co jest gorsze: najgorszy scenariusz czy włożenie pracy w celu zaszyfrowania wszystkiego?

Odpowiedź w 2018 roku zależy od wyników analizy zagrożeń i ryzyka. Które, oczywiście, wykonałeś, zidentyfikowałeś prawdopodobne scenariusze, oceniłeś je i podjąłeś decyzję biznesową na podstawie wpływu i częstotliwości, zgodnie z odpowiednią metodą statystyczną lub ilościową.

Twój indywidualny pracownik jednak przeprowadził własną analizę ryzyka i doszedł do wskazanego przez Ciebie wyniku, a mianowicie:

w takim przypadku nie może wziąć odpowiedzialności za swoją tożsamość sieciową

I ma całkowitą rację w tej ocenie. Nawet powierzchowne spojrzenie na sytuację jasno pokazuje, że ktoś inny niż on, z minimalnymi umiejętnościami technicznymi, może podszywać się pod niego.

Dla ciebie ryzyko biznesowe jest do zaakceptowania (oczywiście ja oznacza to, że jest rok 2018, że sieć wewnętrzna jest niezaszyfrowana, to celowa decyzja, a nie, powiedzmy, przypadek, w którym zawsze to robiliśmy, prawda?) i możesz mieć rację w tej decyzji. Akceptacja ryzyka to całkowicie słuszna opcja.

Dla niego ryzyko jest nie do zaakceptowania. Zwróć uwagę, że nie podejmuje on decyzji biznesowej za firmę swoim oświadczeniem. Sam podejmuje osobistą decyzję. Dlatego te dwie analizy ryzyka mogą przynieść różne rezultaty - inny kontekst, apetyt na ryzyko, wpływ.

Prawidłowa odpowiedź brzmi, że bierzesz na siebie odpowiedzialność, której on odmawia. Prowadząc niezaszyfrowaną sieć i akceptując ryzyko, firma przyjmuje na siebie odpowiedzialność za tożsamość sieciową użytkowników tej sieci, ponieważ zdecydowała się ich nie chronić.

Mogę się również pomylić w moich założeniach dotyczących zarządzania ryzykiem w Twojej firmie, w takim przypadku zalecam przeprowadzenie analizy ryzyka tego konkretnego faktu (niezaszyfrowana sieć wewnętrzna) i zagrożenia (podszywanie się pod użytkowników), abyś mógł zmienić decyzję posiadania niezaszyfrowanej sieci lub utrwalenia jej wynikami, które pokazują, że zabezpieczenie sieci byłoby droższe niż oczekiwana strata.

Tak, musisz szyfrować w swojej „bezpiecznej” sieci firmowej.

Każda penetracja sieci prowadzi do podsłuchiwania ruchu, a wszystko, co nie jest zaszyfrowane, jest łatwe do zdobycia dla atakującego. Dane uwierzytelniające, hasła, informacje o wynagrodzeniach, biznesplany, cokolwiek.

W przypadku horrorów z prawdziwego świata po prostu wyszukaj „zabezpieczenie ruchu bocznego” Twarda, chrupiąca skorupa, miękka do żucia wewnątrz nie jest już odpowiednią pozycją bezpieczeństwa

Chociaż RODO ma kilka surowych wymagań technicznych, jeśli przetwarzasz dane osobowe obywateli UE, powszechnym rozwiązaniem zapewniającym zgodność z RODO jest pokazanie, że masz szyfrowanie danych w locie (przez Twoją sieć )

Rzeczywistość jest taka, pomijając twoje fizyczne bezpieczeństwo, po prostu nie jest trudno uzyskać dostęp do sieci, albo fizycznie podłączając się do portu (czy monitorujesz co noc personel sprzątający? - jak o odwiedzaniu dostawców?) lub, co bardziej prawdopodobne, przez jakąś formę włamania do sieci.

Inni zacytowali artykuł Google BeyondCorp, który warto przeczytać. https://cloud.google.com/ outsidecorp /

Zasadniczo twojej „wewnętrznej” sieci nie należy ufać bardziej niż dzikiemu, paskudnemu stażyście z zewnątrz et.

Szyfrowanie to niski koszt i wysoka nagroda w obronie. Dlaczego nie zrobiłbyś tego?

Tak. Powinieneś zawsze szyfrować połączenia w dowolnym intranecie, tak jak w publicznym internecie.

Wczoraj opublikowany atak DNS Rebinding umożliwia atakującemu pełny dostęp do dowolnego zasobu HTTP na stronie ofiary. intranet, poprzez ponowne powiązanie DNS z adresu IP kontrolowanego przez osobę atakującą na adres IP w intranecie firmy Corproate (np. 10.0.0.22). (Skanowanie intranetowej przestrzeni IP w poszukiwaniu usług HTTP można wykonać za pomocą innych technik, ułatwionych dzięki znajomości prywatnego adresu IP użytkownika.)

Aby taki atak zadziałał, wystarczy nakłonić ofiarę do załadowania strony internetowej kontrolowanej przez atakującego (lub javascript, iframe itp.).

Ten atak najlepiej złagodzić HTTPS, ponieważ ponowne powiązanie DNS nie będzie zgodne z prezentowaną domeną certyfikatu. Chociaż usunięcie domyślnych hostów wirtualnych również wydaje się łagodzić ten konkretny atak, ten atak ma na celu tylko pokazanie, jak ujawnianie zasobów wewnętrznych przez niezaszyfrowane połączenia może przekształcić się w odpowiedzialność z luką w zabezpieczeniach w innym miejscu. (Nie mówię nawet o mnóstwie słabości sieci Wi-Fi 802.11, które mieliśmy pod koniec zeszłego roku. Proszę nie ujawniać zasobów intranetu przez Wi-Fi!)

Dogłębna obrona

Istnieje kilka dobrych odpowiedzi, ale nawet jeśli całkowicie ufasz wszystkim swoim pracownikom (czego najprawdopodobniej nie powinieneś), otwierasz drzwi atakującemu z zewnątrz i zabezpieczasz znacznie trudniejsze.

Zwykle osoba atakująca najpierw musi jakoś dostać się do Twojej sieci (można to zrobić na różne sposoby), a następnie musi gdzieś uzyskać login, aby uzyskać dostęp do poufnych danych. Zapewniając niezaszyfrowane hasła logowania latające wszędzie, właśnie znacznie ułatwiłeś drugi krok. Teraz za każdym razem, gdy atakujący uzyskuje dostęp do Twojej sieci, natychmiast uzyskuje dostęp do poświadczeń wysokiego poziomu.

Koncepcja obrony w wielu warstwach nazywa się obroną w głębi - jeśli atakujący może przejąć jedną warstwę, nadal ma przełamać dodatkowe bariery i wyrządzić krzywdę.

Więc proszę, ZASZYFROWUJ SWOJE DANE!

Czy muszę szyfrować dostęp do zasobów intranetu przez HTTP?

Tak - jeśli ludzie uwierzytelniają się w usłudze.

Jakie są rzeczywiste szanse, że ktoś ukradnie jego tożsamość?

Nie wiem - nigdy nie spotkałem ludzi, którzy pracują w Twoim biurze / znajdują się w zasięgu jego sieci Wi-Fi / mogą mieć dostęp do Twojej sieci. Nie wiem, co uważasz za „przyzwoity poziom bezpieczeństwa fizycznego”. Nie wiem, jak bardzo ufasz „zaufanym stronom”. Z pewnością monitorowanie adresów MAC w bardzo niewielkim stopniu chroni przed podsłuchiwaniem sieci.

Jak bardzo zaszkodziłoby wdrożeniu TLS?

Krytyka Twojego pracownika jest słuszna.

Pomyśl o tym w ten sposób: jeśli ufasz swojej sieci do tego stopnia, że ​​szyfrowanie danych uwierzytelniających wydaje się zbędne, to po co w ogóle ich potrzebujesz? Czy myślisz, że mógłbyś zastąpić formularz logowania prostym polem, w którym użytkownicy mogliby wpisać swoje imię?

Jeśli odpowiedź brzmi nie, to wysyłanie niezaszyfrowanych danych uwierzytelniających również nie jest opcją, ponieważ nie W końcu tak bardzo ufaj swoim zaufanym stronom, a hasło wysłane przez HTTP nie jest tajemnicą.

Cytując koszulkę: „Po prostu zrób to!”

• Spędzasz godziny na wymianie stosów, aby usprawiedliwić nie wydawanie 7 $ na certyfikat i 20 minut zabezpieczania serwer.

• Jedna rzecz, o której nie pomyślałeś: skąd pracownik wie, że wprowadza swoje dane logowania do prawdziwej witryny, a nie do klonu witryny, działa na arduino ukrytym za kopiarką, która podszywa się pod ARP?

• Czy słowo „zgodność” coś znaczy? PCI / HIPAA / GDPR zapuka każdego dnia. Jeśli jakikolwiek użytkownik „admin” zaloguje się do Twojej witryny, MUSISZ zaszyfrować wszystkie połączenia lub napotkasz poważne problemy.