Термін Defensible Network Architecture (DNA), у перекладі – «захищена мережева архітектура» – був уперше запроваджений фахівцем з кібербезпеки Річардом Бейтліхом (Richard Bejtlich) у 2004 році у книзі «Дао моніторингу мережевої безпеки».
Річард Бейтліх — випускник Академії ВПС США, за період своєї кар’єри обіймав посади головного спеціаліста з безпеки у FireEye, директора з безпеки Mandiant, також працював у General Electric, де створив та очолив групу GE з реагування на комп’ютерні інциденти (GE- CIRT), що складалася із 40 осіб. Зараз обіймає посаду стратега та автора в ко`мпанії Corelight.
Р. Бейтліх визначає Defensible Network як інформаційну архітектуру, яку відстежують, контролюють, мінімізують та підтримують у актуальному стані.
На погляд Octava Defence такий підхід дозволяє поглянути на питання реалізації кібербезпеки системно та з розумінням того, наскільки ті чи інші засади можуть бути реалізовані саме у вашій організації.
Більш детально основні пункти реалізації концепції DNA описано нижче у порядку збільшення складності реалізації від 1 – найпростішої до 7 – найбільш складної моделі.
1. Моніторинг. Найпростіший та найдешевший варіант старту запровадження DNA на підприємстві – це реалізація функції моніторингу. Для цього потрібно розгорнути систему датчиків моніторингу мережної безпеки, які збирають максимум інформації з різних точок в мережі, включаючи брандмауер/маршрутизатор/IPS/DNS/проксі, тощо. Більш складні типи даних (які вимагають переналаштування активів та купівлі великих баз даних) слід зберегти на перспективу.
2. Інвентаризація. Ви повинні добре знати, що ви розміщуєте у своїй мережі. Якщо ви вже запровадили моніторинг, то зможете отримати більшу частину такої інформації у пасивному режимі. Цей пункт є нововведенням версії DNA 2.0.
3. Контроль. Після досконального вивчення своєї мережі ви можете розпочати реалізацію мережевих елементів управління. Це можна зробити будь-яким способом: вхідна або вихідна фільтрація, управління доступом до мережі, проксі-з’єднання і т. д. Ідея полягає в тому, що ви переходите від архітектури мережі «через яку проходить все» до нової концепції, де будь-яка активність авторизована по можливості наперед.
4. Затвердження прав. Цей пункт передбачає ідентифікацію власників активів та розробку політик, процедур та планів з експлуатації самого активу. Суть у цьому, що легше впровадити суворий контроль, ніж змусити людей взяти відповідальність за цілісність системи.
5. Мінімізація збитків. Цей крок безпосередньо впливає на конфігурацію та стан активів. Завдання – зменшити поверхню атаки мережевих пристроїв. Цей підхід можна застосувати до клієнтів, серверів, додатків, мережного обладнання тощо.
6. Оцінка. На цьому етапі відбувається виявлення слабких місць у активах. Для початку потрібно вимкнути непотрібні служби, провівши попередньо детальний аналіз. Також слід змоделювати дії зловмисника для перевірки загальних операцій із забезпечення безпеки.
7. Встановлення патчів та оновлень. Цей пункт означає, що ваші активи повинні бути налаштовані та сконфігуровані так, щоб ви, усунувши знайдені вразливості, могли протистояти відомим атакам. Набір функцій, якими ніхто не користується, краще відключити. Оскільки оновлення іноді можуть порушувати роботу програм, цей крок слід виконувати останнім.
Вищеописаний метод підвищує шанси успішно протистояти вторгненню та підходить в якості багаторічної стратегічної програми для будь-якої організації, яка прагне підвищити рівень своєї кібербезпеки.
Потребуєте допомоги у реалізації концепції DNA?
Вам стане у нагоді книжка Річарда Бейтліха «The Practice of Network Security Monitoring Understanding Incident Detection and Response».
Або звертайтесь за порадою до консультантів Octava Defence:
+38 044 538 00 45;
infosec@octava.ua