Despre fotbal si securitate

Nu suntem un blog de stiri sportive, dar da, ma refer la acel joc atat de popular atat in tara noastra cat si la nivel mondial. De fapt, putem extrapola la orice joc in care o gasca de oameni alearga dupa o basica si trebuie sa faca ceva cu ea (handbal, baschet, etc).

Care este principiul oricarui din aceste jocuri? De exemplu in cazul fotbalului, jucatorii alearga dupa minge, pe care trebuie sa o trimita dincolo de linia portii echipei adverse.

Putem privi securitatea prin ochii aceluiasi principiu: noi suntem echipa care se apara, si trebuie sa oprim echipa adversa (atacatorii) sa introduca mingea (malware-ul) dincolo de linia portii noastre (mai precis sa oprim amenintarile exterioare sa intre in reteaua noasta).

Putem merge mai departe cu aceasta comparatie aparent exagerata? Bineinteles ca putem.

Sa luam exemplul teoretic al unei retele sigure, asa cum era el explicat acum ceva timp, in care ne protejam vectorii de intrare in retea (e-mail, web, endpoint, etc) cu cele mai bune solutii de pe piata, de la cei mai “buni” vendori. In acelasi mod, o echipa de fotbal poate fi alcatuita din cei mai buni jucatori din lume. Aparent ideal. Probleme? Bineinteles: in primul rand trebuie sa ai buget pentru a cumpara cei mai buni jucatori din lume, la fel cum trebuie sa ai buget pentru a cumpara cele mai “bune” solutii de securitate. Pana la urma, calitatea vine cu un pret. Sa presupunem ca traim intr-o lume ideala in care bugetul nu e un impediment. Mai sunt alte probleme? Evident: dispunand de cei mai buni jucatori nu garanteaza ca acestia vor forma o adevarata echipa, ca vor comunica intre ei. Cele mai bune rezultate au venit de la echipele care formeaza un grup omogen, nu neaparat de la cele cu cele mai multe “vedete”. In acelasi mod, beneficiind de protectie de la cei mai buni vendori, nu garanteaza ca vei fi protejat. Si aici am sa dau un exemplu: sa presupunem ca un atac incearca sa ne penetreze reteaua folosind vectorul de intrare e-mail. Asa cum am spus mai sus, am cel mai bun vendor de protectie a server-ului de e-mail, iar acesta va descoperi atacul si il va bloca. In schimb, acelasi malware incearca sa intre printr-un link malitios accesat de un utilizator atunci cand face browsing. Solutia de web gateway nu cunoaste acel malware, prin urmare nu va putea bloca atacul, iar reteaua va fi penetrata.

Si, totusi, exista o alta varianta de abordare a securitatii? Exista, si o spune si Gartner: este recomandata abordarea de tip layered aproach, in care solutiile de protectie a vectorilor de intrare in retea sa comunice intre ele. Cum?

Sa luam cazul TrendMicro: acesta are solutii de protectie a server-ului de mail (IMSVA, SMEX, HES, etc), web gateway (IWSVA), endpoint protection (Office Scan), solutie de inspectie a traficului din retea (Deep Discover), iar toate acestea comunica intre ele prin intermediul “creierului central” – Control Manager. Astfel, malware-ul de mai sus incearca sa intre in retea prin intermediul e-mailului. Solutia de protectie a serverului de mail nu are semnatura pentru acel malware, insa, folosind metode avansate de detectie, poate cataloga acel e-mail ca suspect si il transmite mai departe catre solutia de analiza Sandbox – Deep Discovery Analyzer. Aceasta, in urma analizei mail-ului respectiv, descopera ca e, de fapt, vorba despre un malware, anunta “creierul” Control Manager, care, la randul lui anunta celelate solutii de aparitia acelui malware. Prin urmare, si ceilalti vectori de intrare in retea sunt protejati imediat.

Aceeasi abordare o putem avea si cu solutii Fortinet – o combinatie FortiGate – FortiMail – EMS – FortiSandbox, de exemplu. Pare logic ce spun? Eu zic ca da.

Sa ne intoarcem la fotbal – ca la asta ne pricepem cu totii – exista o solutie sigura astfel incat sa garantam ca nu vom primi gol niciodata? Cred ca putem fi de acord cu totii ca NU. In schimb, putem depune eforturi pentru a ne intari atacul si a inscrie mai multe goluri decat primim. Asa ne asiguram victoria. E o vorba: cea mai buna aparare este atacul.

Putem prelungi aceasta comparatie si in securitate? Aici nu prea vad cum – pana la urma ceea ce ne dorim este sa ne aparam reteaua de “intrusi”, nu sa ne transformam in hackeri si sa atacam alte retele.

Putem prelua, totusi, un principiu: si anume ca nu exista o solutie ce garanteaza securitatea 100% a unei retele, nu exista un “silver bullet”. Ceea ce putem face, totusi, este sa plecam de la premiza ca reteaua noastra poate fi “sparta” si sa ne luam masurile de recuperare a datelor pierdute atunci cand vine momentul critic – back-up, DR-uri, etc.

Dar asta e o alta discutie.

Apropos, ati vazut meciul de  marti seara? 🙂