Стратегии кибербезопасности
Для разработки и реализации безопасного киберпространства были приняты некоторые строгие стратегии. В этой главе объясняются основные стратегии, используемые для обеспечения кибербезопасности, которые включают следующее:
- Создание безопасной киберэкосистемы
- Создание основы доверия
- Поощрение открытых стандартов
- Укрепление нормативной базы
- Создание механизмов информационной безопасности
- Обеспечение безопасности услуг электронного управления
- Защита критически важной информационной инфраструктуры
Стратегия 1 - Создание безопасной киберэкосистемы
Киберэкосистема включает в себя широкий спектр различных объектов, таких как устройства (коммуникационные технологии и компьютеры), отдельные лица, правительства, частные организации и т. Д., Которые взаимодействуют друг с другом по многим причинам.
Эта стратегия исследует идею наличия сильной и надежной кибер-экосистемы, в которой кибер-устройства могут работать друг с другом в будущем для предотвращения кибератак, снижения их эффективности или поиска решений для восстановления после кибератаки.
Такая кибер-экосистема будет иметь встроенную в ее кибер-устройства способность, позволяющую организовывать защищенные способы действий внутри групп устройств и между ними. За этой киберэкосистемой можно наблюдать с помощью существующих методов мониторинга, в которых программные продукты используются для обнаружения и сообщения о слабых местах безопасности.
Сильная кибер-экосистема имеет три симбиотических структуры: Automation, Interoperability, и Authentication.
Automation - Это упрощает внедрение передовых мер безопасности, увеличивает скорость и оптимизирует процессы принятия решений.
Interoperability- Это ужесточает совместные действия, улучшает осведомленность и ускоряет процедуру обучения. Есть три типа взаимодействия:
- Семантический (т. Е. Общий лексикон, основанный на общем понимании)
- Technical
- Политика - важна для ассимиляции различных участников в инклюзивную структуру киберзащиты.
Authentication - Он улучшает технологии идентификации и проверки, которые работают, чтобы обеспечить:
- Security
- Affordability
- Легкость использования и администрирования
- Scalability
- Interoperability
Сравнение атак
В следующей таблице показано сравнение категорий атак с желаемыми возможностями киберэкосистемы.
Пример использования
Следующая диаграмма была подготовлена Guilbert Gates for The New York Times, который показывает, как иранский завод был взломан через Интернет.
Explanation- Была разработана программа для автоматического запуска иранской атомной станции. К сожалению, рабочий, не подозревавший об угрозах, внедрил программу в контроллер. Программа собрала все данные, связанные с растением, и отправила информацию в спецслужбы, которые затем разработали и внедрили в растение червя. Используя червя, злоумышленники управляли растением, что привело к появлению большего количества червей, и в результате растение полностью отказало.
Типы атак
В следующей таблице описаны категории атак -
Категория атаки | Описание атаки |
---|---|
Потертость | Методы, используемые для повреждения сетей и систем. Он включает в себя следующее -
|
Вредоносное ПО | Любое вредоносное программное обеспечение, используемое для прерывания нормальной работы компьютера и нанесения вреда информационным активам без согласия владельца. Любое выполнение со съемного устройства может усилить угрозу вредоносного ПО. |
Взлом | Попытка намеренно использовать слабые места для получения неэтичного доступа, обычно осуществляемая удаленно. Это может включать -
|
Социальная тактика | Использование социальных тактик, таких как обман и манипуляции, для получения доступа к данным, системам или элементам управления. Он включает -
|
Неправильное использование (внутренняя угроза) | Неправильное использование прав на данные и средства управления отдельным лицом в организации, которое нарушит политику организации. Он включает -
|
Физические действия / потеря или кража оборудования | Атаки, управляемые людьми, такие как -
|
Множественный компонент | Методы одиночного подключения, которые содержат несколько передовых методов и компонентов атаки. |
разное | Такие атаки, как -
|
Стратегия 2 - Создание основы доверия
Цель этой стратегии - разработать схему в соответствии с мировыми стандартами безопасности с помощью традиционных продуктов, процессов, людей и технологий.
Чтобы удовлетворить требования национальной безопасности, национальная структура, известная как Cybersecurity Assurance Frameworkбыл развит. Он позволяет организациям критически важной инфраструктуры и правительствам принимать меры по поддержке и поддержке.
EnablingДействия совершаются государственными органами, которые являются автономными органами, свободными от коммерческих интересов. Публикация «Требований соответствия политике национальной безопасности», а также руководств и документов по ИТ-безопасности для обеспечения реализации и соблюдения требований ИТ-безопасности осуществляется этими органами.
Endorsing действия, связанные с прибыльными услугами после соответствия обязательным квалификационным стандартам, включают следующее:
Сертификация СМИБ ISO 27001 / BS 7799, аудит системы ИБ и т. Д., Которые по сути являются сертификатами соответствия.
Стандарт «Common Criteria» ISO 15408 и стандарты проверки модулей Crypto, которые представляют собой оценку и сертификацию продукта IT Security.
Услуги по оказанию помощи потребителям во внедрении ИТ-безопасности, например обучение персонала ИТ-безопасности.
Сертификация доверенной компании
Индийские IT / ITES / BPO должны соответствовать международным стандартам и лучшим практикам в области безопасности и конфиденциальности с развитием рынка аутсорсинга. ISO 9000, CMM, Six Sigma, Total Quality Management, ISO 27001 и т. Д. - вот некоторые из них.
Существующие модели, такие как уровни SEI CMM, предназначены исключительно для процессов разработки программного обеспечения и не решают проблем безопасности. Поэтому предпринимаются некоторые попытки создать модель, основанную на концепции самосертификации и на принципах модели зрелости программных возможностей (SW-CMM) CMU, США.
Структура, созданная в результате такой ассоциации между промышленностью и правительством, включает следующее:
- standards
- guidelines
- practices
Эти параметры помогают владельцам и операторам критически важной инфраструктуры управлять рисками, связанными с кибербезопасностью.
Стратегия 3 - Поощрение открытых стандартов
Стандарты играют важную роль в определении того, как мы подходим к вопросам, связанным с информационной безопасностью, в разных географических регионах и обществах. Открытые стандарты поощряются:
- Повышение эффективности ключевых процессов,
- Разрешить внедрение систем,
- Предоставьте пользователям среду для измерения новых продуктов или услуг,
- Организуйте подход к размещению новых технологий или бизнес-моделей,
- Интерпретировать сложные среды и
- Поддерживайте экономический рост.
Стандарты, такие как ISO 27001 [3], способствуют внедрению стандартной организационной структуры, в которой клиенты могут понимать процессы, и сокращать затраты на аудит.
Стратегия 4 - Укрепление нормативной базы
Цель этой стратегии - создать безопасную экосистему киберпространства и укрепить нормативно-правовую базу. Предусмотрен механизм 24X7 для борьбы с киберугрозами через Национальный центр защиты критической информационной инфраструктуры (NCIIPC). Группа реагирования на компьютерные чрезвычайные ситуации (CERT-In) была назначена в качестве узлового агентства по управлению кризисами.
Некоторые основные моменты этой стратегии заключаются в следующем:
Продвижение исследований и разработок в области кибербезопасности.
Развитие человеческих ресурсов через образовательные и обучающие программы.
Поощрение всех организаций, государственных или частных, к назначению человека в качестве главного сотрудника по информационной безопасности (CISO), который будет отвечать за инициативы по кибербезопасности.
Вооруженные силы Индии находятся в процессе создания киберкомандования в рамках усиления кибербезопасности оборонной сети и объектов.
Эффективная реализация государственно-частного партнерства находится в стадии разработки, что во многом поможет в создании решений для постоянно меняющегося ландшафта угроз.
Стратегия 5 - Создание механизмов ИТ-безопасности
Некоторые основные механизмы, которые используются для обеспечения ИТ-безопасности, - это меры безопасности, ориентированные на каналы, меры сквозной безопасности, меры, ориентированные на ассоциации, и шифрование данных. Эти методы различаются по своим внутренним функциям применения, а также по атрибутам безопасности, которые они обеспечивают. Обсудим их кратко.
Ориентированные на ссылки показатели
Он обеспечивает безопасность при передаче данных между двумя узлами, независимо от конечного источника и места назначения данных.
Комплексные меры
Это среда для передачи блоков данных протокола (PDU) защищенным способом от источника к месту назначения таким образом, чтобы нарушение любого из их каналов связи не нарушало безопасности.
Ассоциативно-ориентированные меры
Меры, ориентированные на ассоциации, представляют собой модифицированный набор комплексных мер, которые защищают каждую ассоциацию в отдельности.
Шифрование данных
Он определяет некоторые общие особенности обычных шифров и недавно разработанного класса шифров с открытым ключом. Он кодирует информацию таким образом, что только уполномоченный персонал может ее расшифровать.
Стратегия 6 - Обеспечение безопасности услуг электронного управления
Электронное управление (электронное управление) - это наиболее ценный для правительства инструмент для подотчетного предоставления государственных услуг. К сожалению, в текущем сценарии в Индии нет специальной правовой структуры для электронного управления.
Точно так же в Индии нет закона об обязательной электронной доставке государственных услуг. И нет ничего более опасного и хлопотного, чем реализация проектов электронного управления без достаточной кибербезопасности. Следовательно, обеспечение безопасности услуг электронного управления стало важнейшей задачей, особенно когда в стране ежедневно совершаются транзакции с помощью карт.
К счастью, Резервный банк Индии внедрил меры безопасности и снижения рисков для карточных транзакций в Индии, которые вступают в силу с 1 октября 2013 года. Он возложил ответственность за обеспечение безопасных карточных транзакций на банки, а не на клиентов.
«Электронное правительство» или электронное правительство относится к использованию информационных и коммуникационных технологий (ИКТ) государственными органами в следующих целях:
- Эффективное предоставление государственных услуг
- Повышение внутренней эффективности
- Легкий обмен информацией между гражданами, организациями и государственными органами
- Реструктуризация административных процессов.
Стратегия 7 - Защита критически важной информационной инфраструктуры
Важная информационная инфраструктура - это основа национальной и экономической безопасности страны. Сюда входят электростанции, шоссе, мосты, химические заводы, сети, а также здания, в которых ежедневно работают миллионы людей. Их можно защитить с помощью строгих планов сотрудничества и дисциплинированного внедрения.
Для защиты критически важной инфраструктуры от развития киберугроз необходим структурированный подход. Требуется, чтобы правительство активно сотрудничало с государственным и частным секторами на регулярной основе для предотвращения, реагирования и координации усилий по смягчению последствий попыток сбоев и неблагоприятных воздействий на критически важную инфраструктуру страны.
Требуется, чтобы правительство работало с владельцами бизнеса и операторами, чтобы усилить их услуги и группы, делясь информацией о киберугрозах и других угрозах.
Пользователям следует предоставить общую платформу для отправки комментариев и идей, которые можно совместно использовать, чтобы создать более прочную основу для обеспечения безопасности и защиты критически важных инфраструктур.
В 2013 году правительство США приняло постановление «Улучшение кибербезопасности критически важной инфраструктуры», в котором уделяется приоритетное внимание управлению рисками кибербезопасности, связанными с предоставлением услуг критической инфраструктуры. Эта структура обеспечивает общую классификацию и механизм, позволяющий организациям:
- Определите их существующий уровень кибербезопасности,
- Определите свои цели по кибербезопасности,
- Классифицируйте и приоритизируйте шансы на развитие в рамках постоянного процесса, и
- Сообщите всем инвесторам о кибербезопасности.