Стратегии кибербезопасности

Для разработки и реализации безопасного киберпространства были приняты некоторые строгие стратегии. В этой главе объясняются основные стратегии, используемые для обеспечения кибербезопасности, которые включают следующее:

  • Создание безопасной киберэкосистемы
  • Создание основы доверия
  • Поощрение открытых стандартов
  • Укрепление нормативной базы
  • Создание механизмов информационной безопасности
  • Обеспечение безопасности услуг электронного управления
  • Защита критически важной информационной инфраструктуры

Стратегия 1 - Создание безопасной киберэкосистемы

Киберэкосистема включает в себя широкий спектр различных объектов, таких как устройства (коммуникационные технологии и компьютеры), отдельные лица, правительства, частные организации и т. Д., Которые взаимодействуют друг с другом по многим причинам.

Эта стратегия исследует идею наличия сильной и надежной кибер-экосистемы, в которой кибер-устройства могут работать друг с другом в будущем для предотвращения кибератак, снижения их эффективности или поиска решений для восстановления после кибератаки.

Такая кибер-экосистема будет иметь встроенную в ее кибер-устройства способность, позволяющую организовывать защищенные способы действий внутри групп устройств и между ними. За этой киберэкосистемой можно наблюдать с помощью существующих методов мониторинга, в которых программные продукты используются для обнаружения и сообщения о слабых местах безопасности.

Сильная кибер-экосистема имеет три симбиотических структуры: Automation, Interoperability, и Authentication.

  • Automation - Это упрощает внедрение передовых мер безопасности, увеличивает скорость и оптимизирует процессы принятия решений.

  • Interoperability- Это ужесточает совместные действия, улучшает осведомленность и ускоряет процедуру обучения. Есть три типа взаимодействия:

    • Семантический (т. Е. Общий лексикон, основанный на общем понимании)
    • Technical
    • Политика - важна для ассимиляции различных участников в инклюзивную структуру киберзащиты.
  • Authentication - Он улучшает технологии идентификации и проверки, которые работают, чтобы обеспечить:

    • Security
    • Affordability
    • Легкость использования и администрирования
    • Scalability
    • Interoperability

Сравнение атак

В следующей таблице показано сравнение категорий атак с желаемыми возможностями киберэкосистемы.

Пример использования

Следующая диаграмма была подготовлена Guilbert Gates for The New York Times, который показывает, как иранский завод был взломан через Интернет.

Explanation- Была разработана программа для автоматического запуска иранской атомной станции. К сожалению, рабочий, не подозревавший об угрозах, внедрил программу в контроллер. Программа собрала все данные, связанные с растением, и отправила информацию в спецслужбы, которые затем разработали и внедрили в растение червя. Используя червя, злоумышленники управляли растением, что привело к появлению большего количества червей, и в результате растение полностью отказало.

Типы атак

В следующей таблице описаны категории атак -

Категория атаки Описание атаки
Потертость

Методы, используемые для повреждения сетей и систем. Он включает в себя следующее -

  • распределенные атаки типа "отказ в обслуживании"
  • нарушать или запрещать доступ к службе или приложению
  • атаки истощения ресурсов
Вредоносное ПО Любое вредоносное программное обеспечение, используемое для прерывания нормальной работы компьютера и нанесения вреда информационным активам без согласия владельца. Любое выполнение со съемного устройства может усилить угрозу вредоносного ПО.
Взлом

Попытка намеренно использовать слабые места для получения неэтичного доступа, обычно осуществляемая удаленно. Это может включать -

  • атаки с утечкой данных
  • инъекционные атаки и злоупотребление функциональностью
  • spoofing
  • временные атаки
  • атаки на буфер и структуру данных
  • манипулирование ресурсами
  • использование украденных учетных данных
  • backdoors
  • словарные атаки на пароли
  • использование аутентификации
Социальная тактика

Использование социальных тактик, таких как обман и манипуляции, для получения доступа к данным, системам или элементам управления. Он включает -

  • предварительное текстовое сообщение (поддельные опросы)
  • подстрекательство к фишингу
  • получение информации через разговор
Неправильное использование (внутренняя угроза)

Неправильное использование прав на данные и средства управления отдельным лицом в организации, которое нарушит политику организации. Он включает -

  • установка неавторизованного программного обеспечения
  • удаление конфиденциальных данных
Физические действия / потеря или кража оборудования

Атаки, управляемые людьми, такие как -

  • украденные удостоверения личности и кредитные карты
  • возня или замена считывателей карт и терминалов в торговых точках
  • вмешательство в работу датчиков
  • кража вычислительного устройства, используемого организацией, например ноутбука
Множественный компонент Методы одиночного подключения, которые содержат несколько передовых методов и компонентов атаки.
разное

Такие атаки, как -

  • атаки на цепочку поставок
  • сетевое расследование

Стратегия 2 - Создание основы доверия

Цель этой стратегии - разработать схему в соответствии с мировыми стандартами безопасности с помощью традиционных продуктов, процессов, людей и технологий.

Чтобы удовлетворить требования национальной безопасности, национальная структура, известная как Cybersecurity Assurance Frameworkбыл развит. Он позволяет организациям критически важной инфраструктуры и правительствам принимать меры по поддержке и поддержке.

EnablingДействия совершаются государственными органами, которые являются автономными органами, свободными от коммерческих интересов. Публикация «Требований соответствия политике национальной безопасности», а также руководств и документов по ИТ-безопасности для обеспечения реализации и соблюдения требований ИТ-безопасности осуществляется этими органами.

Endorsing действия, связанные с прибыльными услугами после соответствия обязательным квалификационным стандартам, включают следующее:

  • Сертификация СМИБ ISO 27001 / BS 7799, аудит системы ИБ и т. Д., Которые по сути являются сертификатами соответствия.

  • Стандарт «Common Criteria» ISO 15408 и стандарты проверки модулей Crypto, которые представляют собой оценку и сертификацию продукта IT Security.

  • Услуги по оказанию помощи потребителям во внедрении ИТ-безопасности, например обучение персонала ИТ-безопасности.

Сертификация доверенной компании

Индийские IT / ITES / BPO должны соответствовать международным стандартам и лучшим практикам в области безопасности и конфиденциальности с развитием рынка аутсорсинга. ISO 9000, CMM, Six Sigma, Total Quality Management, ISO 27001 и т. Д. - вот некоторые из них.

Существующие модели, такие как уровни SEI CMM, предназначены исключительно для процессов разработки программного обеспечения и не решают проблем безопасности. Поэтому предпринимаются некоторые попытки создать модель, основанную на концепции самосертификации и на принципах модели зрелости программных возможностей (SW-CMM) CMU, США.

Структура, созданная в результате такой ассоциации между промышленностью и правительством, включает следующее:

  • standards
  • guidelines
  • practices

Эти параметры помогают владельцам и операторам критически важной инфраструктуры управлять рисками, связанными с кибербезопасностью.

Стратегия 3 - Поощрение открытых стандартов

Стандарты играют важную роль в определении того, как мы подходим к вопросам, связанным с информационной безопасностью, в разных географических регионах и обществах. Открытые стандарты поощряются:

  • Повышение эффективности ключевых процессов,
  • Разрешить внедрение систем,
  • Предоставьте пользователям среду для измерения новых продуктов или услуг,
  • Организуйте подход к размещению новых технологий или бизнес-моделей,
  • Интерпретировать сложные среды и
  • Поддерживайте экономический рост.

Стандарты, такие как ISO 27001 [3], способствуют внедрению стандартной организационной структуры, в которой клиенты могут понимать процессы, и сокращать затраты на аудит.

Стратегия 4 - Укрепление нормативной базы

Цель этой стратегии - создать безопасную экосистему киберпространства и укрепить нормативно-правовую базу. Предусмотрен механизм 24X7 для борьбы с киберугрозами через Национальный центр защиты критической информационной инфраструктуры (NCIIPC). Группа реагирования на компьютерные чрезвычайные ситуации (CERT-In) была назначена в качестве узлового агентства по управлению кризисами.

Некоторые основные моменты этой стратегии заключаются в следующем:

  • Продвижение исследований и разработок в области кибербезопасности.

  • Развитие человеческих ресурсов через образовательные и обучающие программы.

  • Поощрение всех организаций, государственных или частных, к назначению человека в качестве главного сотрудника по информационной безопасности (CISO), который будет отвечать за инициативы по кибербезопасности.

  • Вооруженные силы Индии находятся в процессе создания киберкомандования в рамках усиления кибербезопасности оборонной сети и объектов.

  • Эффективная реализация государственно-частного партнерства находится в стадии разработки, что во многом поможет в создании решений для постоянно меняющегося ландшафта угроз.

Стратегия 5 - Создание механизмов ИТ-безопасности

Некоторые основные механизмы, которые используются для обеспечения ИТ-безопасности, - это меры безопасности, ориентированные на каналы, меры сквозной безопасности, меры, ориентированные на ассоциации, и шифрование данных. Эти методы различаются по своим внутренним функциям применения, а также по атрибутам безопасности, которые они обеспечивают. Обсудим их кратко.

Ориентированные на ссылки показатели

Он обеспечивает безопасность при передаче данных между двумя узлами, независимо от конечного источника и места назначения данных.

Комплексные меры

Это среда для передачи блоков данных протокола (PDU) защищенным способом от источника к месту назначения таким образом, чтобы нарушение любого из их каналов связи не нарушало безопасности.

Ассоциативно-ориентированные меры

Меры, ориентированные на ассоциации, представляют собой модифицированный набор комплексных мер, которые защищают каждую ассоциацию в отдельности.

Шифрование данных

Он определяет некоторые общие особенности обычных шифров и недавно разработанного класса шифров с открытым ключом. Он кодирует информацию таким образом, что только уполномоченный персонал может ее расшифровать.

Стратегия 6 - Обеспечение безопасности услуг электронного управления

Электронное управление (электронное управление) - это наиболее ценный для правительства инструмент для подотчетного предоставления государственных услуг. К сожалению, в текущем сценарии в Индии нет специальной правовой структуры для электронного управления.

Точно так же в Индии нет закона об обязательной электронной доставке государственных услуг. И нет ничего более опасного и хлопотного, чем реализация проектов электронного управления без достаточной кибербезопасности. Следовательно, обеспечение безопасности услуг электронного управления стало важнейшей задачей, особенно когда в стране ежедневно совершаются транзакции с помощью карт.

К счастью, Резервный банк Индии внедрил меры безопасности и снижения рисков для карточных транзакций в Индии, которые вступают в силу с 1 октября 2013 года. Он возложил ответственность за обеспечение безопасных карточных транзакций на банки, а не на клиентов.

«Электронное правительство» или электронное правительство относится к использованию информационных и коммуникационных технологий (ИКТ) государственными органами в следующих целях:

  • Эффективное предоставление государственных услуг
  • Повышение внутренней эффективности
  • Легкий обмен информацией между гражданами, организациями и государственными органами
  • Реструктуризация административных процессов.

Стратегия 7 - Защита критически важной информационной инфраструктуры

Важная информационная инфраструктура - это основа национальной и экономической безопасности страны. Сюда входят электростанции, шоссе, мосты, химические заводы, сети, а также здания, в которых ежедневно работают миллионы людей. Их можно защитить с помощью строгих планов сотрудничества и дисциплинированного внедрения.

Для защиты критически важной инфраструктуры от развития киберугроз необходим структурированный подход. Требуется, чтобы правительство активно сотрудничало с государственным и частным секторами на регулярной основе для предотвращения, реагирования и координации усилий по смягчению последствий попыток сбоев и неблагоприятных воздействий на критически важную инфраструктуру страны.

Требуется, чтобы правительство работало с владельцами бизнеса и операторами, чтобы усилить их услуги и группы, делясь информацией о киберугрозах и других угрозах.

Пользователям следует предоставить общую платформу для отправки комментариев и идей, которые можно совместно использовать, чтобы создать более прочную основу для обеспечения безопасности и защиты критически важных инфраструктур.

В 2013 году правительство США приняло постановление «Улучшение кибербезопасности критически важной инфраструктуры», в котором уделяется приоритетное внимание управлению рисками кибербезопасности, связанными с предоставлением услуг критической инфраструктуры. Эта структура обеспечивает общую классификацию и механизм, позволяющий организациям:

  • Определите их существующий уровень кибербезопасности,
  • Определите свои цели по кибербезопасности,
  • Классифицируйте и приоритизируйте шансы на развитие в рамках постоянного процесса, и
  • Сообщите всем инвесторам о кибербезопасности.