A hackerek és az államilag támogatott szereplők folyamatosan gyengeségeket keresnek, azzal a céllal, hogy ellopják vagy manipulálják a kormányzati vagy védelmi intézményekben található érzékeny adatokat.
Amikor egyetlen behatolás is destabilizálhatja a rendszereket, az érzékeny hírszerzési információk vagy kulcsfontosságú eszközzé, vagy pusztító fegyverré válnak.
De a biztonság nem univerzális, akkor hogyan védhetjük meg ezeket az adatokat?
Ahogy a fenyegetések fejlődnek, úgy kell fejlődniük a védelmünknek is.
Olyan rendszereket kell építenünk, amelyek képesek integrálódni, skálázódni és megfelelni az egyes entitások egyedi igényeinek.
A CDS-ek (Cross-Domain Solutions) ilyen rendszerek; és a megfelelő környezetek védelmének biztosítása érdekében összetetté válhatnak.
A nagy tétek rugalmasságot és ellenálló képességet igényelnek
A tartományokon átívelő megoldás a kritikus adatok védelmére és a különböző szintű minősített környezetek közötti kommunikáció lehetővé tételére használt mechanizmus.
Ezek a rendszerek általában az alacsonyabb minősítési szinttől (korlátlan adatok) a legérzékenyebb hírszerzési adatokig (szigorúan titkos) terjednek. A keresztdomain egyik legfontosabb funkciója a magasabb minősítési szinthez tartozó tárhelykörnyezet, alkalmazás és adattárolók védelme.
Nem szabad megfeledkezni arról sem, hogy a CDS azért van, hogy biztosítsa az elszámoltathatóságot annak az egyénnek, aki úgy dönt, hogy az adatokat a magasabb besorolásból áthelyezi.
A CDS-en belül ki kell választani egy sor SEF-et (Security Enforcing Functions, azaz biztonságérvényesítő funkciók), amelyek megfelelnek az adott, több területet érintő helyzetnek.
Még a legegyszerűbb CDS-nek is lehet több összetevője.
Hogyan védi a Cross-domain a kormányzati és védelmi intézményeket?
Az érzékeny adatok veszélyeztetésének potenciális hatása miatt a CDS létfontosságú biztonsági szintet jelent a műveletek integritásának és a nemzeti eszközök biztonságának védelmében.
Import és export kockázatok
Az adatok mozgatása mindig kockázatos, de a kormányzati és védelmi szektorban a kockázatot felerősítik a fejlett képességek, amelyeket a fenyegetések szereplői alkalmazhatnak érzékeny információk kiszivárogtatására vagy megrongálására.
Ha nem sikerül biztonságosan kezelnünk az adattovábbítást, érzékeny információk szivároghatnak ki, és tudtunkon kívül jogosulatlan személyeknek adhatunk hozzáférést érzékeny környezetekhez.
Mindezen forgatókönyvekben a következmények megbéníthatják a műveleteket, veszélyeztethetik a személyzetet, vagy veszélyeztethetik a nemzetbiztonságot.
Szabályozások a kormányzatban és a védelemben
A nemzeti műszaki hatóságok elismert architektúrális mintákat és eredményeket alkalmaznak, amelyek iránymutatásul szolgálnak a kormányzatnak és a védelmi ügynökségeknek a több területet átfogó megoldások tervezése és megvalósítása során.
Az Egyesült Királyságban például a Nemzeti Kiberbiztonsági Központ (NSCS ) által meghatározott két minta létezik az adatok mozgatására:
- Adatok biztonságos importálása
- Adatok biztonságos exportálása
Az adatok importálásánál és exportálásánál kissé eltérő a hangsúly.
Az import a magas szintű (magasabb szintű) környezet védelmével foglalkozik, biztosítva a megfelelő adathigiéniát, beleértve a nulladik napi támadások felderítését.
Az adatexport az információk helyes átadására összpontosít egy magasabb szintű területről egy alacsonyabb szintű területre.
A brit intézmények védelmére épített CDS-nek ezeket a mintákat kell követnie, amelyeket egy modulárisabb kiberbiztonsági architektúra könnyen támogathat.
Nem az Egyesült Királyság az egyetlen régió, ahol ilyen minták vannak érvényben.
Az Egyesült Államok Nemzeti Területközi Stratégiai és Irányítási Hivatala saját szabványokat és útmutató dokumentumokat dolgozott ki a CDS-architektúrára vonatkozóan, akárcsak a NATO.
Bár ezek a minták bizonyos mértékig eltérnek, hasonlóságokat mutatnak más országok és regionális CDS-minták között.
Egy ilyen szigorúan szabályozott környezetben az adattárhely-szolgáltatóknak olyan rendszert kell kiépíteniük, amely biztosítja a működő CDS-hez szükséges ellenálló képességet, auditálhatóságot és skálázhatóságot.
Egy ilyen rendszer esetében a moduláris szoftver- és hardverkomponensek kombinációja személyre szabottabb megközelítést tesz lehetővé, amely megfelel a tervezési mintáknak, és lehetővé teszi a funkcionális bővítést és alkalmazkodást, ahogy a területközi igények száma növekszik.
Miért jelent kihívást a Cross-domain?
Még ha a CDS előre meghatározott mintákra támaszkodik is, a rendszer megtervezése nem egyszerű.
A múltban a CDS csak két érdekközösséget jelentett, amelyek korlátozott mennyiségű adatot cseréltek két osztályozás között.
Egy hardverközpontúbb, statikus megoldás természetesen alkalmasabb volt.
Egy ilyen helyzetben lévő megoldás akkreditálása könnyebb feladatnak tekinthető, mint egy összetettebb CDS.
Bármilyen egyszerűen hangzik is ez, a kis, egymásra épülő megoldások elszaporodásához vezethet, amelyek nem egyesíthetők, és problémássá válnak a kezelésükben.
Napjainkban a COI-k sokszínűbbek, az átvitelhez szükséges adattípusok tömegesen bővültek, és az alacsony és magas oldali tárhelyek platformjai a felhőalapú technológiák előnyeit használják ki.
A fenyegetések fejlődésével együtt a hosszú élettartamú CDS kialakítása modulárisabb és összehangoltabb megközelítést igényel.
Megnövekedett adattípusok és mennyiségek
A kormányzati és védelmi szervezetek által igényelt adatok sokféle típusúak, és számtalan forrásból származhatnak.
Ezen adatok egy része szabványos felhasználó-alapú munkaterhelés, például irodai termelékenységi fájlok. Más típusok rendszeralapú munkaterhelések, például rendszerfrissítések vagy kódalapú fájlok lesznek, míg egyesek térinformatikai, parancsnoki és irányítási adatok, és tartalmazhatnak több szabadalmaztatott formátumot is.
A tartományokon átnyúló megoldásoknak képesnek kell lenniük a formátumok bármelyikének biztonságos kezelésére, gyakran kétoldalúan, valamint arra, hogy szükség esetén rugalmasan hozzá lehessen adni új típusokat. A volumenek is változhatnak - a korlátozottabb, statikusabb megoldások jól körülhatárolt és érthető volumenekkel rendelkezhetnek, de a nagyobb, dinamikusabb megoldások jelentős eltéréseket mutathatnak.
A skálázhatóság kulcsfontosságúvá válik ezekben a környezetekben, ahol a megoldás a biztonságos, de skálázható szoftver és hardver keveréke, a szükséges SEF-ek elérése érdekében, de bővíthető módon.
Felmerülő fenyegetések
A nemzetállami szereplők mindig is törekedni fognak érzékeny adatok megszerzésére vagy megzavarására.
Magukat az adatokat, az adattárolást vagy a felhasználó alkalmazásokat fogják célba venni.
Minél érzékenyebbek az adatok, annál nagyobb a biztonsági hatás, legyen az személyes, országos vagy regionális, ami személyek, eszközök és kereskedelem veszélyeztetéséhez vezethet.
Míg a hagyományos biztonsági intézkedések a titkosított környezetekben megelőzhetnek bizonyos incidenseket, a különböző biztonsági szintek közötti adatmozgás sebezhetőségeket teremt. Ez lehetőséget ad a fenyegető szereplőknek az adatok megzavarására.
Az adatok integritásának (nem csak a titkosságának) biztosítása a legfontosabb. A homályosítás (titkosítás) nem azonos a "helyes" adathalmazzal, és a "helyes tartalom" követelménye a CDS egyik fő célja.
Az alacsonyabb osztályozási környezetek gyakran érzékenyebbek a rosszindulatú szoftverek fertőzéseire és az adatmanipulációs kísérletekre, ezért alapvető fontosságú az adathigiénia biztosítása, amikor az adatok az osztályozások között haladnak.
Ahogy az adatok a bizalmi határokat átlépik, a CDS-nek olyan funkciókat kell meghívnia, amelyek biztosítják az adatok higiéniáját, megakadályozva a magasabb osztályozási környezet és az adatkészletek veszélyeztetését.
Új működési modellek
Az adatok végleges elkülönítése ritkán hatékony, ha zökkenőmentes, területek közötti együttműködésre van szükség.
Az adatok elemzésének és összesítésének üzleti igénye megköveteli, hogy a kormányzati és védelmi szervek adatokat importáljanak és exportáljanak a különböző bizalmi szintek között.
Ebben az összefüggésben a CDS-nek nemcsak a gyorsan változó fenyegetésekhez, hanem a gyorsan fejlődő működési modellekhez is alkalmazkodnia kell.
OPSWAT Megoldása a domainek közötti kihívásokra
A teljes mértékben működőképes CDS-nek közvetítőként kell működnie, egyensúlyt teremtve az adatokhoz való operatív hozzáférés iránti igény és az adattartalom ellenőrzésének más SEF-ekkel együtt történő, gyors és automatikus elvégzésének képessége között.
MetaDefender Core köré épülő, rendkívül konfigurálható összetevőivel, amelyek számos tárhelykörnyezetben telepíthetők, OPSWAT lehetővé teszi egy moduláris, tartományokon átívelő architektúra kiépítését.
A keresőoptimalizálási funkciókat a következők által kínált lehetőségek közül szabhatja testre OPSWAT , biztosítva, hogy adatait kompromisszumok nélkül védhesse.
A OPSWAT A portfólió számos SEF-et kínál, amelyek rétegezhetők az adatvédelem növelése érdekében, az adatok és a környezet érzékenységétől függően.
OPSWAT A szabadalmaztatott Metascan™ Multiscanning és Deep CDR™ technológiái az ismert fenyegetéseket keresve átvizsgálják az adatokat, és eltávolítják a rosszindulatú programokat, kiegészítve az alkalmazott egyéb adatellenőrzési technikákat.
Érzékenyebb fájlok esetében az emuláción alapuló Adaptive Sandbox ellenőrzött környezetben értékeli a fájlokat, lehetővé téve a viselkedésük megfigyelését anélkül, hogy rosszindulatú programokat engedne a környezetbe.
A döntés további kontextusának megteremtése érdekében OPSWAT a következőket is képes biztosítani Threat Intelligence funkciókat, amelyek valóban megvilágítják az importált adatokat. OPSWAT segítségével betekintést nyerhet a származási országba, a fájl IoC-jébe és a sebezhetőségekbe.
Adatbevitel
Az adatok bevitele és kinyerése egy több tartományt átfogó megoldásba gyakran figyelmen kívül marad.
MetaDefender Storage Security (MDSS) és MetaDefender Managed File TransferMFT) az OPSWATS csatlakozó és API technikák közé tartoznak, amelyek a szabványos tárolást foglalják magukban, és a MetaDefender Core és a SEF-ek segítségével az adatokat számos biztonsági ellenőrzésen keresztül áramoltatják.
A Media a mi MetaDefender Kiosk termék, amely megvédi kritikus hálózatát és eszközeit a perifériás és cserélhető adathordozók fenyegetéseitől. Percenként +13 000 fájlt vizsgál be, így az adatmennyiség nem jelent problémát.
Tartalomszűrés
A tartalomszűrés magában foglalja a szintaktikai és szemantikai ellenőrzést, valamint a CDR-technikákat.
A szintaktikai és szemantikai ellenőrzések akkor működnek a legjobban, ha az adatokat egyszerűsítjük egy könnyen vizsgálható formára – ezt a folyamatot transzformációnak nevezzük. A szűrés a felhasználóalapú, transzformálható munkaterhelések esetén a leghatékonyabb.
Míg a CDS-nek mind a felhasználói, mind a rendszer alapú munkaterheléseket kezelnie kell, különböző biztonság-érvényesítő funkciókat (SEF) kell kombinálni az egyes típusok megfelelő megtisztításához. Ez könnyen konfigurálható és kezelhető a következő használatával: MetaDefender Core .
Kontextus, nem ítéletek
OPSWAT megoldásai egy további adatelemzési réteggel jelennek meg a kiberbiztonsági környezetben.
Ezek a megoldások nem pusztán a megelőzésre és a védelemre épülnek. Biztosítják a jobb hosszú távú döntéshozatalhoz szükséges kontextust.
A fenyegetésekkel kapcsolatos információkat a származási országra vonatkozó vizsgálatok, a sebezhetőségi vizsgálatok és az ellátási láncra vonatkozó információk révén kapjuk meg.
Ne cseréld le; javítsd
A CDS cseréje költséges és frusztráló tevékenység lehet.
OPSWAT szoftvervezérelt megközelítése megkönnyíti a megoldások fejlesztését azáltal, hogy további biztonsági rétegeket ad hozzá a meglévő funkciókhoz.
A MetaDefender Platform lehetővé teszi, hogy az Ön igényei szerint csatlakoztassa vagy kiválassza a termékeket. Az architektúra nincs kőbe vésve; olyan képlékeny és adaptálható, amennyire a CDS-nek szüksége van rá. A MetaDefender Core az Ön hardver-agnosztikus partnere, amely skálázhatósággal és a személyre szabott megoldások kialakításának képességével rendelkezik.
Az OPSWATnagymértékben konfigurálható komponensei számos tárhelyen telepíthetők, lehetővé téve a skálázhatóságot, amikor az adattípusok és -mennyiségek változnak.A Netwall diódacsalád zökkenőmentesen integrálódik a MetaDefender termékekbe, és a jelenlegi képességek bővítése érdekében számos tartományközi hardverrel is együttműködik.
Lépjen kapcsolatba még ma egy szakértővel, hogy megtudja, hogyan biztosíthat OPSWAT kritikus és taktikai előnyt a tartományok közötti biztonság terén.
GYIK
Mi az a CDS (cross-domain megoldás)?
A tartományok közötti megoldás vagy CDS a kritikus adatok védelmére és a biztonsági osztályozások és/vagy bizalmi szintek által elválasztott tartományok, rendszerek vagy hálózatok közötti kommunikáció lehetővé tételére használt mechanizmus.
Mire használják a cross-domain megoldást?
A CDS-eket kormányzati és védelmi intézmények használják az érzékeny vagy minősített információk biztonsági tartományok közötti biztonságos átvitelére, miközben szigorú házirend-kényszerítést tartanak fenn, és megakadályozzák a jogosulatlan hozzáférést vagy az adatszivárgást.
Hogyan működnek a domainek közötti megoldások?
A CDS-ek hardver- és szoftverkomponenseket - például szűrőket, adatvédőket és adatdiódákat- alkalmaznak az adatok átalakítására, ellenőrzésére és biztonságos továbbítására különböző tartományokon keresztül.
Miért fontosak a több domainre kiterjedő megoldások?
A tartományokon átívelő megoldások kulcsfontosságúak az adatmegosztás operatív igényének megkönnyítéséhez, miközben a biztonságot érzékeny környezetben is fenntartják.
Milyen lehetséges kockázatok és kihívások merülhetnek fel a CDS-sel kapcsolatban?
A CDS kihívásai közé tartozik az örökölt rendszerekkel való integráció, a megnövekedett adatmennyiség, az új működési modellek, a késleltetés kezelése és a fejlődő fenyegetések.
Melyek egy több domainre kiterjedő megoldás fő összetevői?
Az Core összetevők közé tartoznak az ellenőrzött interfészek, a tartalomszűrő mechanizmusok, az egyirányú vezérlés és a protokolltörés, valamint opcionálisan az AV-ellenőrzés.
Minden komponensnek naplózási kimenetet kell biztosítania, amely lehetővé teszi a tranzakció végponttól végpontig történő nyomon követését; a CDS-ek által igényelt másodlagos funkciók közé tartozhat a hozzáférés-szabályozás, az adattitkosítás, az auditálás, az adattranszformáció és a biztonságos protokollok. A tárhelyfunkciókat biztosítani és karbantartani kell.
Mi az a magas szintű biztosíték egy CDS-ben?
A magas szintű biztonságot nyújtó őr olyan biztonsági eszköz, amelyet biztonságosan terveztek meg, amely önálló eszköz, és számos SEF-et érvényesít, beleértve az egyirányú ellenőrzést, a protokollszüneteket és a tartalomszűrés bizonyos szintjét. A teljesebb funkcionalitás biztosításához további szoftverkomponenseket - szükség esetén valószínűleg adatellenőrzést és tartalomszűrést - kell integrálni a biztonsági őrrel.
Mi a vezérelt interfész egy CDS-ben?
Egy ellenőrzött interfész szabályozza a különböző biztonsági tartományok közötti adatkommunikációt, biztosítva, hogy a tartalom megfeleljen a szabályzatoknak, és az átvitel során ne lehessen azt manipulálni vagy visszaélni vele.
Mi a tartalomszűrés egy CDS-ben?
A tartalomszűrés magában foglalja az adatok szkennelését, érvényesítését és tisztítását, hogy megakadályozza a rosszindulatú kódok, a bizalmas információk szivárgását vagy a nem megfelelő tartalmak domaineken való átjutását.
Mik azok a biztonságot érvényesítő funkciók (SEF-ek) a CDS-ben?
A SEF egy olyan speciális funkció, amelyre szükség van, általában a SEF-ek láncolatának részeként, amely hozzájárul ahhoz, hogy a CDS-en áthaladó bejövő vagy kimenő adatok a konkrét célnak megfelelően "tiszták" legyenek. A tartalomszűrő SEF például mélyrehatóan megvizsgálja az adatokat, biztosítva, hogy bizonyos strukturális és/vagy szemantikai kritériumok teljesüljenek.
Mi a különbség a kétirányú és az egyirányú adatfolyamok között?
Az egyirányú áramlások - amelyeket olyan eszközök, mint az adat- vagy optikai diódákerősítenek meg - csakegyirányú átvitelt tesznek lehetővé, ami erősebb elszigetelést és biztonságot nyújt.
Az egyirányú áramlások vagy alacsonyabb osztályozásúak magasabb osztályozásúak felé, vagy magasabb osztályozásúak alacsonyabb osztályozásúak felé. Az áramlást megvalósító SEF-ek láncolata diszkrét, és funkciójukat általában nem osztják meg a környezet más funkcióival. Egy importáramlásnak más lehet a hangsúlya (a SEF-ek szempontjából), mint egy exportáramlásnak.
A kétirányú áramlások diszkrét import- és exportáramlásokból állnak.
Hogyan integrálódnak a CDS-ek a meglévő hálózati infrastruktúrába?
A CDS-t úgy tervezték, hogy kompatibilis legyen a meglévő rendszerekkel, különösen az alsó szinten (az alacsonyabb osztályozási környezetben), ahol a rendszer egy vállalati környezet egy szegmentált részében lehet. A magas oldal (magasabb minősítésű) gyakran légréses és/vagy erősen szegmentált lehet, ami gyakran más támogató funkciókat és integrációt igényel, mint a CDS alacsony oldala.
Melyek a CDS megvalósításának főbb megközelítései?
A CDS-ek a szervezet kockázati hajlandóságától, skálázhatósági és késleltetési követelményeitől függően csak hardverrel vagy hardvert és szoftvert tartalmazó hibrid megoldással is megvalósíthatók.
Mi a különbség a hardveres és a szoftveres CDS-ek között?
A Hardware CDS-ek nagyobb elszigeteltséget és hamisítás-ellenességet biztosítanak, és gyakran kifejezetten erre a célra kifejlesztett eszközöket használnak. A Software CDS-ek nagyobb alkalmazkodóképességet biztosítanak, lehetővé téve a szélesebb körű skálázhatósággal rendelkező virtuális vagy felhőalapú telepítési modelleket.
Milyen telepítési modellek léteznek a CDS-ekhez?
A két fő modell a helyhez kötött CDS-ek állandó telepítésre, illetve a mobilitásra, robosztus kialakításra és ideiglenes missziós környezetekre tervezett taktikai CDS-ek.
Hogyan támogatják a CDS-ek a légréses hálózatokat?
A CDS-ek lehetővé teszik a biztonságos fájl- és adatátvitelt az elszigetelt, légmentesített rendszerek között, ellenőrzött eszközök (pl. adatdiódák) és cserélhető adathordozók használatával, amelyeket az átvitel előtt átvizsgálnak és szűrnek.
Mely iparágakban alkalmaznak területközi megoldásokat?
A CDS-eket elsősorban a kormányzati és a védelmi ipar számára hozzák létre. Néhány CDS-összetevőt azonban az energiaiparban, a közműveknél, az egészségügyben, a pénzügyekben, a távközlésben és a légi közlekedésben is integrálnak - mindenhol, ahol biztonságos kommunikációra van szükség a bizalmi szinteken átívelő kommunikációban.
Hogyan teszik lehetővé a CDS-ek a biztonságos információmegosztást a kormányzatban és a védelemben?
A CDS-ek megkönnyítik a valós idejű hírszerzési információk megosztását és az operatív koordinációt a minősített és nem minősített rendszerek között, támogatva az ügynökségek közötti együttműködést, a nemzetbiztonságot és a jogszabályoknak való megfelelést.
Milyen példái vannak a CDS-ek működési alkalmazásának?
A CDS-eket a műholdas hírszerzési adatoknak a minősített hálózatokról a nem minősített hálózatokra történő átvitelére, a koalíciós missziók koordinálására és a műveleti forgatókönyvek során történő biztonságos adatcserére használják.
Milyen előnyei vannak a CDS használatának?
A legfontosabb előnyök közé tartozik a fokozott biztonság, a belső fenyegetés csökkentése, a szabályozásoknak való megfelelés, a zökkenőmentes adatátjárhatóság, a valós idejű együttműködés és a jobb döntéshozatal.
Hogyan csökkentik a CDS-ek a belső fenyegetések kockázatát?
A CDS-ek szigorú hozzáférés-szabályozást, adatszűrést és ellenőrzési naplózást biztosítanak, amelyek megakadályozzák az adatok jogosulatlan mozgását - még a megbízható felhasználók részéről is -, csökkentve a belső fenyegetéseket és javítva a láthatóságot.
Megfelelnek-e a CDS-ek a kiberbiztonsági előírásoknak?
Igen, a CDS-eket úgy tervezték, hogy összhangban legyenek a kiberbiztonsági keretrendszerekkel és szabványokkal, mint például a NIST RMF, a GDPR, a HIPAA és a DoD Raise the Bar. Segítenek a szervezeteknek a biztonságos, szabályzatoknak megfelelő adatcsere érvényesítésében.
Mi az a „Rá kell emelni a lécet” kezdeményezés?
Ez egy amerikai kormányzati kezdeményezés, amelynek célja a CDS biztonságának és hatékonyságának javítása szigorúbb szabványok és tanúsítási követelmények meghatározásával a szállítók és a technológiák számára.
