Проблема конечного узла

Проблема конечного узла возникает, когда отдельные компьютеры используются для конфиденциальной работы и/или временно становятся частью надежной, хорошо управляемой сети/облака, а затем используются для более рискованных действий и/или присоединяются к ненадежным сетям. (Отдельные компьютеры на периферии сетей/облаков называются конечными узлами.) Конечные узлы часто не управляются в соответствии с высокими стандартами компьютерной безопасности надежной сети. ^[1] Конечные узлы часто имеют слабое/устаревшее программное обеспечение, слабые инструменты безопасности, чрезмерные разрешения, неправильные конфигурации, сомнительный контент и приложения, а также скрытую эксплуатацию. ^[2] Перекрестное загрязнение и несанкционированный выпуск данных из компьютерной системы становятся проблемой.

В обширной киберэкосистеме эти конечные узлы часто временно подключаются к одному или нескольким облакам/сетям, некоторые из которых заслуживают доверия, а другие нет. Вот несколько примеров: корпоративный настольный компьютер, просматривающий Интернет, корпоративный ноутбук, проверяющий корпоративную веб-почту через открытую точку доступа Wi-Fi в кофейне , персональный компьютер, используемый для удаленной работы днем и игр ночью, или приложение в смартфоне/планшете (или любая из предыдущих комбинаций использования/устройства). Даже если они полностью обновлены и надежно заблокированы, эти узлы могут пересылать вредоносное ПО из одной сети (например, поврежденную веб-страницу или зараженное сообщение электронной почты) в другую, чувствительную сеть. Аналогичным образом, конечные узлы могут извлекать конфиденциальные данные (например, регистрировать нажатия клавиш или делать снимки экрана ). Если предположить, что устройство полностью заслуживает доверия, конечный узел должен предоставить средства для надлежащей аутентификации пользователя. Другие узлы могут выдавать себя за доверенные компьютеры, тем самым требуя аутентификации устройства . Устройство и пользователь могут быть доверенными, но в ненадежной среде (что определяется обратной связью встроенных датчиков). В совокупности эти риски называются проблемой конечного узла. Существует несколько способов решения этой проблемы, но все они требуют внедрения доверия к конечному узлу и передачи этого доверия в сеть/облако.

Самое слабое звено облака

Облачные вычисления можно охарактеризовать как огромный, кажущийся бесконечным, массив обработки и хранения, который можно арендовать со своего компьютера. Недавнее внимание СМИ ^{[ когда? ]} было сосредоточено на безопасности в облаке. ^[3] Многие считают, что реальный риск заключается не в хорошо контролируемом, круглосуточно управляемом, полностью избыточном облачном хосте, а во многих сомнительных компьютерах, которые получают доступ к облаку. ^[4]^[5] Многие такие облака сертифицированы FISMA , тогда как конечные узлы, подключающиеся к ним, редко настраиваются в соответствии с каким-либо стандартом. ^{[ требуется ссылка ]}

Постоянно растущий риск

С 2005 по 2009 год наибольшие и растущие угрозы для личных и корпоративных данных исходили от эксплойтов персональных компьютеров пользователей. Организованные киберпреступники обнаружили, что более выгодно использовать внутренние уязвимости множества слабых персональных и рабочих компьютеров, чем атаковать через сильно укрепленные периметры. ^[6] Одним из распространенных примеров является кража доступа к онлайн-банковским счетам малого бизнеса. ^[7]

Решения

Чтобы устранить проблему конечного узла, разрешайте подключаться к вашей сети/облаку только аутентифицированным пользователям на доверенных удаленных компьютерах в безопасных средах. Существует много способов сделать это с помощью существующих технологий, каждый из которых имеет разные уровни доверия.

Многие компании выпускают типичные ноутбуки и разрешают удаленное подключение только этим конкретным компьютерам. Например, Министерство обороны США разрешает своим удаленным компьютерам подключаться к своей сети только через VPN (без прямого просмотра Интернета) и использует двухфакторную аутентификацию . ^[8] Некоторые организации используют серверные инструменты для сканирования и/или проверки компьютера конечного узла ^{[ требуется ссылка ] , например, взаимодействуя с}доверенным платформенным модулем (TPM) узла .

Гораздо более высокий уровень доверия может быть достигнут путем создания неизменяемого, защищенного от несанкционированного доступа клиента ^{[ постоянная мертвая ссылка‍ ]} без локального хранилища, позволяющего ему подключаться только после аутентификации устройства и пользователя, удаленного предоставления ОС и программного обеспечения (через PXE или Etherboot ), а затем предоставления только удаленного доступа к рабочему столу или браузеру для доступа к конфиденциальным данным.

Менее затратный подход — доверять любому оборудованию (корпоративному, государственному, личному или общественному), но предоставлять известное ядро и программное обеспечение и требовать строгой аутентификации пользователя. Например, инициатива по защите программного обеспечения DoD [ ^9] предлагает Lightweight Portable Security , LiveCD , который загружается только в ОЗУ, создавая чистый, непостоянный конечный узел, используя программное обеспечение Common Access Card для аутентификации в сетях DoD.

Смотрите также

Ссылки

^ Тим Фишер (12 декабря 2018 г.). «Что такое узел в компьютерной сети: ваш компьютер и принтер являются сетевыми узлами» . Получено 24 декабря 2018 г.
^ Наталия Хшановска (23 марта 2017 г.). «Зачем использовать Node.js: плюсы и минусы выбора Node.js для бэкенд-разработки» . Получено 24 декабря 2018 г.
^ «Насколько безопасны облачные вычисления?».
^ "Архитектура сверху вниз". Архивировано из оригинала 2021-08-13 . Получено 2014-01-07 .
^ "Пользователи VPN: слабое звено в сетевой безопасности?". Архивировано из оригинала 2009-05-11 . Получено 2010-02-06 .
^ «Бизнес-информация и ресурсы» (PDF) .
^ "Киберворы воруют из большого процента малого бизнеса". USA Today . 9 марта 2010 г.
^ "Политика виртуальной частной сети (VPN) Форт-Силл". Архивировано из оригинала 2011-06-17 . Получено 2010-02-06 .
^ Инициатива по защите программного обеспечения Министерства обороны США. Архивировано 13 мая 2010 г. на Wayback Machine.

[Tim_Fisher-1] Тим Фишер (12 декабря 2018 г.). «Что такое узел в компьютерной сети: ваш компьютер и принтер являются сетевыми узлами» . Получено 24 декабря 2018 г.

[Natalia_Chrzanowska-2] Наталия Хшановска (23 марта 2017 г.). «Зачем использовать Node.js: плюсы и минусы выбора Node.js для бэкенд-разработки» . Получено 24 декабря 2018 г.

[3] «Насколько безопасны облачные вычисления?».

[4] "Архитектура сверху вниз". Архивировано из оригинала 2021-08-13 . Получено 2014-01-07 .

[5] "Пользователи VPN: слабое звено в сетевой безопасности?". Архивировано из оригинала 2009-05-11 . Получено 2010-02-06 .

[6] «Бизнес-информация и ресурсы» (PDF) .

[7] "Киберворы воруют из большого процента малого бизнеса". USA Today . 9 марта 2010 г.

[8] "Политика виртуальной частной сети (VPN) Форт-Силл". Архивировано из оригинала 2011-06-17 . Получено 2010-02-06 .

[9] Инициатива по защите программного обеспечения Министерства обороны США. Архивировано 13 мая 2010 г. на Wayback Machine.