Проблема конечного узла - End node problem
В проблема конечного узла возникает, когда отдельные компьютеры используются для конфиденциальной работы и / или временно становятся частью надежной, хорошо управляемой сети / облака, а затем используются для более рискованных действий и / или присоединяются к ненадежным сетям. (Отдельные компьютеры на периферии сетей / облаков называются конечными узлами.) Конечные узлы часто не управляются на высоком уровне доверенной сети. компьютерная безопасность стандарты.[1] Конечные узлы часто имеют слабое / устаревшее программное обеспечение, слабые инструменты безопасности, чрезмерные разрешения, неправильные конфигурации, сомнительный контент и приложения, а также скрытые атаки.[2] Перекрестное заражение и несанкционированный выпуск данных из компьютерной системы становится проблемой.
В обширной киберэкосистеме эти конечные узлы часто временно подключаются к одному или нескольким облакам / сетям, некоторые из которых заслуживают доверия, а другие нет. Несколько примеров: корпоративный рабочий стол, просматривающий Интернет, корпоративный ноутбук, проверяющий веб-почту компании через открытую кофейню. Вай фай точка доступа, персональный компьютер, используемый для удаленной работы в течение дня и игр в ночное время, или приложение на смартфоне / планшете (или любая из предыдущих комбинаций использования / устройства). Даже если они полностью обновлены и жестко заблокированы, эти узлы могут передавать вредоносное ПО из одной сети (например, поврежденную веб-страницу или зараженное сообщение электронной почты) в другую, уязвимую сеть. Аналогичным образом конечные узлы могут извлекать конфиденциальные данные (например, регистрировать нажатия клавиш или же скриншот ). Предполагая, что устройство полностью заслуживает доверия, конечный узел должен предоставить средства для правильного аутентифицировать Пользователь. Другие узлы могут выдавать себя за доверенные компьютеры, что требует аутентификация устройства. Устройству и пользователю можно доверять, но в ненадежной среде (как определено по обратной связи встроенных датчиков). В совокупности эти риски называются проблемой конечного узла. Есть несколько способов решения этой проблемы, но все они требуют установления доверия в конечном узле и передачи этого доверия в сеть / облако.
Самое слабое звено облака
Облачные вычисления можно охарактеризовать как обширный, казалось бы, бесконечный массив обработки и хранения данных, который можно арендовать со своего компьютера. Недавнее внимание СМИ[когда? ] сосредоточился на безопасности в облаке.[3] Многие считают, что реальный риск заключается не в хорошо контролируемом, круглосуточно управляемом и полностью избыточном облачном хосте, а во множестве сомнительных компьютеров, которые обращаются к облаку.[4][5] Таких облаков много FISMA -сертифицированы, тогда как подключенные к ним конечные узлы редко настраиваются по какому-либо стандарту.[нужна цитата ]
Постоянно растущий риск
С 2005 по 2009 год самые большие и растущие угрозы для личных и корпоративных данных исходили от эксплойтов персональных компьютеров пользователей. Организованные киберпреступники сочли более выгодным внутреннее использование множества слабых персональных и рабочих компьютеров, чем атаковать через сильно укрепленные периметры.[6] Одним из распространенных примеров является кража доступа к учетной записи онлайн-банкинга малого бизнеса.[7]
Решения
Чтобы устранить проблему с конечным узлом, разрешите подключаться к вашей сети / облаку только авторизованным пользователям на надежных удаленных компьютерах в безопасных средах. Есть много способов добиться этого с помощью существующих технологий, каждый с разным уровнем доверия.
Многие компании выпускают обычные ноутбуки и разрешают удаленное подключение только этим конкретным компьютерам. Например, Министерство обороны США разрешает своим удаленным компьютерам подключаться только через VPN в свою сеть (без прямого просмотра Интернета) и использует двухфакторная аутентификация.[8] Некоторые организации используют серверные инструменты для сканирования и / или проверки компьютера конечного узла.[нужна цитата ], например, общение с узлом Модуль доверенной платформы (TPM).
Намного более высокий уровень доверия можно получить, выполнив неизменяемый, защищенный от взлома клиент без локального хранилища, позволяя ему подключаться только после аутентификации устройства и пользователя, удаленно предоставляя ОС и программное обеспечение (через PXE или же Etherboot ), а затем только с удаленного рабочего стола или доступа браузера к конфиденциальным данным.
Менее затратный подход - доверять любому оборудованию (корпоративному, правительственному, личному или общедоступному), но предоставлять известную ядро и программное обеспечение и требуют строгая аутентификация пользователя. Например, DoD Инициатива по защите программного обеспечения[9] предложения Легкая портативная система безопасности, а LiveCD который загружается только в ОЗУ, создавая чистый, непостоянный конечный узел при использовании Карта общего доступа программное обеспечение для аутентификации в сетях DoD.
Смотрите также
Рекомендации
- ^ Тим Фишер (12 декабря 2018 г.). «Что такое узел в компьютерной сети: ваш компьютер и принтер являются сетевыми узлами». Получено 24 декабря 2018.
- ^ Наталья Хшановская (23 марта 2017). «Зачем использовать Node.js: плюсы и минусы выбора Node.js для внутренней разработки». Получено 24 декабря 2018.
- ^ «Насколько безопасны облачные вычисления?».
- ^ http://www.nets-find.net/Meetings/S09Meeting/Talks/clark.ppt
- ^ «Пользователи VPN: слабое звено в сетевой безопасности?».
- ^ http://www.verizonbusiness.com/resources/security/databreachreport.pdf
- ^ «Кибер-воры воруют у большого процента малых предприятий». USA Today. 9 марта 2010 г.
- ^ «Политика виртуальной частной сети (VPN) Fort Sill».
- ^ Инициатива Министерства обороны США по защите программного обеспечения В архиве 2010-05-13 на Wayback Machine