Jeg ble imponert med konseptet eleganse og potensielle effektivitet. Faktisk ble jeg imponert første gang jeg opplevde det tilbake på 80-tallet. Det er en av de sentrale prinsippene for sikkerhet, sammen med minst privilegium og forsvar i dybden. Det virker som compartmentalization kan få et nytt liv, og vi har ormer å takke for det.
Malware er å tvinge bedrifter til å trekke hodet ut av sanden og ta en hard titt på avveiningene som kommer med flere tilkoblingsmuligheter, noe som betyr factooverlevelsesevne i nettverksdesign sammen med ytelse, pålitelighet og pris.
Vanligvis IT ledere og nettverksdesignere har vært tilbakeholdne med å fordeler fordi de tror det krever mer administrasjon og øker innledende infrastrukturkostnader . Dette gjelder på kort sikt. Men over tid, compartmentalized nettverk kjører bedre, er lettere å vedlikeholde og kan oppgraderes lokalt der ytelsesproblemer oppstår. Distribusjonskostnadene er definitivt høyere, mest fordi compartmentalized nettverk krever en forståelse av hvordan nettverket skal brukes. Den hyppigst hørt argumentet mot compartmentalization er at " vi har ikke en god ide om hva maskinene faktisk trenger å kommunisere og kan ikke ettermontere en compartmented design uten betydelig nedetid. &Quot; Det er et reelt problem, men gjenværende uvitende om nettverkets bruk er ikke en langsiktig strategi. Hvis du ikke vet hva nettverket blir brukt for akkurat nå, er du en statistikk som venter på å skje.
Jeg vet ett nettverk leder som implementert en compartmentalization plan ved å installere brannmurer på avgjørende veikryss i sitt nettverk. Han forlot brannmurregler konfigurert slik at alt var tillatt - og logget - deretter sakte strammet skruene på brannmuren politikk før han hadde " simulert " nok til å vite at de ikke ville skade noe når den er aktivert. Da han spurte noen andre ledere om compartmentalizing nettverket, sa de, " Det er for vanskelig! Det vil bremse ting ned for mye "!; De var sjokkert over å oppdage at nettverket lederens compartmentalization ordningen hadde jobbet greit i tre måneder, og hadde gjort nettverket bemerkelsesverdig motstandsdyktige mot ormer
Som med så mange sikkerhetsproblemer, vennen min største utfordring var på ". Layer 8 " karbonsjiktet. Endre hodet av forskanset ledere er ikke lett, men positiv, ugjendrivelige bevis for bedre sikkerhet er en kraftig katalysator for endring.
Bedrifter våkner opp med tilkoblings bakrus etter den massive bygge ut binge av 90-tallet . De avviser compartmentalization av trusler; de er overveldet av størrelsen og omfanget av infrastruktur messes de har opprettet. Men håper neste ormen vil blåse forbi uten hendelsen vil ikke gjøre det slik. Selskapene bør omfavne compartmentalization, slutte å kaste penger og teknologi til sikkerhetsproblemer, og forbedre deres arkitekturer og sikkerhet ved å bruke litt god gammeldags sunn fornuft-som de skulle ha gjort i første omgang.
< i> Red.anm:
Dette er Marcus Ranum siste kolonnen med informasjonssikkerhet. Han har tatt en posisjon med holdbar Security Networks som sikkerhetsdirektør. For de siste to årene, har Ranum skrevet om banebrytende sikkerhetsteknologier, trusler og verktøy. Vi vil savne hans innsikt og kompetanse, og ønsker han lykke til i sin nye oppgave.