Security by obscurity to jedna z wielu koncepcji w dziedzinie cyberbezpieczeństwa. Dyskusje nad tym, czy niejawność może być wystarczającym zabezpieczeniem, trwają aż od XIX wieku. Przyjrzyjmy się, na czym polega to podejście i dlaczego na ogół spotyka się z ostrą krytyką.
Security by obscurity – co to jest?
Security by obscurity (lub security through obscurity czyli bezpieczeństwo przez niejawność/zaciemnienie) to koncepcja z dziedziny cyberbezpieczeństwa, która zakłada ukrywanie szczegółów technicznych dotyczących systemów, sieci, aplikacji, algorytmów, protokołów, implementacji itp. Zgodnie z tym podejściem ewentualne luki i podatności będą tym trudniejsze do wykorzystania przez atakujących, im skuteczniej będą ukryte i niejawne.
Choć na pierwszy rzut oka może to brzmieć logicznie, to wyżej opisane podejście od lat spotyka się z krytyką. Jego przeciwnicy jako koronny argument wskazują jedno z podstawowych praw kryptologii, zwane zasadą Kerckhoffsa. Sformułowana już pod koniec XIX wieku zasada mówi, że system kryptograficzny powinien być bezpieczny nawet w sytuacji, gdy wszystkie jego szczegóły techniczne, poza samym kluczem, są dobrze znane.
Współcześni eksperci w dziedzinie cyberbezpieczeństwa, tacy jak Bruce Schneier, wskazują, że niejawność nie równa się bezpieczeństwu, a koncepcja security by obscurity, zamiast poprawiać jakość zabezpieczeń, może prowadzić do ich degradacji.
Jak działa security through obscurity w praktyce?
Security through obscurity polega na ukrywaniu szczegółów systemu w celu utrudnienia potencjalnym atakującym zrozumienia jego działania i znalezienia luk bezpieczeństwa. W praktyce stosuje się je w prostych lub niestandardowych rozwiązaniach, gdzie pełna transparentność mogłaby ujawnić słabości.
Przykładem może być używanie niestandardowych portów dla usług sieciowych, w celu zmniejszenia ryzyka przeprowadzenia udanego ataku brute force lub ukrywanie panelu administracyjnego w nietypowej lokalizacji, co utrudnia jego odnalezienie przez potencjalnych atakujących.
Prewencyjnie firmy stosują także honeypoty, czyli odizolowane środowiska mające za zadanie wabić hakerów w celu poznania metod ich działania oraz odciągnąć ich uwagę od właściwej infrastruktury. Dobrą praktyką jest także niedzielenie się lub ograniczanie informacji na temat firmowego środowiska ICT osobom postronnym, np. dostawcom czy partnerom biznesowym.
W aplikacjach webowych bywa stosowane również maskowanie struktury kodu czy brak ujawniania szczegółowych komunikatów o błędach. Choć te techniki mogą w krótkim okresie opóźnić atak, to ich skuteczność, jako samodzielnych zabezpieczeń, jest ograniczona.
Wady i ograniczenia podejścia security by obscurity
Security by obscurity ma wiele ograniczeń i słabości. Kluczową jest opieranie się na założeniu, że niejawność systemu wystarczy do zapewnienia jego bezpieczeństwa. Tego typu podejście może dawać złudne poczucie bezpieczeństwa, jednak atakujący, którzy mają odpowiednią wiedzę lub narzędzia, mogą łatwo odkryć i wykorzystać ukryte słabości systemu (np. otrzymując informację od insiderów).
Ukrywanie szczegółów utrudnia ponadto przeprowadzanie audytów bezpieczeństwa, testów penetracyjnych oraz konsultacji i prac wykonywanych przez zewnętrzne podmioty. Konieczność utrzymania tajemnicy może być paraliżująca dla rozwoju i skalowania systemów/aplikacji.
Bezpieczeństwo powinno opierać się na sprawdzonych technologiach, które tworzą wielowarstwowe systemy bezpieczeństwa. Nic jednak nie stoi na przeszkodzie, by niejawność stała się jednym z utrudnień dla potencjalnych atakujących.
Jakie są lepsze alternatywy dla security by obscurity?
Security by obscurity jest podejściem zdecydowanie wypieranym przez inne koncepcje zakładające pełną transparentności i stosowanie solidnych mechanizmów i technologii ochrony.
1. Jednym z popularnych w ostatnich latach modeli cyberbezpieczeństwa (i zdecydowanie bardziej popularny od STO) jest Zero Trust Security. Model ten nie kładzie nacisku na zachowanie szczegółów technicznych w tajemnicy, a zamiast tego koncentruje się na zdecydowanej kontroli użytkowników i urządzeń próbujących uzyskać dostęp do wewnętrznych zasobów. Zero Trust Security zakłada, że żaden użytkownik ani system nie może być domyślnie zaufanym, a każda próba uzyskania dostępu musi być rygorystycznie weryfikowana na podstawie tożsamości, kontekstu i zasady minimalnych uprawnień (użytkownik lub urządzenie otrzymuje minimalne, potrzebne do wykonania swoich obowiązków, uprawnienia wyłącznie na czas przeprowadzenia procesów).
2. Kolejną alternatywą, stojącą w bezpośredniej sprzeczności z security by obscurity, jest Open Security, która promuje korzystanie z otwartych standardów i technologii, poddawanych publicznym audytom i weryfikacji, co zapewnia ich niezawodność i odporność na ataki.
To tylko dwa przykłady, które jasno wskazują, że branża cyberbezpieczeństwa dąży do większej przejrzystości, jawności i powszechnego stosowania otwartych standardów. Transparentne mechanizmy nie tylko zwiększają bezpieczeństwo, ale również budują zaufanie wśród coraz bardziej świadomych użytkowników oraz partnerów biznesowych.
Skuteczna cyberochrona firmy dzięki Netii
Dynamiczny rozwój dziedziny cyberbezpieczeństwa sprawia, że nowoczesne firmy nie muszą dziś korzystać z niepewnych koncepcji i ryzykować własnymi zasobami oraz reputacją, eksperymentując na własną rękę. Skuteczny system cyberbezpieczeństwa powinien być zbudowany warstwowo i wykorzystywać różne technologie, co nie wyklucza zastosowania niektórych założeń koncepcji security by obscurity. Netia, jako jeden z liderów rynku rozwiązań cybersecurity dostarcza gotowe narzędzia i systemy zapewniające ochronę przed podstawowymi oraz złożonymi zagrożeniami.
Jednym z bazowych narzędzi, bez którego trudno byłoby się obyć, tworząc bezpieczne środowisko pracy, jest zapora sieciowa. Chmurowy firewall Netii jest możliwy do wdrożenia od ręki, bez inwestycji w sprzęt czy licencje. Szybka implementacja pozwoli na filtrowanie ruchu przychodzącego i wychodzącego w firmowej sieci oraz blokowanie złośliwych pakietów danych, minimalizując ryzyko ataków.
Dla firm, które chcą dokonać dokładnej oceny swoich systemów pod kątem bezpieczeństwa, Netia oferuje Testy Podatności. Usługa pozwala na przeprowadzenie audytu oraz wykrycie potencjalnych podatności i luk w zabezpieczeniach, które mogą zostać wykorzystane przez cyberprzestępców. Wykonywanie testów podatności to kluczowy element proaktywnej strategii ochrony, który pomaga minimalizować ryzyko naruszenia danych.
Najbardziej wymagającym w obszarze cyberbezpieczeństwa firmom polecamy usługi SOC, czyli Netia Security Operations Center. To zespół profesjonalistów o zróżnicowanych kompetencjach, które zapewniają ochronę przed najgroźniejszymi atakami i podatnościami.
Dodatkowo, ochrona przed atakami DDoS gwarantuje firmom odporność na skomplikowane ataki typu Denial-of-Service, które mogą poważnie zakłócić działanie infrastruktury IT. Dzięki zaawansowanej ochronie w chmurze Netia skutecznie filtruje ruch i blokuje ataki, zapewniając ciągłość działania systemów i minimalizując ryzyko przestojów.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105