Дополнительно
Это было бы более безопасным или нет, если все компьютеры в сети используют одну и ту же операционную систему?
Если все компьютеры используют ту же операционную систему, злоумышленникам нужно только сосредоточиться на одной операционной системе, это будет небезопасно?
45
12
В 2003 году Дэн Гир от @акций опубликовал основополагающую статью по этой теме - кибервбезопасность: стоимость монополии. На удивление (учитывая, что он был нанят корпорацией Майкрософт на время) он приходит прямо вниз, в лагерь, утверждая, что разнообразие является жизненно важным для безопасности (выделено мной):
(Он пошел на сделать вывод, что Microsoft является опасным, поскольку он представил в монокультуре; который оказался карьеры, ограничивающих перемещение его в Microsoft).
В комментариях, @Джонни предполагает, что это credentialist ответа. В то время как я'вэ решил процитировать уважаемого профессионала'ы хорошо написано вот бумаги, я делаю так, потому что она отражает мои 20+ лет опыта работы в компьютерной индустрии и безопасности. (Которая, блин, почти как среднее credentialism. Но я'м просто говорю, что я'м ссылок, а не попугай).
Например, 3-уровневая архитектура (веб/приложение/БД) стала общепринятой улучшения в плане безопасности давно, потому что разделение между различными функциями способствуют укреплению безопасности. В том же духе, мой опыт, что существует компромисс между дополнительной работы создание гетерогенных систем (скажем, службы IIS с MySQL на Линукс backend) и дополнительное преимущество разнообразия, когда атаки (или патчей!) ввести нарушение в стек. И что я'вэ пожалел, что проблема больше раз, чем я пожалел лишнюю работу :)
Девичье поле эпидемий - либо потому, что вы'повторно не сегментирование сетей, или потому, что вы'повторно используя те же пароли, или вы'ве получил только одну [ДНС/хостинг/сети] провайдера, или потому, что вы'повторно используя ту же ОС везде - все плохо кончится.
Если все системы одинаковы, то есть предсказуемость, что может пойти не так и как исправить и залатать. Он становится намного легче решать проблемы, о которых вы знаете. Например, если сеть все окна, админы только нужно держать осознавать риски для Windows и развернуть исправления для одного типа системы.
Если вы смешиваете системы, то админы должны обеспечить, чтобы смешать с таким же уровнем защиты. Вы вводите много неизвестных и много неопределенности, что повышает риски. Да, вполне возможно, что некоторые системы будут более безопасными, чем другие, но с глобальной точки зрения, то же, легче, дешевле, и более надежной защиты можно.
Более разнообразные системы затрудняют для инфекции.*
Менее разнообразные системы затрудняют для инфекции, чтобы начать.**
Поэтому если ваш случае отказа всех систем заражения (например, если требуется гарантия бесперебойной работы), с использованием нескольких операционных систем может помочь (если сделано правильно). Если в вашем случае сбоя одной из систем заражения (например, если вы'вновь в юридической фирме с конфиденциальными документами), использование нескольких систем навредит.
* Единый недостаток безопасности, что'ы известно, злоумышленник может потенциально позволить компрометировать многие или большинство компьютеров под управлением той же операционной системы.
**Один недостаток безопасности, о ни ОС, что'ы известно, что злоумышленник будет достаточно, чтобы допустить ущерба одной из машин с этим изъяном.
Этот ответ игнорирует возможность использования различных операционных систем для машин с изначально различным поверхностям атаки (например, в Unix-сервер, маршрутизатор Cisco, рабочие станции Windows), потому что ответ становится намного сложнее.
Как Шредер отмечает, что это будет намного больше работы, чтобы управлять безопасность такой сети.
Но даже если управление разветвленной сетью было'т-либо вопросу, люди по-прежнему самое слабое звено любой системы. Социальная инженерия является очень эффективным в эти дни, а кто-то на Linux можно заставить отказаться от своих учетных данных так же легко, как кто-то на окно можно.
И даже если все ваши пользователи не кумекать о безопасности и никогда не поддавайтесь на любые уловки, сеть до сих пор не'т быть практичной, чтобы реально использовать. Большинство программного обеспечения, что пользователи будут использовать, чтобы на самом деле делать свою работу, скорее всего, не доступен для нескольких операционных систем.
И даже если все ваши программы был кросс-платформенным, вы бы'т быть более безопасной. Хакеры просто начать писать кроссплатформенные вредоносные программы.
Это'ы выполнимо, но это's просто не стоит.
В качестве аналогии, представьте, если бы все были такие же блокировки-любой ключ может открыть любую дверь.
В моей работе, у нас есть два основных ОС. Очень многие знают одну операционную систему, но немногие знают другие. Хорошо разбираются в операционной системе, кажется, более склонны к попыткам взлома, чем менее известное. Представляется, что более известны системы, тем более вероятно, что необходимость в предосторожности.
Как хорошо, других объектов показали, что монополия порождает успокоенность, а что смекалки. В истории Ма Белл, цена, а не возможность была движущей силой. Как только он был расстались (хотя боль), с сломал из пакета с инновационной деятельности. Я думаю, что же касается операционной системы сегодня.
Наконец, в некоторых операционных системах работает только на своих рынках. OS390/400 отлично подходит для быстрого универсальный "и транзакций в секунду", но не так хорошо для бабушки, когда она'ы ищете свою коллекцию рецептов. ПК/Дос отлично подходит для энтузиастов, но может'т действительно ничего, кроме ностальгии помешивая. Хотя это правда, что некоторые операционные системы передразнивает друг друга (особенно в игровом мире консоли), друг до сих пор'собственная площадка.
Надеюсь, что помогает.
О, я забыл упомянуть... операционной системы среди бизнес легче поддерживать с патчами и так далее, но риски все. (Вирусов мог принять всех систем.) Принимая во внимание, что несколько различных ОС труднее сохранить, но и выделяет или силос ваши риски. Поговорка "все яйца в одну корзину" и применяется.
В моей работе, я должен предоставлять несколько уровней избыточности от мелких неудач до отверстие возобновления курения. Хороший резервного копирования-это зеркало нынешней системы--реплицируемых серверов и приложений. Еще лучше резервного копирования-это зеркало нынешней системы, которые функционируют так же, как нынешней системы, но на разных операционных системах и инфраструктуре. Лучшие осуществимо резервного копирования различных операционных систем, а третий--облако--резервное копирование. Это указывает на наличие разнообразия как предпочтения в простоте.
Репликация и диверсификация защищает от различных видов атак.
Репликация является ядром любой стратегии, используемые, чтобы защитить бизнес от перебоев в подаче электроэнергии, пожар, вода, и другие риски, когда распределения вероятностей возникновения отказов могут быть даны. Это знание затем используется для определения закономерностей распределения, чтобы минимизировать риск.
Это совершенно разные заботой о защите от преднамеренных атак. Репликация может только спасти бизнес от преднамеренных атак, если реплицированные ресурсы полностью недоступными для злоумышленников. Как только злоумышленники узнайте, как найти компромисс один экземпляр системы, следует предположить, что все одинаково настроенные экземпляры могут стать угрозой как и в любой момент.
Сил разнообразии атакующих адаптировать свои стратегии к каждой цели. Конечно, если различия на "обычный" до некоторой степени (1), адаптация, возможно, не потребуется много усилий. Поскольку срок на "обычный" и зависит от возможностей злоумышленника, положить слишком много веры в разнообразии в качестве меры безопасности, это также рискованно.
(1) в Debian и Ubuntu можно считать слишком мало отличаются друг от друга.
Это зависит от того, что вы пытаетесь достичь.
Имея широкий набор операционных систем в вашей сети, тем труднее злоумышленнику получить доступ к компьютеру все компьютеры в вашей сети. Но есть очень мало случаев, где это'с целью злоумышленник.
Вместо этого, злоумышленники, как правило, либо попытаться саботировать ваши действия при отключении основных услуг, или пытаются украсть информацию. В этих случаях, ущерба одной операционной системы на одном компьютере может быть достаточно, а имея несколько разных операционных систем в вашей сети означает, что злоумышленник свободно (и только) найти уязвимость в одной из этих операционных систем. Так вот, разнообразие на самом деле делает атаку намного проще (например, если важные файлы на сетевом ресурсе, что'ы доступен для Windows, Linux и macOS настольных компьютеров потребителей, включая любой из этих систем может позволить злоумышленнику получить доступ к этим файлам).
Как и многие вещи, это сводится к вашей модели угроз.
Разнообразная экосистема дает злоумышленнику больше, чем один вызов и подвиг, что его не получите его на всех остальных системах.
С другой стороны, у вас есть знания и ресурсы, чтобы держать постоянно разветвленная сеть актуальной и безопасной?
Если у вас есть куча действительно хороших экспертов Windows, а не Линукс людей, то внедрение некоторых системах Linux просто получить разнообразие, скорее всего, сокращения ваш общий уровень безопасности как у вас никто не настроен правильно, твердеют и поддерживают эти системы и они станут обузой.
Вы также иметь более легкое время автоматизация развертывания исправлений и управления конфигурацией в менее диверсифицированной среде.
Общее мнение, насколько мне известно, заключается в том, что если вы можете работать разветвленная сеть, вы должны сделать это. Но если у вас не хватает опыта или ресурсов, Дон'т сделать это просто сделать это.
Операционная система на самом верхнем уровне сетевой модели OSI. Слой 7-слой приложения. Монополия делает ОС, используя уязвимости безопасности более эффективным, но это также позволяет патчей и резолюций уязвимости системы безопасности более эффективными.
Более низкие сетевых протоколов уровня и их устройства более безопасной, маршрутизаторов, т. е. нам могут компенсировать уязвимость ОС в прикладном уровне. Большинство интрузий может быть предотвращено с хорошим маршрутизатор брандмауэр, который может обеспечить безопасность на сессии (слой 5), транспорт (слой 4) и сетевого (Уровень 3) уровней модели OSI до ОС даже не видит пакеты.
Это, безусловно, сделает хакер'ы задания сложнее, чтобы полностью скомпрометировать сеть, как только они получают доступ, если компьютеры у всех разные операционки. Однако, если они уже получили доступ к сети через один компьютер, свою работу уже сделал проще. Его сомнение в том, что все операционные системы будут в равной степени защищены от нападения, поэтому всегда будет самым слабым звеном, которое может быть использовано для атаки на всю сеть.
Вы также должны учесть, что компромат по всей сети-это'т обязательно хакер'с конечной целью. Если все они после это данные, тем больше вероятность, что вторжение останется незамеченным, ведь он будет тратить больше ресурсов на сохранение безопасности для различных ОС.
Правда. Это похоже на то "единой точки отказа" и неудача здесь из-за однородной среде.
Но уровень безопасности на самом деле зависит от многих факторов. Даже в однородной среде операционной системы далеко не так однородны, как Вы себе представляете, т. е. разнородного оборудования, версию ОС, версию приложения и т. д.
Поэтому смягчение всех об угрозе изоляции. Например, организации с большим количеством компьютеров будет использовать промежуточный или VLAN для изоляции сети по функции бизнес-операции.
Это's дело сбалансировать вещи лучше всего подходят для вашей ситуации.
Существует несколько преимуществ 1 для всех операционная система: вы можете развиваться идентичные меры безопасности, настройки, исправления и решения. Но недостатком является то, что если один скомпрометирован, злоумышленники могут получить остальное относительно легко. Это касается уязвимостей и не только.
Если у вас есть много различных ОС, администрирование, исправление и поддержание отношение совместимости может быть сложнее, но если одна из систем нарушена, другими ОС будет намного более безопасным по сравнению с первым случаем.
В обоих случаях вы нуждаетесь в безопасности и исправления.
Это также важно, на какой ОС он. Если это'ы легко быть направлена против одной, это'ы лучше, если вы используете слишком другим. Если это's один считается достаточно безопасным, он's прекрасно, если это's только, что одна.