Tell it to the Marines: Leadership Principles and Network Security
Jest piątek po godzinach. Rozmawiasz z pracownikiem zdalnym na temat instalacji firewalla nowej generacji. Przez sieć nie przechodzi żaden ruch i teraz utknąłeś w projekcie, dopóki nie zostanie on naprawiony. Weekendowe okna serwisowe poza godzinami pracy w imię poprawy bezpieczeństwa cybernetycznego mogą być jednymi z najbardziej stresujących, ryzykownych i mało moralnych projektów podejmowanych przez organizację. Jednakże, ryzyko i stres mogą zostać zredukowane poprzez zastosowanie metodologii planowania używanej przez rezerwistów Korpusu Piechoty Morskiej Stanów Zjednoczonych (USMC). Koncepcje planowania USMC mogą być łatwo zaadaptowane do projektów związanych z bezpieczeństwem cybernetycznym, zwiększając szanse na sukces.
Planowanie taktyczne USMC skupia się na zastosowaniu sześciu kroków prowadzenia oddziału. Jest to podstawowe podejście, które Marines stosują we wszystkich operacjach. Marines używają tych kroków (znanych pod akronimem BAMCIS) do planowania wszystkiego, od corocznego Balu Urodzinowego Korpusu Piechoty Morskiej 10 listopada po szturm na gniazdo snajperskie wroga. BAMCIS to akronim oznaczający: Begin planning, Arrange for reconnaissance, Make reconnaissance, Complete the plan, Issue the order, and Supervise, i jest to podstawowe założenie przywództwa Korpusu Piechoty Morskiej. Celem BAMCIS jest zebranie informacji, sporządzenie planu, wykonanie i zapewnienie powodzenia misji.1
Używając instalacji firewalla nowej generacji jako przykładowego scenariusza, przejdziemy przez te kroki dowodzenia oddziałem i określimy, w jaki sposób mogą one zwiększyć szanse sprzętu działającego po wyjęciu z pudełka i zmniejszyć szanse spędzenia całego weekendu na rozwiązywaniu problemów.
Krok 1: Rozpocznij planowanie
Analiza misji (lub planowanie projektu) zaczyna się tutaj. Dzień, w którym pojawia się zielone światło, jest dniem, w którym należy rozpocząć planowanie: Określić, jak długo równoległa infrastruktura będzie musiała pozostać na miejscu. Określenie, jakie zasoby będą wymagane podczas migracji hot-cut. Określenie wpływu, jaki nowa infrastruktura bezpieczeństwa sieciowego będzie miała na użytkowników organizacji. Przygotuj wiele pytań na tym etapie. Będziesz musiał przyjąć pewne założenia dotyczące projektu, aby rozpocząć planowanie. Jeśli biuro zdalne znajduje się poza granicami Stanów Zjednoczonych, należy jak najwcześniej zająć się barierami językowymi, ograniczeniami eksportu kryptografii i kwestiami celnymi. Trudno jest z powodzeniem wdrożyć infrastrukturę bezpieczeństwa sieciowego, jeśli infrastruktura lub inżynier utknął w urzędzie celnym!
Krok 2: Zorganizowanie rozpoznania
W konwencjonalnych działaniach wojennych ten krok jest miejscem, w którym zbiera się informacje o wielkości, możliwościach i słabościach wroga. Jednak tak naprawdę ten krok odpowiada na pytanie: „Jakich informacji brakuje mi do osiągnięcia sukcesu? „2 Wykorzystaj wszystkie dostępne metody współpracy, aby zapewnić, że wszystkie informacje wymagane do udanego wdrożenia infrastruktury bezpieczeństwa sieciowego zostaną odkryte na długo przed uruchomieniem. Należy uzyskać informacje na temat wymagań fizycznych, takich jak zasilanie i chłodzenie, polityki bezpieczeństwa kontrolujące dostęp do infrastruktury oraz zdjęcia terenu. W zależności od organizacji, uzyskanie niezbędnych wyjaśnień może stać się projektem samym w sobie, ale uzyskanie tych informacji jest niezbędne do osiągnięcia sukcesu.
Również należy rozważyć informacje wymagane od dostawcy sprzętu. Niezależnie od tego, czy zaopatrujesz się w zaporę sieciową następnej generacji bezpośrednio u dostawcy i instalujesz ją samodzielnie, czy też polegasz na zewnętrznym dostawcy rozwiązań, posiadanie tych informacji przed faktycznym wdrożeniem infrastruktury ma krytyczne znaczenie dla sukcesu.
Krok 3: Dokonaj rozpoznania
W tym miejscu kierownictwo wykorzystuje wszystkie dostępne zasoby, aby wypełnić wszelkie luki informacyjne po przeprowadzeniu rozpoznania. W przypadku firewalla nowej generacji, w tym miejscu przeanalizowalibyśmy specyfikacje, aby zapewnić odpowiednią przestrzeń, zasilanie i bezpieczeństwo. Infrastruktura bezpieczeństwa cybernetycznego umieszczona w zwykłym pomieszczeniu z podwieszanym sufitem, za drzwiami bez zabezpieczenia przed otwarciem, a nie w zamkniętej szafie, to problem, który czeka na pojawienie się.3 Jeżeli rozpoznanie wykaże, że obiekt nie spełnia wymaganych standardów bezpieczeństwa fizycznego, należy to rozwiązać przed przystąpieniem do dalszych działań. Dotarcie do tych zespołów, na które infrastruktura bezpieczeństwa ma wpływ, jest kluczem do wypełnienia luk informacyjnych niezbędnych do uniknięcia bolesnych weekendowych problemów.
Krok 4: Uzupełnij plan
W kroku pierwszym sformułowano wiele pytań i założeń, aby rozpocząć plan. Teraz jest czas, aby odpowiedzieć na te pytania i zbadać wszystkie te założenia. Nie zakochuj się w swoim planie. Wzajemna weryfikacja jest krytyczna. Na przykład, podczas pisania procedur instalacyjnych, znalezienie literówki związanej z podłączeniem firewalla nowej generacji może zająć pięć minut. Jeśli ta literówka nie zostanie znaleziona, rozwiązywanie problemów związanych z brakiem przepływu ruchu może zająć wiele godzin. Zacznij myśleć o wszystkich potencjalnych trybach awarii związanych z wdrożeniem.4 Ostatnią pożądaną rzeczą jest obniżenie poziomu bezpieczeństwa lub przekroczenie okna serwisowego, co miałoby niezmiernie negatywny wpływ na organizację. Wypełniony plan musi uwzględniać zmianę domyślnych poświadczeń konta administracyjnego, wyłączenie wszelkich nieużywanych portów i usług, a także zalecane przez sprzedawcę najlepsze praktyki. Zbyt często są one pomijane podczas próby uzyskania rozwiązania wdrożonego przed terminami, więc upewnij się, aby włączyć je do planu.
Krok 5: Wydaj rozkaz
Większość operacji wojskowych obejmują wydanie „Five Paragraph Operations Order”. Jest to jasne i zwięzłe podsumowanie najważniejszych informacji potrzebnych do przeprowadzenia operacji. Naszym celem jest posiadanie tego samego rodzaju jasnych i zwięzłych instrukcji.5 Wszystkie informacje potrzebne do udanego wdrożenia infrastruktury bezpieczeństwa sieci muszą być przekazane osobom wykonującym pracę. Obejmuje to instrukcje pisemne, wykorzystanie telekonferencji, wirtualnych tablic i zrzutów ekranu. Szeroki plan komunikacji może rozwiązać wiele problemów, zanim będą miały szansę stać się problemami. Chociaż nikt nie chce tkwić w spotkaniach przez cały dzień, po wysłaniu ostatecznych instrukcji, poświęć czas na zapewnienie wspólnego zrozumienia na długo przed rozpoczęciem zmian w infrastrukturze bezpieczeństwa sieci. Przyjmij, że nikt nie czyta Twoich e-maili ani nie słucha Twoich pomysłów w sali konferencyjnej, zadawaj członkom zespołu pytania dotyczące planu i upewnij się, że odpowiadają na nie prawidłowo!
Krok 6: Nadzorowanie
Bez nadzoru wzrasta prawdopodobieństwo, że Marines podejmą złe decyzje, takie jak wypicie niewystarczającej ilości wody przed gorącym, trzymilowym biegiem przez pustynię lub pijackie uruchomienie alarmu przeciwpożarowego, który pokryje pianą wiele samolotów.6 Właściwy nadzór, z drugiej strony, może skutkować podejmowaniem przez marines mądrych decyzji, które zmieniają bieg historii. Nie inaczej jest w przypadku projektów infrastruktury bezpieczeństwa sieciowego. Nadzór jest krytyczny dla zapewnienia, że praca zostanie wykonana zgodnie z planem i w zgodzie z ustalonymi standardami. USMC uważa nadzór za najważniejszy element w dowodzeniu oddziałem. Nadzór nie jest tylko obowiązkiem dowódcy. Wszyscy uczestnicy projektu są odpowiedzialni za mówienie o tym, kiedy tylko zauważą coś niezadowalającego, np. brak dokumentacji lub złe wdrożenie zasad filtrowania ruchu w zaporze sieciowej – tak jak to widzą. Łatwo jest poprawić dokumentację zaraz po wdrożeniu, gdy przełożony żąda wglądu w to, jak firewall filtruje ruch. Trudniej jest ją poprawić lata później, gdy trzeba rozwiązać problem, dlaczego nowa aplikacja jest nieprawidłowo filtrowana.
Im więcej członkowie zespołu są w stanie przećwiczyć zmiany w zabezpieczeniach sieciowych, tym mniejsze jest prawdopodobieństwo wystąpienia przestojów w produkcji spowodowanych tymi zmianami.
Zważywszy na rozwój wirtualizacji i technologii chmury, coraz łatwiej jest przećwiczyć projekty infrastruktury zabezpieczeń sieciowych w kontrolowanym środowisku, zanim zostaną one wypuszczone na produkcję. Podobnie jak dowódca batalionu piechoty wpaja żołnierzom wartości „trenuj jak walczysz, walcz jak trenujesz” podczas przygotowań do bitwy, kierownictwo organizacji musi wpajać wartości związane z właściwym testowaniem i szkoleniem, zanim rozwiązania zostaną wdrożone do produkcji. Im więcej członkowie zespołu są w stanie przećwiczyć zmiany w bezpieczeństwie sieci, tym mniejsze jest prawdopodobieństwo wystąpienia przestojów w produkcji spowodowanych tymi zmianami. Większość zgodziłaby się, że nowy żołnierz piechoty morskiej musi nauczyć się podstaw nawigacji lądowej w kontrolowanym środowisku szkoleniowym, zanim zacznie się od niego oczekiwać, że będzie nawigował patrolem rozmieszczonym w strefie działań wojennych. Podobnie personel zajmujący się bezpieczeństwem cybernetycznym musi mieć możliwość nauczenia się, w jaki sposób konfiguracja infrastruktury bezpieczeństwa sieciowego wpłynie na poruszające się dane organizacji w warunkach laboratoryjnych, zanim zostanie ona wdrożona do cyberprzestrzeni produkcyjnej.
Choć każda organizacja jest wyjątkowa, te sześć kroków prowadzących oddziały, wywodzących się z Korpusu Piechoty Morskiej, ma zastosowanie w innych organizacjach. Nawet najbardziej cywilne organizacje mogą zastosować kilka lekcji zaczerpniętych z wojska, które mogą doprowadzić do zmniejszenia liczby bolesnych doświadczeń z rozwiązywaniem problemów poza godzinami pracy.
Zastrzeżenie: Poglądy wyrażone w tym artykule są poglądami autorów i niekoniecznie reprezentują poglądy organizacji, z którymi są związani.
Źródła
- http://www.marines.mil/Portals/59/Publications/MCWP%203-11.2%20Marine%20Rifle%20Squad.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/TBS/B2B2367%20Tactical%20Planning.pdf
- Mitnick, Kevin D., and William L. Simon. Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker. Little, Brown & Co., 2012.
- http://global.datacenterworld.com/dcwg18/Custom/Handout/Speaker0_Session1019658_2.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/FMTBE/Student%20Materials/FMST/209.pdf
- https://www.stripes.com/news/pacific/drunk-marine-releases-fire-suppression-system-in-kadena-hangar-1.351940
.