10 simplificaciones sobre seguridad defensiva o ofensiva
Por lo general somos malos realizando evaluación de riesgos de forma realista, y los modelos de seguridad son sesgados. La causa a menudo es la simplificación excesiva. Antes de comenzar cualquier análisis, vale la pena pensar si los siguientes supuestos defensivos y ofensivos son válidos, según ha publicado Bit9 recientemente.
Simplificaciones defensivas
1. Los atacantes tienen recursos infinitos
Este es un mantra tantas veces escuchado y que "conducen a la locura." Si los atacantes tienen recursos infinitos y son omnipresentes, no hay grieta en la cual ya no hayan infiltrado. Este pensamiento daría lugar al derrotismo y nos lleva a gastar muchos recursos contra ataques poco probables o completamente irreal. Los recursos de los atacantes son finitos y es absolutamente necesario aprovechar este hecho.
2. El control de seguridad "X" hará que mi organización sea segua
Los controles no proporcionan seguridad. Proporcionan herramientas a través de las cuales las brechas de seguridad pueden ser más fácilmente abordables. Los seres humanos son la causa de la mayoría de las brechas de seguridad, pero los seres humanos también son la mejor arma que tenemos para hacer frente a estas deficiencias. Todos los controles se pueden implementar bien o mal, pueden ser suficiente o insuficiente monitoreados y ser interpretados correctamente o incorrectamente. Los seres humanos hacen la diferencia.
3. La seguridad es un objetivo a alcanzar
La seguridad no es un objetivo a alcanzar. La seguridad es mejor considerarla como una serie infinita de bifurcaciones, una serie sin fin de opciones a considerar, que se pueden ir abordando de manera incremental solucionando o causando nuevas brechas de seguridad. La seguridad se trata de tomar decisiones correctas con más frecuencia que las incorrectas.
4. La seguridad puede ser "agregada"
La seguridad es una consideración fundamental en los sistemas de información. Agregar capas de seguridad en la parte superior de sistemas que son fundamentalmente inseguros es condenar todo el sistema al fracaso. Un corolario importante es el que da Dan Geer en sus charlas y es que aunque se unan dos sistemas seguros, esto puede resultar en un nuevo sistema inseguro. Obviamente, al juntar un sistema inseguro y un sistema seguro es más probable que resulte un sistema inseguro.
5. Mi organización no está en riesgo
Esta es la hipótesis más peligrosa de todas. Si bien los atacantes no tienen recursos infinitos y no son omnipresentes, son sofisticados y tienen muy buenas capacidades y recursos. Si su organización tiene algo que sería de valor para un atacante (y la mayoría lo tiene), es mucho más seguro asumir que usted está en riesgo de pasar por alto el riesgo.
Simplificaciones ofensivas
6. Seguridad por oscuridad no tienen ningún valor
Este es uno de los más perniciosos supuestos en el lado ofensivo, defendidos por aquellos especializados en encontrar defectos explotables y realizar penetration test. Utilizando un argumento ad absurdum, si la seguridad por oscuridad no tiene valor, no tendría sentido actualizar el software vulnerable. Cuesta tiempo y presupuesto encontrar defectos en el software y evidencia de esto es el hecho de que veamos mucho más explotación de vulnerabilidades conocidas que desconocidas. Si pudieramos eliminar todas las vulnerabilidades conocidas de un solo golpe, de manera que la única oportunidad de explotar un fallo sea a través de los 0-day, los ataques exitosos caerían inmediatamente.
7. Una vulnerabilidad simple = Toda su base nos pertenece
Un portavoz de la industria defendió esta posición recientemente en una lista de correo electrónico, diciendo que cuando un atacante accede a la seguridad de un software toma control de todo el sistema. Si la seguridad de sus activos críticos depende de la inexistencia de defectos en los extremos de la red, esta suposición podría ser verdad. Pero los ataques del mundo real tienen que funcionar en diversas fases de la cadena y el objetivo de la seguridad actual debería ser prevenir o detectar ataques en varios puntos de la cadena. Algunas organizaciones incluso pueden permitir estos ataques y aprovecharlos como trampas (honeypots) par observarlos y registrarlos.
8. La universalidad de las técnicas de ataque
Cuando se presenta una nueva técnica de ataque, el defecto se discute como si siempre tuviera una amplia aplicabilidad a pesar de que sólo se ha demostrado en un contexto particular. La posibilidad de que la técnica funcione sólo en algunas circunstancias muy limitadas, contra un software o sistemas en particular, es a menudo pasado por alto. El peligro surge cuando los defensores gastan recursos innecesarios en las defensas (innecesarias) contra este tipo de ataques.
9. Los seres humanos hacen imposible la seguridad
Es un lugar común decir que "los seres humanos son el eslabón más débil de la seguridad". Si bien ciertamente parece que los errores cometidos por los seres humanos son la causa principal de la mayoría de las brechas de seguridad de una organización, en la mayoría de los casos, estos errores son posibles gracias a procesos violados, falta de supervisión y de auditoría suficiente, o por no poner los controles adecuados que permitan mitigar las vulnerabilidades a aquellos usuarios finales ignorantes de la seguridad.
10. La educación del usuario es un fracaso
Muchas organizaciones tratan de frustrar los ataques, tales como correos electrónicos de phishing, educando a los usuarios para reconocer y evitar este tipo de mensajes falsos. La evidencia hasta ahora sugiere que este enfoque en la práctica casi no tiene valor. Sin embargo, si en lugar de tratar de evitar los ataques de esta manera, se les pide a los usuarios que reporten los mensajes sospechosos a un admnistrador, la práctica puede ser muy valiosa.
En el primer caso, si uno de cada 10 empleados cae en el engaño, la seguridad de la organización será comprometida. En el segundo caso, si uno de cada 10 empleados informa del phishing, el ataque puede ser detectado y frustrado, convirtiendo al usuario final en un sensor efectivo.
Fuente: Segu-Info
Simplificaciones defensivas
1. Los atacantes tienen recursos infinitos
Este es un mantra tantas veces escuchado y que "conducen a la locura." Si los atacantes tienen recursos infinitos y son omnipresentes, no hay grieta en la cual ya no hayan infiltrado. Este pensamiento daría lugar al derrotismo y nos lleva a gastar muchos recursos contra ataques poco probables o completamente irreal. Los recursos de los atacantes son finitos y es absolutamente necesario aprovechar este hecho.
2. El control de seguridad "X" hará que mi organización sea segua
Los controles no proporcionan seguridad. Proporcionan herramientas a través de las cuales las brechas de seguridad pueden ser más fácilmente abordables. Los seres humanos son la causa de la mayoría de las brechas de seguridad, pero los seres humanos también son la mejor arma que tenemos para hacer frente a estas deficiencias. Todos los controles se pueden implementar bien o mal, pueden ser suficiente o insuficiente monitoreados y ser interpretados correctamente o incorrectamente. Los seres humanos hacen la diferencia.
3. La seguridad es un objetivo a alcanzar
La seguridad no es un objetivo a alcanzar. La seguridad es mejor considerarla como una serie infinita de bifurcaciones, una serie sin fin de opciones a considerar, que se pueden ir abordando de manera incremental solucionando o causando nuevas brechas de seguridad. La seguridad se trata de tomar decisiones correctas con más frecuencia que las incorrectas.
4. La seguridad puede ser "agregada"
La seguridad es una consideración fundamental en los sistemas de información. Agregar capas de seguridad en la parte superior de sistemas que son fundamentalmente inseguros es condenar todo el sistema al fracaso. Un corolario importante es el que da Dan Geer en sus charlas y es que aunque se unan dos sistemas seguros, esto puede resultar en un nuevo sistema inseguro. Obviamente, al juntar un sistema inseguro y un sistema seguro es más probable que resulte un sistema inseguro.
5. Mi organización no está en riesgo
Esta es la hipótesis más peligrosa de todas. Si bien los atacantes no tienen recursos infinitos y no son omnipresentes, son sofisticados y tienen muy buenas capacidades y recursos. Si su organización tiene algo que sería de valor para un atacante (y la mayoría lo tiene), es mucho más seguro asumir que usted está en riesgo de pasar por alto el riesgo.
Simplificaciones ofensivas
6. Seguridad por oscuridad no tienen ningún valor
Este es uno de los más perniciosos supuestos en el lado ofensivo, defendidos por aquellos especializados en encontrar defectos explotables y realizar penetration test. Utilizando un argumento ad absurdum, si la seguridad por oscuridad no tiene valor, no tendría sentido actualizar el software vulnerable. Cuesta tiempo y presupuesto encontrar defectos en el software y evidencia de esto es el hecho de que veamos mucho más explotación de vulnerabilidades conocidas que desconocidas. Si pudieramos eliminar todas las vulnerabilidades conocidas de un solo golpe, de manera que la única oportunidad de explotar un fallo sea a través de los 0-day, los ataques exitosos caerían inmediatamente.
7. Una vulnerabilidad simple = Toda su base nos pertenece
Un portavoz de la industria defendió esta posición recientemente en una lista de correo electrónico, diciendo que cuando un atacante accede a la seguridad de un software toma control de todo el sistema. Si la seguridad de sus activos críticos depende de la inexistencia de defectos en los extremos de la red, esta suposición podría ser verdad. Pero los ataques del mundo real tienen que funcionar en diversas fases de la cadena y el objetivo de la seguridad actual debería ser prevenir o detectar ataques en varios puntos de la cadena. Algunas organizaciones incluso pueden permitir estos ataques y aprovecharlos como trampas (honeypots) par observarlos y registrarlos.
8. La universalidad de las técnicas de ataque
Cuando se presenta una nueva técnica de ataque, el defecto se discute como si siempre tuviera una amplia aplicabilidad a pesar de que sólo se ha demostrado en un contexto particular. La posibilidad de que la técnica funcione sólo en algunas circunstancias muy limitadas, contra un software o sistemas en particular, es a menudo pasado por alto. El peligro surge cuando los defensores gastan recursos innecesarios en las defensas (innecesarias) contra este tipo de ataques.
9. Los seres humanos hacen imposible la seguridad
Es un lugar común decir que "los seres humanos son el eslabón más débil de la seguridad". Si bien ciertamente parece que los errores cometidos por los seres humanos son la causa principal de la mayoría de las brechas de seguridad de una organización, en la mayoría de los casos, estos errores son posibles gracias a procesos violados, falta de supervisión y de auditoría suficiente, o por no poner los controles adecuados que permitan mitigar las vulnerabilidades a aquellos usuarios finales ignorantes de la seguridad.
10. La educación del usuario es un fracaso
Muchas organizaciones tratan de frustrar los ataques, tales como correos electrónicos de phishing, educando a los usuarios para reconocer y evitar este tipo de mensajes falsos. La evidencia hasta ahora sugiere que este enfoque en la práctica casi no tiene valor. Sin embargo, si en lugar de tratar de evitar los ataques de esta manera, se les pide a los usuarios que reporten los mensajes sospechosos a un admnistrador, la práctica puede ser muy valiosa.
En el primer caso, si uno de cada 10 empleados cae en el engaño, la seguridad de la organización será comprometida. En el segundo caso, si uno de cada 10 empleados informa del phishing, el ataque puede ser detectado y frustrado, convirtiendo al usuario final en un sensor efectivo.
Fuente: Segu-Info
Comentarios
Publicar un comentario