Hardening: actualizar no es asegurar
Aprovechando que me encuentro con unos momentos de libertad y tranquilidad de mis quehaceres cotidianos, académicos, familiares y de trabajo, los voy a aprovechar antes de que comience el ajetreo de las fiestas navideñas con mi adorada familia para contarles una historia de vida empresarial en donde vamos a enfatizar en que
"ACTUALIZAR NO ES ASEGURAR" Hardening ≠ Update / Upgrade.
Y esto comienza así:
Generalmente cuando terminamos un proyecto de análisis de seguridad a una plataforma informática o un objetivo especificado (target), posteriormente pasados unos meses se realiza el proceso de revisión del aseguramiento, con base en las recomendaciones establecidas en el primer informe.
Desafortunadamente en algunas ocasiones encontramos que las recomendaciones no se les da la importancia necesaria, o se confunden en el tedioso mapa de procesos, o en lo que en reingeniería llamaríamos la pega burocrática, o no son tenidas en cuenta como deben ser para su aplicación e implementación, o se convierten en un cumulo de documentos para respaldar un proceso.
Bueno de esto se trata la historia de hoy...
Realizando la auditoria de seguridad mensual, me entregan como ultimo objetivo el Portal Web para su respectiva revisión. Encontrándome con la desagradable, nefasta o inconcebible situación que al realizar los procesos de enumeración del sitio me encuentro que la aplicación de administración del Servidor Web Tomcat / Manager había sido actualizado a su ultima versión y nuevamente se cometía la Negligencia de dejar contraseñas fácilmente descifrables o por default ya que no cumplían con la Política de cambio de contraseñas y custodio de claves.
Razón que me dio para centrar el objetivo de mi informe en demostrar la importancia de la falla de seguridad humana (establecer contraseñas no robustas / default) y la gravedad de su explotación.
Visualizándolo!!! Al aprovechar un atacante hasta donde podría llegar ampliando su superficie de ataque y afectando de manera integral toda la plataforma tecnológica de la organización.
Continuar leyendo en fuente original Dino I y II
"ACTUALIZAR NO ES ASEGURAR" Hardening ≠ Update / Upgrade.
Y esto comienza así:
Generalmente cuando terminamos un proyecto de análisis de seguridad a una plataforma informática o un objetivo especificado (target), posteriormente pasados unos meses se realiza el proceso de revisión del aseguramiento, con base en las recomendaciones establecidas en el primer informe.
Desafortunadamente en algunas ocasiones encontramos que las recomendaciones no se les da la importancia necesaria, o se confunden en el tedioso mapa de procesos, o en lo que en reingeniería llamaríamos la pega burocrática, o no son tenidas en cuenta como deben ser para su aplicación e implementación, o se convierten en un cumulo de documentos para respaldar un proceso.
Bueno de esto se trata la historia de hoy...
Realizando la auditoria de seguridad mensual, me entregan como ultimo objetivo el Portal Web para su respectiva revisión. Encontrándome con la desagradable, nefasta o inconcebible situación que al realizar los procesos de enumeración del sitio me encuentro que la aplicación de administración del Servidor Web Tomcat / Manager había sido actualizado a su ultima versión y nuevamente se cometía la Negligencia de dejar contraseñas fácilmente descifrables o por default ya que no cumplían con la Política de cambio de contraseñas y custodio de claves.
Razón que me dio para centrar el objetivo de mi informe en demostrar la importancia de la falla de seguridad humana (establecer contraseñas no robustas / default) y la gravedad de su explotación.
Visualizándolo!!! Al aprovechar un atacante hasta donde podría llegar ampliando su superficie de ataque y afectando de manera integral toda la plataforma tecnológica de la organización.
Continuar leyendo en fuente original Dino I y II
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!