10 simplificaciones sobre seguridad defensiva o ofensiva (y II)
Por lo general somos malos realizando evaluación de riesgos de forma realista, y los modelos de seguridad son sesgados. La causa a menudo es la simplificación excesiva. En la primera parte se analizaron los supuestos defensivos y ahora se continúa con los supuestos ofensivos.
Este es uno de los más perniciosos supuestos en el lado ofensivo, defendidos por aquellos especializados en encontrar defectos explotables y realizar penetration test. Utilizando un argumento ad absurdum, si la seguridad por oscuridad no tiene valor, no tendría sentido actualizar el software vulnerable. Cuesta tiempo y presupuesto encontrar defectos en el software y evidencia de esto es el hecho de que veamos mucho más explotación de vulnerabilidades conocidas que desconocidas. Si pudieramos eliminar todas las vulnerabilidades conocidas de un solo golpe, de manera que la única oportunidad de explotar un fallo sea a través de los 0-day, los ataques exitosos caerían inmediatamente.
7. Una vulnerabilidad simple = Toda su base nos pertenece
Un portavoz de la industria defendió esta posición recientemente en una lista de correo electrónico, diciendo que cuando un atacante accede a la seguridad de un software toma control de todo el sistema. Si la seguridad de sus activos críticos depende de la inexistencia de defectos en los extremos de la red, esta suposición podría ser verdad. Pero los ataques del mundo real tienen que funcionar en diversas fases de la cadena y el objetivo de la seguridad actual debería ser prevenir o detectar ataques en varios puntos de la cadena. Algunas organizaciones incluso pueden permitir estos ataques y aprovecharlos como trampas (honeypots) par observarlos y registrarlos.
8. La universalidad de las técnicas de ataque
Cuando se presenta una nueva técnica de ataque, el defecto se discute como si siempre tuviera una amplia aplicabilidad a pesar de que sólo se ha demostrado en un contexto particular. La posibilidad de que la técnica funcione sólo en algunas circunstancias muy limitadas, contra un software o sistemas en particular, es a menudo pasado por alto. El peligro surge cuando los defensores gastan recursos innecesarios en las defensas (innecesarias) contra este tipo de ataques.
9. Los seres humanos hacen imposible la seguridad
Es un lugar común decir que "los seres humanos son el eslabón más débil de la seguridad". Si bien ciertamente parece que los errores cometidos por los seres humanos son la causa principal de la mayoría de las brechas de seguridad de una organización, en la mayoría de los casos, estos errores son posibles gracias a procesos violados, falta de supervisión y de auditoría suficiente, o por no poner los controles adecuados que permitan mitigar las vulnerabilidades a aquellos usuarios finales ignorantes de la seguridad.
10. La educación del usuario es un fracaso
Muchas organizaciones tratan de frustrar los ataques, tales como correos electrónicos de phishing, educando a los usuarios para reconocer y evitar este tipo de mensajes falsos. La evidencia hasta ahora sugiere que este enfoque en la práctica casi no tiene valor. Sin embargo, si en lugar de tratar de evitar los ataques de esta manera, se les pide a los usuarios que reporten los mensajes sospechosos a un admnistrador, la práctica puede ser muy valiosa.
En el primer caso, si uno de cada 10 empleados cae en el engaño, la seguridad de la organización será comprometida. En el segundo caso, si uno de cada 10 empleados informa del phishing, el ataque puede ser detectado y frustrado, convirtiendo al usuario final en un sensor efectivo.
Cristian de la Redacción de Segu-Info
Simplificaciones ofensivas
6. Seguridad por oscuridad no tienen ningún valorEste es uno de los más perniciosos supuestos en el lado ofensivo, defendidos por aquellos especializados en encontrar defectos explotables y realizar penetration test. Utilizando un argumento ad absurdum, si la seguridad por oscuridad no tiene valor, no tendría sentido actualizar el software vulnerable. Cuesta tiempo y presupuesto encontrar defectos en el software y evidencia de esto es el hecho de que veamos mucho más explotación de vulnerabilidades conocidas que desconocidas. Si pudieramos eliminar todas las vulnerabilidades conocidas de un solo golpe, de manera que la única oportunidad de explotar un fallo sea a través de los 0-day, los ataques exitosos caerían inmediatamente.
7. Una vulnerabilidad simple = Toda su base nos pertenece
Un portavoz de la industria defendió esta posición recientemente en una lista de correo electrónico, diciendo que cuando un atacante accede a la seguridad de un software toma control de todo el sistema. Si la seguridad de sus activos críticos depende de la inexistencia de defectos en los extremos de la red, esta suposición podría ser verdad. Pero los ataques del mundo real tienen que funcionar en diversas fases de la cadena y el objetivo de la seguridad actual debería ser prevenir o detectar ataques en varios puntos de la cadena. Algunas organizaciones incluso pueden permitir estos ataques y aprovecharlos como trampas (honeypots) par observarlos y registrarlos.
8. La universalidad de las técnicas de ataque
Cuando se presenta una nueva técnica de ataque, el defecto se discute como si siempre tuviera una amplia aplicabilidad a pesar de que sólo se ha demostrado en un contexto particular. La posibilidad de que la técnica funcione sólo en algunas circunstancias muy limitadas, contra un software o sistemas en particular, es a menudo pasado por alto. El peligro surge cuando los defensores gastan recursos innecesarios en las defensas (innecesarias) contra este tipo de ataques.
9. Los seres humanos hacen imposible la seguridad
Es un lugar común decir que "los seres humanos son el eslabón más débil de la seguridad". Si bien ciertamente parece que los errores cometidos por los seres humanos son la causa principal de la mayoría de las brechas de seguridad de una organización, en la mayoría de los casos, estos errores son posibles gracias a procesos violados, falta de supervisión y de auditoría suficiente, o por no poner los controles adecuados que permitan mitigar las vulnerabilidades a aquellos usuarios finales ignorantes de la seguridad.
10. La educación del usuario es un fracaso
Muchas organizaciones tratan de frustrar los ataques, tales como correos electrónicos de phishing, educando a los usuarios para reconocer y evitar este tipo de mensajes falsos. La evidencia hasta ahora sugiere que este enfoque en la práctica casi no tiene valor. Sin embargo, si en lugar de tratar de evitar los ataques de esta manera, se les pide a los usuarios que reporten los mensajes sospechosos a un admnistrador, la práctica puede ser muy valiosa.
En el primer caso, si uno de cada 10 empleados cae en el engaño, la seguridad de la organización será comprometida. En el segundo caso, si uno de cada 10 empleados informa del phishing, el ataque puede ser detectado y frustrado, convirtiendo al usuario final en un sensor efectivo.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!