10 simplificaciones sobre seguridad defensiva o ofensiva (I)
Por lo general somos malos realizando evaluación de riesgos de forma realista, y los modelos de seguridad son sesgados. La causa a menudo es la simplificación excesiva. Antes de comenzar cualquier análisis, vale la pena pensar si los siguientes supuestos defensivos y ofensivos son válidos, según ha publicado Bit9 recientemente.
Este es un mantra tantas veces escuchado y que "conducen a la locura." Si los atacantes tienen recursos infinitos y son omnipresentes, no hay grieta en la cual ya no hayan infiltrado. Este pensamiento daría lugar al derrotismo y nos lleva a gastar muchos recursos contra ataques poco probables o completamente irreal. Los recursos de los atacantes son finitos y es absolutamente necesario aprovechar este hecho.
2. El control de seguridad "X" hará que mi organización sea segua
Los controles no proporcionan seguridad. Proporcionan herramientas a través de las cuales las brechas de seguridad pueden ser más fácilmente abordables. Los seres humanos son la causa de la mayoría de las brechas de seguridad, pero los seres humanos también son la mejor arma que tenemos para hacer frente a estas deficiencias. Todos los controles se pueden implementar bien o mal, pueden ser suficiente o insuficiente monitoreados y ser interpretados correctamente o incorrectamente. Los seres humanos hacen la diferencia.
3. La seguridad es un objetivo a alcanzar
La seguridad no es un objetivo a alcanzar. La seguridad es mejor considerarla como una serie infinita de bifurcaciones, una serie sin fin de opciones a considerar, que se pueden ir abordando de manera incremental solucionando o causando nuevas brechas de seguridad. La seguridad se trata de tomar decisiones correctas con más frecuencia que las incorrectas.
4. La seguridad puede ser "agregada"
La seguridad es una consideración fundamental en los sistemas de información. Agregar capas de seguridad en la parte superior de sistemas que son fundamentalmente inseguros es condenar todo el sistema al fracaso. Un corolario importante es el que da Dan Geer en sus charlas y es que aunque se unan dos sistemas seguros, esto puede resultar en un nuevo sistema inseguro. Obviamente, al juntar un sistema inseguro y un sistema seguro es más probable que resulte un sistema inseguro.
5. Mi organización no está en riesgo
Esta es la hipótesis más peligrosa de todas. Si bien los atacantes no tienen recursos infinitos y no son omnipresentes, son sofisticados y tienen muy buenas capacidades y recursos. Si su organización tiene algo que sería de valor para un atacante (y la mayoría lo tiene), es mucho más seguro asumir que usted está en riesgo de pasar por alto el riesgo.
Cristian de la Redacción de Segu-Info
Simplificaciones defensivas
1. Los atacantes tienen recursos infinitosEste es un mantra tantas veces escuchado y que "conducen a la locura." Si los atacantes tienen recursos infinitos y son omnipresentes, no hay grieta en la cual ya no hayan infiltrado. Este pensamiento daría lugar al derrotismo y nos lleva a gastar muchos recursos contra ataques poco probables o completamente irreal. Los recursos de los atacantes son finitos y es absolutamente necesario aprovechar este hecho.
2. El control de seguridad "X" hará que mi organización sea segua
Los controles no proporcionan seguridad. Proporcionan herramientas a través de las cuales las brechas de seguridad pueden ser más fácilmente abordables. Los seres humanos son la causa de la mayoría de las brechas de seguridad, pero los seres humanos también son la mejor arma que tenemos para hacer frente a estas deficiencias. Todos los controles se pueden implementar bien o mal, pueden ser suficiente o insuficiente monitoreados y ser interpretados correctamente o incorrectamente. Los seres humanos hacen la diferencia.
3. La seguridad es un objetivo a alcanzar
La seguridad no es un objetivo a alcanzar. La seguridad es mejor considerarla como una serie infinita de bifurcaciones, una serie sin fin de opciones a considerar, que se pueden ir abordando de manera incremental solucionando o causando nuevas brechas de seguridad. La seguridad se trata de tomar decisiones correctas con más frecuencia que las incorrectas.
4. La seguridad puede ser "agregada"
La seguridad es una consideración fundamental en los sistemas de información. Agregar capas de seguridad en la parte superior de sistemas que son fundamentalmente inseguros es condenar todo el sistema al fracaso. Un corolario importante es el que da Dan Geer en sus charlas y es que aunque se unan dos sistemas seguros, esto puede resultar en un nuevo sistema inseguro. Obviamente, al juntar un sistema inseguro y un sistema seguro es más probable que resulte un sistema inseguro.
5. Mi organización no está en riesgo
Esta es la hipótesis más peligrosa de todas. Si bien los atacantes no tienen recursos infinitos y no son omnipresentes, son sofisticados y tienen muy buenas capacidades y recursos. Si su organización tiene algo que sería de valor para un atacante (y la mayoría lo tiene), es mucho más seguro asumir que usted está en riesgo de pasar por alto el riesgo.
Continua en la segunda parte
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!