¿Qué tan disuasivo es la seguridad de TI?

4

Mientras observaba esta pregunta , uno de los comentarios me hizo pensar. En el comentario, el usuario afirmó que "uno debe invertir un bloqueo que cuesta $ 40, la compañía de seguros solo quiere asegurarse de que sea lo suficientemente disuasiva para que el ladrón cambie al próximo objetivo más fácil".

En el escenario de una bicicleta, la cerradura es un elemento disuasivo inmediatamente visible. Podría simplificar demasiado, pero no veo que sea completamente comparable en el ámbito de la seguridad de TI.

Por supuesto, pedir un nombre y una contraseña evitará que la mayoría de las personas intenten acceder a otras cuentas. Con la forma en que se automatizan la mayoría de los ataques, ¿muestra que requiere caracteres superiores / inferiores / números / especiales que disuaden a más personas?

Estoy pensando que golpear cualquier tipo de bloqueo impedirá que algunos atacantes menores entren solo para mirar alrededor. Sin embargo, si alguien tiene más intención de ingresar a su sistema, ¿en qué momento todas nuestras prácticas de seguridad comienzan a disuadir a los atacantes? En cierto punto, ¿tener toneladas de seguridad se convierte más en un "factor de desafío" para vencer?

    
pregunta krillgar 24.07.2018 - 18:20
fuente

3 respuestas

4
  

1: no veo que los [métodos disuasivos] sean completamente comparables en el ámbito de la seguridad de TI

Definitivamente se utilizan. Algunos de ellos están implícitos, otros no. A menudo puede encontrar carteles de seguridad alrededor de los edificios de oficinas con fotos de personas en capuchas y consejos sobre cómo bloquear su computadora cuando se aleja. (Esto es un disuasivo para los empleados). Obviamente, el lanzamiento de un esquema interno de phishing te hará despedir (implícito).

Y a menudo verá que los sitios web promocionan sus soluciones de seguridad como una manera de transmitir que es más difícil violarlos que otros sitios, y también hace que los clientes se sientan más seguros. Los centros de datos internos a menudo tienen señales de advertencia, al igual que las áreas exclusivas para empleados y la infraestructura crítica. "advertencia de alto voltaje" en la puerta de la demarcación eléctrica certificada por Nerc CIP de que realmente tendría que hacer un gran esfuerzo para electrocutarse.

¿Pero funciona? Bien ...

  

2: si alguien tiene más intención de ingresar a su sistema, ¿en qué momento todas nuestras prácticas de seguridad comienzan a disuadir a los atacantes?

En mi experiencia en ningún momento. Bloquear la puerta de su auto no detiene a un ladrón de autos profesional: ellos esperan eso. Los piratas informáticos motivados usarán advertencias, etc., como guías, como fuga de información, como una pista sobre dónde comenzar y dónde están escondidas las joyas de la corona. Si alguien ha decidido actuar de forma ilegal, una advertencia de que algo es ilegal y tiene consecuencias no tiene sentido.

  

3: ¿Mostrar que requiere caracteres superiores / inferiores / números / especiales disuade a más personas?

También no, en mi experiencia. En realidad, ayuda a identificar las máscaras hash para usar. Entonces, si un sitio dice que requiere una contraseña de 8 caracteres con un número y un símbolo, sé que probablemente el 50% o más están en el formato [Nombre] [fecha] [símbolo] y tienen 8 caracteres. Eso no es bueno para transmitir y puedo construir mis ataques basados en él. No decir nada significa que podría comenzar con 6 caracteres y luego trabajar hasta 7 y 8, o etc.

    
respondido por el bashCypher 24.07.2018 - 20:00
fuente
5

Hay varios tipos de controles diferentes, para nombrar unos pocos hay controles Disuasivos, Preventivos, Detectivos, Correctivos y Compensadores. La idea es que cada tipo de control se especialice en proporcionar un tipo diferente de seguridad.

En el caso de su candado, eso caería bajo un control disuasorio, ya que es algo destinado a ser notable y mantener a las personas alejadas. Otros ejemplos serían una señal que advierte a las personas sobre un perro guardián, cámaras de seguridad visibles, etc. Básicamente, cualquier cosa que pueda retrasar o disuadir un ataque.

Los controles preventivos están implementados para evitar que algo suceda, por lo que, nuevamente, el bloqueo también caerá en esta categoría.

La mejor práctica es colocar la seguridad en varios tipos de control (y proveedores) para mitigar las posibilidades de que un ataque sea exitoso. Sin embargo, no existe tal cosa como eliminación de riesgos , solo que puede reducirlos a riesgo aceptable tanto como sea posible.

El punto principal es que la seguridad debe causar a un atacante más problemas que los datos que se encuentran dentro, es decir. No vale la pena el esfuerzo. Aunque estoy seguro de que probablemente haya gente por ahí que disfrutaría de un desafío por el simple hecho de hacerlo en lugar de los posibles datos a los que podría llegar.

En el caso de Seguridad de TI, colocar signos de advertencia en el inicio de sesión para indicar que un usuario será procesado se clasificaría como disuasivo .

Si vieras dos bicicletas, una con un candado grande y pesado, y otra con un candado pequeño y viejo, y quisieras robar una bicicleta, ¿cuál elegirías?

Explicación adicional

Para explicar esto con más detalle, podemos dividir los controles de Disuasión en subcategorías:

  1. Técnico
  2. físico
  3. Administrativo

Explicaré cada uno individualmente a continuación.

Técnico

Los controles técnicos que disuadirían a un atacante son bastante limitados, en el caso de que el propósito de todos los controles disuasorios es simplemente intentar detener a alguien de que intenta para atacar. Para los controles técnicos, podemos utilizar señales de advertencia en las páginas de inicio de sesión, un servidor proxy que redirige para advertir a los usuarios que cierto sitio está restringido, etc. Sin embargo, no va más allá de esto

Físico

Los controles físicos son cualquier cosa que haga que parezca difícil de atacar. Cosas como una cerca alta, cámaras visibles, reflectores, etc., se clasificarían como controles de disuasión física. Las señales que indican que las áreas están fuera de los límites serían otra.

Administrativo

Los controles administrativos contienen políticas, pautas y estándares. Por ejemplo, una política de seguridad estricta que establezca consecuencias graves por la violación caerá en esta categoría. La formación para la conciencia también sería un ejemplo aquí.

En resumen, todo lo que hace que un objetivo parezca más difícil sin implementar realmente nada para detenerlo se clasifica como controles de disuasión. Por lo general, hay cierta superposición, especialmente con los controles preventivos , porque cosas como una puerta cerrada con llave o una cerca alta pueden caer en ambas categorías.

Si desea leer más sobre los otros tipos de controles de acceso, aquí hay un breve blog de una guía de estudio de CISSP que los explica bastante bien: enlace

    
respondido por el Connor J 24.07.2018 - 18:41
fuente
1

La disuasión visible solo funciona si alguien la ve realmente.

Muchos de los ataques en estos días están automatizados y no se preocuparán por su disuasión. El resto son chavales de script, por los que no tiene que preocuparse si tiene una seguridad razonable a medias, o ataques dirigidos que probablemente no serán disuadidos, ya que tienen la habilidad suficiente para considerar su disuasión simplemente como un desafío. , un obstáculo más que superar.

La seguridad de TI funciona como un excelente disuasivo en otra área: Cumplimiento.

Muchas leyes, tribunales, preguntas de responsabilidad, partes interesadas, etc., requieren que "haga algo" sobre la seguridad de TI. Ninguno de ellos tiene medidas objetivas, lo que realmente significa "efectivo", usar solo un término favorito. En muchos casos, hay varios motivos por los que se debe hacer algo visible con respecto a la seguridad, y por qué incluso podría ser preferible a una medida invisible, pero más efectiva.

    
respondido por el Tom 30.07.2018 - 15:24
fuente

Lea otras preguntas en las etiquetas