Si estamos detrás de un firewall, ¿todavía necesitamos parchear / arreglar vulnerabilidades?

Su declaración hace dos suposiciones erróneas:

1. Su (s) servidor (es) de seguridad está (s) configurado (s) completamente, y no tiene vulnerabilidades que permitan a un atacante comprometerlo y ese estado perfecto continuará.

2. Todos en su organización son confiables y no representan ningún riesgo.

Siempre debe operar en un enfoque de defensa en profundidad y asegurar cada capa siempre que pueda. Si un atacante penetra en un perímetro, o si tiene un actor deshonesto, esta vulnerabilidad de Apache podría explotarse si no está parcheada.

Esta es una pregunta antigua y siempre tiene la misma respuesta.

No puede depender de que sus atacantes no puedan acceder a su red. Todo lo que necesita es que un solo empleado haga clic en un correo electrónico de suplantación de identidad (phishing) y el atacante tenga un control en su red. Si deja todo sin parchar, tendrán un día de campo.

Los informes de amenazas descubren de manera rutinaria que sus colegas tienen un riesgo significativamente mayor que los de terceros. Desde este informe de 2015 , por ejemplo, tenemos las siguientes cifras:

  

El 74% de las infracciones se originan dentro de la empresa extendida, ya sea   entre empleados (40%), terceros (22%) o ex empleados (12%) -   con un 26% originado fuera de la organización

     

...

     

Dos tercios (67%) de las violaciones de seguridad internas se originan en   error involuntario: uno de cada tres (33%) se debe a intenciones maliciosas

Entonces, el 33% del 74% nos da alrededor de una cuarta parte de todas las infracciones causadas por uno de sus colegas que decide que no le agradas.

Esta vulnerabilidad específica debería ser explotada por una amenaza interna maliciosa y técnicamente capaz. Por un lado, el calificador "técnicamente capaz" aquí reduce la probabilidad de ataque de manera bastante significativa. Por otro lado, "esta vulnerabilidad solo nos deja vulnerables a los que tienen información privilegiada" es una razón totalmente inadecuada para no parchear.

Sí, necesitas parchear los sistemas internos.

Supongamos que lo siguiente es verdadero (que probablemente no lo sea):

• su sistema interno es 100% impenetrable desde el mundo exterior (o está bien con cada sistema interno que se está tomando en caso de una violación).
• usted confía al 100% en todos los miembros de su organización (o, más exactamente, en cualquier persona con acceso a la intranet, que también puede incluir visitantes, empleados temporales, etc.).

Todavía hay vulnerabilidades basadas en la web que no requieren acceso a la intranet en absoluto, como se refleja específicamente XSS y CSRF.

Si adopta el mismo enfoque de no actualizar con las aplicaciones web como lo hace con los servidores web, es justo asumir que algunas aplicaciones serán vulnerables. Ahora, un atacante que sabe o adivina qué software utilizas podría obtener la ejecución de código a través de XSS o CSRF si alguien en tu organización no tiene cuidado al hacer clic en los enlaces o visitar sitios web.

Para explicar metafóricamente:

Un firewall, en el sentido habitual de un filtro de paquetes direccionales / puerta de acceso de enmascaramiento NAT, evitará que el resto del mundo alimente a su "persona" con veneno.

También evitará que causen demasiado daño al resto del mundo si se vuelven locos y violentos en caso de que alguien todavía los envenene.

A menos que los mantengas en una dieta muy estricta, no evitará que tu gente busque y coma alimentos que alguien envenenó, ya sea con el propósito expreso de envenenarlos, o simplemente por puro sadismo no dirigido, para causar terror. ...

Un cortafuegos más avanzado (inspección profunda de paquetes, lista negra / lista blanca, etc.) vigilará la comida, pero seguirá siendo poco confiable. También puede crear problemas cuando cree que el suavizante de telas es gatorade, o que el queso apestoso es un intento de gasear a todos, o que la sal que se pone en la luz verde significa que una botella de salmuera saturada será segura para consumir.

Los servicios y aplicaciones inseguros solo de Intranet son a menudo el objetivo final de las infracciones. Lamentablemente, la mayoría de las veces los administradores de redes / sistemas no confían demasiado en ellos (y me atrevo a decir que son ingenuos) a descuidarlos.

¿Qué sucede si la máquina de un usuario normalmente intranet de confianza contrae un virus, un troyano o una red de bots, o lo que sea, usted, que escanea su intranet desde adentro, y envía Esa información a una parte no confiable? Ahora, la parte que no es de confianza no solo tiene un vector en su intranet, sino que también conoce el diseño y cómo acceder a sus servicios no asegurados.

Para contrarrestar las muchas vulnerabilidades imprevistas, uno debe tener varias capas de seguridad, no solo una.

Las vulnerabilidades de software son un problema que es difícil de mitigar con problemas específicos. Medición a menos que esté completamente probado. Por lo tanto, ningún proveedor puede responderle a esa pregunta a menos que esté muy seguro acerca del método de mitigación que usa el firewall.

De hecho, debe preguntar si el parche romperá su aplicación y proceso actuales, si se puede revertir.

Para mantener actualizado un firewall y mantener actualizados los softwares son 2 líneas de defensa independientes

En resumen, la respuesta a su pregunta no puede ser sí o no, ambas están mal.

Y aquí hay algunas explicaciones de por qué:

• Un firewall "perfecto" (este modelo no existe) e incluso una intranet completamente aislada (es decir, sin una conexión a Internet) no protege sus sistemas contra la conexión dentro de esta intranet altamente protegida de un contaminado o equipo de ataque. (Esta es una retroalimentación de la vida real: ~ uno de esos ataques desde adentro / año). Consulte también Stuxnet (2010, analizado por Kaspersky Lab.) .

  En resumen, incluso un firewall "perfecto" no puede protegerlo contra el mayor riesgo desde adentro.

• En el otro extremo del espectro de eventos malvados, una actualización de un sistema operativo o un software no es la garantía de una mejora de la seguridad. La mayoría de las actualizaciones de software son incrementos en la cantidad de líneas de códigos y la ley de probabilidades nos dice que la cantidad de errores aumenta proporcionalmente. Una actualización del sistema operativo puede abrir una vulnerabilidad en el puerto 80/tcp (http) dentro de Apache que no estaba presente en la versión anterior. Y como es el caso en la configuración de muchos cortafuegos, este protocolo podría tener autorización legítima para ingresar a su red. Entonces, la actualización de su sistema operativo puede causar una grave vulnerabilidad en toda su red. Consulte también vulnerabilidad de acceso remoto a la raíz al actualizar a MacOS High Sierra (2017, analizado por Lemi Orhan Ergin) .

  En resumen, incluso una práctica "perfecta" de "actualizar siempre" no puede protegerlo contra el mayor riesgo de errores de los editores frente a un puerto abierto de su firewall.

Hay muchos otros escenarios que demuestran que ninguno de estos dos enfoques es suficiente: el firewall "perfecto", la práctica de actualización "perfecta".

Entonces, ¿qué debo hacer?

Mi consejo personal es que mantenga los firewalls y los softwares actualizados. de forma independiente después de una comprobación mínima que ninguno de ellos está introduciendo una vulnerabilidad contra la cual el otro no está preparado para defenderse.