Sistemas paralelos, en caso de que alguno de los dos tenga exploits conocidos

Si bien la mayoría de los elementos ya han sido recogidos y discutidos por dr jimbob en esta respuesta , me gustaría llamar su atención sobre lo siguiente:

1. Este tipo de problema se llama "falla de modo común".

2. Nancy G. Leveson ha estudiado fallas en el modo común y la supuesta solución de software redundante (pilas de software, como usted describe) y señaló que los puntos en común pueden ser mucho más profundos de lo esperado. Por ejemplo, ambos sistemas pueden compartir una implementación de algún protocolo, lo que significa que está conectado si hay una vulnerabilidad en algún lugar del interior. El mismo desarrollador puede haber sido contratado por las dos compañías, o los programadores eran demasiado perezosos y poco imaginativos para inventar su propio algoritmo y simplemente seleccionaron el mismo algoritmo de una fuente disponible públicamente. Realmente no hay límite para tales puntos en común, y no puede descartar ninguno de ellos sin un examen exhaustivo del código.

3. Tener ambas pilas en línea significa que un adversario dotado e ingenioso podrá entrar en ambas y posiblemente subvertir el mecanismo de conmutación.

4. Tener una pila caliente y otra fría significa que la pila fría debe mantenerse actualizada con todos los parches de seguridad (por lo tanto, no está completamente fría , incluso si las actualizaciones están listas detrás de la brecha de aire, y no proporciona disponibilidad total).

5. El mayor inconveniente de su esquema es que existe un punto en común fundamental: ambos sistemas están implementados en software . Si realmente desea defenderse en profundidad contra una amenaza avanzada, cree un sistema separado y simplificado que no dependa de redes sofisticadas . La telefonía vieja y sencilla (incluso telefonía con sonido ) y los operadores humanos son muy útiles para este propósito.

Esto parece algo contraproducente. Es mucho más trabajo mantener un sistema redundante, construido en una pila de software completamente diferente, y mantener los datos sincronizados entre los dos sistemas muy diferentes. Más que duplica el trabajo necesario (mantener dos sistemas duplica el trabajo y luego mantenerlos sincronizados y coherentes). La experiencia requerida será diferente en pilas muy diferentes, por lo que probablemente tendrás que tener un nuevo conjunto de personal y lidiar con todo el gastos generales de intercomunicación de grupo .

También duplica la exposición potencial. En lugar de ser vulnerable a los ataques de día cero en la pila que eligió, sus datos son vulnerables a ser robados si cualquiera de las pilas tiene algún agujero de día cero en ellas siempre que esa pila esté operativa. (Este no sería el caso si una pila está siempre fuera de línea desde el mundo exterior hasta que sea necesario).

Por supuesto, en los casos en que el tiempo de inactividad es completamente inaceptable, tal solución puede tener sentido, donde tiene una pila estándar con todas sus características de lujo y una pila de emergencia en caso de caso algo simplificada a la que puede cambiar si hay problema con sus sistemas principales o están experimentando una actualización importante.

Nunca he escuchado de nadie haciendo exactamente tu enfoque. Cuando considera las vulnerabilidades de día cero, esto no le ayuda mucho, ya que no tiene idea de qué días cero existen en cada pila. Potencialmente podría duplicar su exposición, ya que un atacante con un día cero en la pila B podría esperar hasta que cambie de A a B y luego atacarle.

Sin embargo, se sigue ampliamente un principio similar. Un diseño de red común es "Internet - firewall - dmz - firewall - red interna". En tales diseños, algunos expertos en seguridad abogan por el uso de firewalls de dos proveedores diferentes. La teoría es que si existe una vulnerabilidad en un firewall de un proveedor, no existirá en el otro, por lo que no será posible que un atacante pase de Internet a la red interna.

De hecho, esto solía ser un consejo estándar, pero ahora ha sido desacreditado. El problema es que su red interna está en mayor riesgo de ataques basados en el navegador en las estaciones de trabajo, y el uso de dos cortafuegos diferentes no hace absolutamente nada para solucionarlo. Además, ha resultado que los firewalls parecen ser una apuesta bastante segura: se han descubierto pocas vulnerabilidades graves.

Es más común en estos días tener un solo firewall con múltiples conexiones para DMZ, redes internas, etc. De hecho, tal disposición es preferible porque hace que sea más barato y más fácil configurar segmentos de red aislados, y eso tiene mucho más beneficios de seguridad que el uso de múltiples proveedores de firewall.