Tengo entendido que es menos importante corregir una oportunidad perdida de fortalecimiento que una falla de seguridad, pero ¿qué criterios utiliza uno para decidir qué clasificar algo está mal con un sistema seguro?
Tengo entendido que es menos importante corregir una oportunidad perdida de fortalecimiento que una falla de seguridad, pero ¿qué criterios utiliza uno para decidir qué clasificar algo está mal con un sistema seguro?
Siempre es risk lo que define ese criterio.
¿Cuál es la probabilidad de que el problema sea explotado, cuáles son las mitigaciones implementadas para prevenir o limitar el impacto, y cuáles son los impactos de una explotación exitosa?
Una vez que están definidos, puede clasificar lo que está mal con un sistema y clasificarlos en orden o prioridad, independientemente del tipo de problema (endurecimiento, 0 días, parches, defectos, etc.).
No se puede dibujar una línea en la arena en la que puedas determinar absolutamente de qué lado estás, pero muchas veces será obvio. Por ejemplo, supongamos que vives con tu madre y no quieres que ella encuentre tu alijo de malezas:
Pero a veces no es tan obvio:
¿Pero el almacenamiento de las contraseñas de los usuarios en texto sin formato es realmente un error de seguridad ? Creo que uno podría argumentar fácilmente que no lo es, si su servidor de base de datos está bien protegido.
Lea otras preguntas en las etiquetas hardening