Supongamos que he identificado ciertas vulnerabilidades en un sistema y he desarrollado una arquitectura de seguridad para defenderla.
¿Cómo podría validar correctamente mi arquitectura (para demostrar que realmente funciona)? Alguien me mencionó que un método podría estar usando RTOS, pero no puedo entender completamente cómo validaría mi sistema.
¿Alguna idea?
Al final, la seguridad es solo una solución como cualquier otra; por lo tanto, su eficacia se puede probar de la forma habitual en que se puede probar cualquier solución:
No caiga en la trampa de omitir el paso 1: es esencial asegurarse concretamente de que su prueba pueda demostrar efectivamente la presencia del problema. Con demasiada frecuencia, las personas solo realizan los pasos 2 y 3, pero por alguna razón sus pruebas, aunque posiblemente sean buenas en teoría, pueden no ser efectivas en el mundo real (especificidades del entorno, efectos secundarios desconocidos, etc.). A menudo es así como uno puede terminar implementando arreglos inútiles.
Lo único específico de la seguridad es que estas fases de prueba pueden requerir el uso de conocimientos y herramientas específicos, pero como parece decir que ya identificó estas vulnerabilidades y diseñó una solución de mitigación potencial, supongo que en el peor de los casos Unas pocas búsquedas en la Web deberían ser suficientes para traerle todas las partes faltantes.
Lea otras preguntas en las etiquetas architecture validation