¿Es un modelo de amenaza totalmente subjetivo o puede basarse en pautas objetivas?

2

Todos sabemos que en el campo de la seguridad todo depende del modelo de amenaza, lo que básicamente significa que necesita definir de quién o qué está protegiendo. ¿Pero quién debería decidir esto, y sobre qué base objetiva? Dado que no puede proteger todo de todo , debe elegir las amenazas más probables y concentrarse en ellas. Pero creo que es difícil evaluar la probabilidad de una amenaza sin tomar decisiones subjetivas, y no sé si hay un método o colección de mejores prácticas que puedan ayudar.

Estoy haciendo esta pregunta porque me di cuenta de que no puedo decidir de qué proteger. Es fácil decir "no abrir archivos adjuntos de remitentes sospechosos", pero ¿quién decide quién es sospechoso y con qué exactitud? Podría definirse como "cualquiera que no esté en su lista de contactos", o "cualquiera, siempre y cuando no sea de [inserte su país rebelde favorito aquí]", pero eso me parece muy subjetivo. Si no confío en mi navegador, podría usarlo dentro de una máquina virtual, si no confío en la máquina virtual, podría usarlo en una máquina con huecos de aire, si no confío en la máquina ... bueno, nunca termina, así que de nuevo, ¿quién decide en qué debo confiar y sobre qué base? O, por ejemplo, ¿cómo sé si debo protegerme del gobierno, si soy un objetivo? Puede parecer que solo hay una línea delgada entre un modelo de amenaza y la paranoia, pero al menos se puede diagnosticar una paranoia real. El médico verifica algunos síntomas en un libro oficial y toma decisiones basadas en eso (o al menos debería hacerlo). Por analogía, si hubiera un método objetivo para definir los modelos de amenaza, el médico abriría su libro y diría: "Sí, China se considera oficialmente un país sin escrúpulos en lo que respecta a infosec, por lo que en este caso definitivamente debe rechazar el correo electrónico". viniendo de allí ", o" No, en su situación, solo debe confiar en el software en el repositorio oficial de su distro; si no confía en él, es posible que esté paranoico y tenga que tomar estas pastillas ".

    
pregunta reed 23.04.2018 - 00:48
fuente

3 respuestas

3

"no abrir archivos adjuntos de remitentes sospechosos" no es el tipo de cosa que pondría en un modelo de amenaza. La amenaza es lo que puede estar en el archivo adjunto. Es una amenaza sin importar quién la envió (y no asuma que proviene de la dirección de correo electrónico especificada).

Además, hay una diferencia entre identificar amenazas y mitigar amenazas. Sí, el hardware puede estar comprometido, y puedes identificarlo en tu modelo de amenaza, eso no significa que realmente hagas algo al respecto. gestión de riesgos básica: evitar, mitigar, aceptar o transferir. En algún nivel, todos aceptan el riesgo. Es ineludible Identifique sus amenazas más probables, calcule su presupuesto. Para cada amenaza, determine el costo a evitar, mitigar y transferir y luego determine si el costo está en línea con el riesgo. Si es así, si no es así, acepte el riesgo o obtenga un presupuesto mayor.

Finalmente, el presupuesto no siempre se trata de dinero, a menudo es tiempo. Si su riesgo # 1 toma diez veces más tiempo para mitigarlo, entonces su # 2 y # 3 combinados, pero su riesgo # 1 es solo un poco más riesgoso que el # 2, que es un poco más riesgoso que el # 3, entonces acepte el # 1 y trate con el # 2 y # 3.

No hay una fórmula para esto, se trata de juicio.

    
respondido por el Swashbuckler 23.04.2018 - 05:30
fuente
2

Para responder a la pregunta del titular, puede amenazar el modelo de forma objetiva, predecible y repetible.

Uso un marco de 4 preguntas para modelar amenazas:

  1. ¿En qué estamos trabajando?
  2. ¿Qué puede salir mal?
  3. ¿Qué vamos a hacer al respecto?
  4. ¿Hicimos un buen trabajo?

Los bloques de construcción específicos que usa para cada paso dependen de quién es usted, de dónde se encuentra en la cadena de suministro (los fabricantes de chips utilizan técnicas diferentes a las de los usuarios finales).

Sus preguntas sobre la probabilidad son parte de la respuesta # 3, y preguntan '¿nos molestamos con esto?'

Me gustaría sugerir que el lugar donde su cuadro crea problemas es la suposición de que debe centrarse en las amenazas más probables. Esto suena como la maternidad y el pastel de manzana, pero hay otras formas de resolver la cuestión, como hacer las correcciones fáciles primero.

Por ejemplo, si está creando un sistema, debe arreglar sus permisos de depósito de S3 sin intentar evaluar la probabilidad de una infracción al depósito, o su importancia. En general, deberías TLS todas las conexiones de red.

Como usuario final, debe usar un administrador de contraseñas y 2FA en sus cuentas donde pueda, porque hay muchas violaciones que filtran sus contraseñas y reutilizarlos en los sitios lo pone en riesgo. Debe activar las actualizaciones automáticas porque los fabricantes le dicen que hay defectos y que las correcciones son bastante confiables. Así que estas son formas de bajo costo y bajo esfuerzo para lidiar con amenazas objetivamente comunes. Debería preguntar si necesita flash, java y office, que son tres clientes grandes, a menudo explotados, y hay datos por ahí en varios informes de amenazas como los de Microsoft o Symantec para decirle eso. Pero no es necesario acudir a la investigación original ni a los primeros principios para decidir sobre ellos.

    
respondido por el Adam Shostack 23.04.2018 - 16:35
fuente
1

Bueno, hay pautas objetivas que pueden ayudar, aunque no con todo. Y eso también viene con el diagnóstico de paranoia, hay algunas casillas de verificación básicas, pero para algunas cosas, el médico tiene que usar su opinión y experiencia.

Entonces, en el caso de info-sec, tienes dos métricas importantes. Costo de ataque vs ganancia de ataque. Entonces, no tiene que defenderse contra una supercomputadora de 10 millones de dólares si está protegiendo $ 100 de bitcoin. No es rentable para el atacante, por lo que no atacará.

Y el costo anual de la defensa contra la pérdida anual causada por piruetas. Por lo tanto, no debe comprar firewalls HW por valor de $ 10.000 y otros equipos que protegen su bitcoin por valor de $ 100.

Estos dos son en su mayoría objetivos, sin embargo, tienes que decidir por ti mismo cuánto valoras cosas como las fotos familiares o tu privacidad. También tienes que adivinar lo que vale tal cosa para un atacante. Lo ideal sería no provocar a los atacantes, por ejemplo, afirmando que su sistema es impenetrable. Esa es solo una receta para atraer a todos los hackers con un esfuerzo y recursos casi ilimitados para romperla.

    
respondido por el Peter Harmann 23.04.2018 - 01:03
fuente

Lea otras preguntas en las etiquetas