¿Debería el reciente ataque Tiny Chip enseñarnos a invertir menos en nuestra postura de seguridad?

No , por muchas razones.

Primero, establezcamos que ahora mismo (2018-10-05) ha habido una preocupación perceptible dentro de la comunidad de Seguridad sobre el hecho de que "lo que sabemos" hasta ahora es muy escaso y depende en gran medida de la reputación de los reporteros Las empresas han "denegado" que están "muy detallados, niegan el informe Bloomberg punto por punto". El GCHQ tiene públicamente admitido esos rechazos, y Homeland Security el 10/06 acordaron que" no tienen razón para dudar de las declaraciones de las compañías nombradas en la historia ".

Es muy posible que las personas con suficiente autorización para saber más tengan demasiada autorización para hablar de ello, pero tal como está, existe la posibilidad de que sea FUD .

Dicho esto -

1. Todas las amenazas que no son Tiny-Chip todavía existen, y vale la pena gastar dinero para mitigar el mañana como lo fueron ayer.
2. Con lo poco que sabemos sobre Tiny Chip hoy en día, no hay razón para pensar que la arquitectura tradicional de seguridad, la ingeniería y las prácticas operativas no reducirán ni eliminarán la amenaza. Por ejemplo, la segmentación se ha citado como una contramedida que podría ser efectiva.
3. Tiny Chip tiene siempre existía como parte del modelo de amenaza. Todo lo que (potencialmente) ha cambiado es su alcance, y si una amenaza se industrializa lo suficiente como para ampliar el alcance de esa manera, ese es el momento exacto para que los profesionales de la seguridad se ocupen del problema. Los problemas industriales * son más susceptibles a contramedidas bien diseñadas que una sola vez.
4. Tiny Chip cae en la categoría de amenazas de actores del Estado de la nación. Hay muchas cosas que Nation-States puede hacer para comprometer su seguridad, sobre las cuales no puede hacer nada . Siempre lo he sido. Siempre será. Afortunadamente, para la mayoría de las empresas, los ataques del Estado-nación son una parte limitada o incluso inexistente de su panorama de amenazas. Kim Dotcom enojó a muchos gobiernos: Kim's Nails en Wabash Way, Plainfield, muy pocos de ellos.
5. Podría, incluso de manera más plausible, proponer que las empresas simplemente dejen de usar las computadoras como un método eficaz para reducir el riesgo de Chip Hacking. El negocio sería menos vulnerable, dependería menos de los profesionales de seguridad y saldría del negocio aún más rápido: ¡gana, gana, gana!

* Cuando digo "Industrial", me refiero a "implementado de manera sistemática, lo que implica algunos aspectos comunes de los dispositivos, métodos y comportamientos". Si quieres chip 5 portátiles a mano, está bien. Si desea chip una línea de producción de 50,000 computadoras portátiles, tendrá que industrializar el proceso, y el resultado tendrá una uniformidad que facilita la detección y las contramedidas.

Los presupuestos de seguridad existen para mitigar el riesgo personal y de su negocio (regulatorio / legal, relaciones públicas, moralle, etc.).

Funcionan de manera similar a las pólizas de seguro. Ningún seguro cubre todas las situaciones, o lo indemniza por completo contra el riesgo, pero lo reduce y lo hace más predecible.

No cancelaría sus pólizas de seguro si hubiera una serie de robos en el vecindario, de hecho, eso es lo último que querría hacer.

El reciente ataque de chip pequeño requiere la cooperación de su proveedor de hardware. Alguien necesita acceso físico al hardware que se le entregará y colocará los chips.

Por lo tanto, la única consideración de presupuesto que tendría sentido a la luz de este hilo es aumentar su presupuesto para la adquisición de hardware para que pueda elegir a sus proveedores con más cuidado.

Todas las demás amenazas a su seguridad operativa aún existen.

• Los hackers de sombrero negro de todo el mundo que se sientan en casa e intentan piratear servidores aleatorios para divertirse y obtener ganancias no tienen acceso a su cadena de suministro de hardware.
• Sus competidores que quieren robar sus secretos comerciales no tendrán acceso a su cadena de suministro de hardware.
• Los ex empleados descontentos que desean usar su conocimiento interno para dañar a su compañía ya no tienen acceso a su cadena de suministro de hardware (si alguna vez tuvieron).

Además, la práctica de seguridad adecuada puede realmente defenderse contra este escenario de ataque:

• Los sistemas adecuados de detección de intrusiones pueden detectar tráfico inusual en la red (así es como descubrimos estos chips en primer lugar).
• Las DMZ con cortafuegos pueden evitar la comunicación entre los chips y los atacantes.
• Las prácticas de aislamiento adecuadas pueden evitar que los sistemas comprometidos accedan a sistemas no comprometidos.

¿Deberíamos reducir los presupuestos para la ciberseguridad? ¡Tendría que decir NO! Lo que pasa con la mente humana es que evoluciona y, finalmente, alguien propondrá una solución. Los presupuestos deben aumentarse y más investigadores de seguridad de guerra cibernética deben asumir la tarea porque una sola mente encontrará una solución. Una cosa que el creador siempre tiene el antídoto. Esta es la guerra moderna: aprender, adaptar, evolucionar y amp; Tomar represalias