Cómo decidir el flujo de software / proceso de negocio es lo suficientemente seguro

Navega tus respuestas
0

La mayoría de las veces, cuando desarrollamos un flujo de software para implementar una lógica de negocios, a menudo tomamos decisiones que afectan el uso seguro y cómodo del sistema y quizás el éxito del negocio.

Por ejemplo, para validar a un miembro que está intentando actualizar datos importantes del sistema (como datos de tarjetas de crédito, etc.), podemos decidir solicitar una confirmación por SMS con OTP. Así que podemos enviar código de 4 dígitos y pedir confirmación. Pero primero, ¿cómo podemos estar seguros de que OTP sobre SMS es lo suficientemente seguro para nuestro proceso? ¿Cuánto tiempo deberíamos enviar OTP, 4 dígitos suficiente? ¿Es lo suficientemente seguro usar solo números en lugar de letras también? Por supuesto, siempre intentamos facilitar la tarea a los miembros para que les resulte cómodo y no decidan dejar de usar nuestros sistemas. De lo contrario, podríamos hacerlo tan duro como podamos para que sea más seguro.

Por supuesto, esto no es una pregunta específica y la respuesta no sería clara, pero estoy haciendo esta pregunta para comprender si existe una metodología o método estadístico para decidir el proceso de negocio o el flujo de software estadísticamente seguro. Porque, en su mayoría, decidimos de acuerdo con el nuestro y algunos de los colegas no opinan nada más que no sea medible. Debe haber una manera de manejar tales preguntas?

Entonces, ¿alguna idea?

    
pregunta Walt S. 24.07.2015 - 17:52
fuente

2 respuestas

1

Básicamente, debe realizar una evaluación de riesgos y la empresa debe definir sus límites.

Evaluación de riesgos

Se realiza para identificar el riesgo para una empresa. En la seguridad de la información, estos riesgos se presentan en forma de calzones / ingeniería social / etc. El riesgo tiene una descripción definida que es

Riesgo = Pérdida potencial X Probabilidad de que algo suceda

La evaluación de riesgos utiliza dos formas de aplicar valor a una evaluación.

Quantitative

Cuantitativo es una evaluación de valor que típicamente tiene un valor numérico. Por ejemplo, podría medir el valor numérico de sus líneas de datos entrantes y compararlas con las pérdidas que su empresa sufriría (en términos de dólares) si esas líneas fuesen bajadas

Cualitativo

Cualitativo es una evaluación de valor que normalmente no se puede medir en formas numéricas. Por ejemplo, qué tan fácil sería para un atacante que Ingeniero Social realizar cambios en la información de la cuenta.

Como consejo, si nunca antes ha realizado una evaluación de riesgos, le recomendaría encarecidamente que contrate a una empresa para que realice una pequeña evaluación con usted. Hay muchas cosas que pueden incluirse en estos y si bien Internet tiene excelentes recursos sobre qué es y qué está tratando de lograr con esto. Es una especie de todo el mapa en la ejecución de uno. Conozca cómo lo hace otra persona, vea qué incluye, y luego tome ese conocimiento y mejore sobre él.

    
respondido por el Shane Andrie 24.07.2015 - 18:38
fuente
0

Por supuesto, 8 dígitos alfanuméricos son "más seguros" que 4 dígitos numéricos.

Pero también hay varios vectores de ataque que envían OTP a través de SMS. Así que no atacaría adivinando un número de 4 dígitos pseudoaleatorios, pero lo haría

  1. atacar el proceso de lanzamiento. El número de 4 dígitos es algo que se genera en casa usando una clave secreta o un generador de números aleatorios. Tal vez pueda echarle una mano a esto.

  2. atacar el teléfono de los usuarios simplemente robándolo durante un corto período de tiempo. Incluso Sheldon fue capaz de hacer esto en la teoría del Big Bang ;-)

  3. roba el número de teléfono de las personas. Hace algunos años, esto se hizo con éxito falsificando la identidad de las personas y transfiriendo el número de teléfono móvil a un nuevo proveedor. Obtendré todos los SMS entonces.

  4. Configuración de una estación base de transceptor y que el teléfono de las víctimas se conecte a mi BTS.

Shane ya dio una impresión de lo que "lo suficientemente seguro" debería significar para ti.

Si quieres estar más seguro con respecto al segundo factor, puedes pensar en usar tokens de hardware como el yubikey, que puedes iniciar tú mismo. La solución de código abierto privacyIDEA admite todas esas formas, SMS, token de hardware, yubikey ... Así puede decidir en qué proceso desea tener qué nivel. de seguridad.

    
respondido por el cornelinux 09.08.2015 - 12:49
fuente

Lea otras preguntas en las etiquetas

Guardia de CSRF: ¿Inyecta el token en la solicitud POST? Qué hacer contra el ataque continuo de FTP