La seguridad es casi siempre una compensación. A medida que el valor asignado a seguridad aumenta, algún otro valor disminuye.
El primer valor que normalmente observa es beneficia . Cuanto más gastas en seguridad, más seguridad obtienes pero menos beneficios obtendrás.
Antes de gastar dinero significativo en seguridad (y recuerde, tiempo es dinero ), debe probar un análisis de riesgo.
Determine cuánto X tiempo de inactividad le costaría a sus clientes. Determine cuánto costaría un compromiso completo del servidor o un compromiso parcial (como un volcado de base de datos de solo lectura). Estos costos pueden incluir la pérdida de reputación que se extiende más allá de esta promoción de tres meses.
El siguiente paso es algo más difícil para obtener números precisos. Trate de adivinar qué tan probable es cualquiera de los escenarios anteriores. Hable con sus clientes sobre esto porque pueden haber recibido amenazas o intentos de extorsión que deberían tenerse en cuenta en sus conjeturas. Probablemente debería incluir el tiempo de inactividad debido a DDoS no malintencionados (también conocido como ir viral ) porque la estrategia de mitigación es similar y el hecho de que usted esté fuera de la misma forma en que debe ganar más dinero es particularmente doloroso .
Una vez que conozca sus pérdidas esperadas , puede gastar dinero y tiempo tratando de mitigarlas.
DDoS y las pruebas de penetración son cosas completamente diferentes. Para la protección contra DDoS, lo más sensato es utilizar un servicio diseñado para detenerlo. Compañías como Verisign y Prolexic tienen servicios que no hacen nada por usted, aparte del filtro DDoS. Compañías como CloudFlare tienen un servicio que hace almacenamiento en caché y distribución de CDN que hace que su sitio sea más rápido y le brinde más capacidad, y también incluye la protección DDoS.
Hay dos cosas que hacer para prepararse para los intentos de compromiso:
- Asegure su sitio tanto como sea posible.
- Prepárese para lo que debería suceder si / cuando usted se comprometa.
Absolutamente debes intentar hacer algunas pruebas de penetración por ti mismo. Tome uno de los escáneres web automatizados gratuitos y ejecútelo en su sitio antes de que se publique. Encontrará las vulnerabilidades fáciles y le permitirá solucionarlas usted mismo antes de contratar los servicios de los evaluadores de penetración de terceros (si determina que valen la pena el costo). Deben encontrar más de lo que hicieron los escáneres automáticos.
Para prepararse para un compromiso, debe tener:
- Suficiente monitoreo para determinar que ha sido comprometido. AIDE / Tripewire / OSSEC son buenas herramientas para esto.
- Copias de seguridad regulares y un plan probado sobre cómo reinstalarlas. Es importante probar sus copias de seguridad. No puedo decirle cuántas veces he visto fallar el primer intento de prueba de restauración desde copia de seguridad.
- Suficiente registro para determinar cómo entró el intruso. Tienes que saber esto y corregir la vulnerabilidad o simplemente volverá a entrar.
- Máquinas potencialmente de repuesto que pueden intercambiarse cuando la principal se ve comprometida. A veces no quiere borrar las máquinas comprometidas porque tienen la evidencia de cómo se vio comprometido, pero no puede dejarlas en línea y debe mantener el sitio activo. Para eso son las máquinas de repuesto.