¿Por qué las cosas simples (SSL, identificación RSA, contraseñas de usuarios encriptadas y en salazón, reconocimiento de inyecciones de script, firewall ...) que una mente rigurosa suele configurar cuando se instala un servidor web no es suficiente seguridad?
¿Qué tipo de piruetas que van más allá de esos simples valores a los que se enfrentan las grandes compañías que tienen que contratar equipos de expertos en seguridad?
Considero que cosas como "reconocimiento de inyecciones de guiones" y "firewall" y también "..." no son simples. Y no olvide los errores, las puertas traseras, las filtraciones de información crítica, etc. que usted encuentra regularmente en el software o hardware crítico como glibc , openssl , firewalls , enrutadores VPN ... Y, por supuesto, hay mucho más que esto si tiene una infraestructura compleja y aplicaciones de diferentes fuentes. que trabajan juntos.
Todos estos errores en software y hardware de terceros junto con errores en su propio software hacen posible atacar un servidor de varias maneras. Si las formas directas no funcionan contra un host, se puede hacer de manera indirecta como atacar el enrutador, el firewall o el administrador remoto. Y una vez que pasas las primeras protecciones, a menudo eres libre de moverte. La seguridad real requiere mucho conocimiento y tiempo, lo que en esencia significa mucho dinero. Esto incluye la supervisión de los archivos de registro, la actualización del software y también la actualización de la información más reciente, ya que a menudo los piratas informáticos conocen un problema incluso antes de que exista una actualización .
Básicamente, usted mismo ha respondido esto: está a escala.
Si tiene un servidor, es fácil asegurarse de que esté bloqueado correctamente y de que los desarrolladores de software no hayan cometido ningún error en su código.
Si tiene diez servidores, todavía es bastante fácil, pero en caso de una nueva vulnerabilidad de día cero, necesita 10 servidores para probar el trabajo con la versión parcheada y luego actualizar. Se está poniendo un poco más difícil.
Si tiene cientos de servidores, cada uno ejecutando distintas aplicaciones, cada una desarrollada por diferentes equipos (piense en cuántas aplicaciones admite Google, por ejemplo, pero incluso las compañías más pequeñas pueden llegar fácilmente a unas pocas docenas de aplicaciones, si toma el correo web. , SharePoint, portales de continuidad de negocios, aplicaciones de CRM, etc. en cuenta), todos se actualizan y cambian con regularidad, se ven impulsados por los requisitos del negocio, ¡tiene sentido que alguien más venga y vea lo que pudo haber fallado en ese proceso!
Cuanto más grande sea el sitio, más grande será la recompensa para los atacantes. Cuanto mayor sea la motivación de los atacantes para que se dirijan específicamente a su sitio y busquen vulnerabilidades específicas.
Para sitios pequeños, las revisiones y las prácticas de seguridad básicas son suficientes para protegerlo de los ataques automatizados / de script para niños. Estos están buscando la fruta que cuelga más baja; Hay suficientes sitios que ejecutan versiones vulnerables conocidas de joomla o Wordpress para mantenerlos contentos.
Pero si está "a escala", los detalles en su base de datos de usuario (correos electrónicos, nombres, datos personales) son suficientes para atraer a un atacante inteligente y determinado, por lo que sus defensas deben ser más sofisticadas para igualar.
El mayor riesgo de seguridad de la información que enfrentan las grandes empresas, que va más allá de la defensa técnica, es la falibilidad humana. La ingeniería social suele ser mucho más fácil y más efectiva que tratar de forzar la entrada a una red. ¿Por qué intentar piratear una red cuando simplemente puede llamar a un miembro del personal y pedir su contraseña, por ejemplo? Las pequeñas empresas son algo menos propensas a esto porque, a) generalmente son un objetivo menos deseable, yb) es más fácil educar y monitorear las actividades de un grupo más pequeño. Una gran cantidad de esfuerzos de seguridad de la información se destina a proteger a los empleados de ellos mismos.
Toda la educación sobre seguridad en el mundo puede no ser necesariamente suficiente para protegerse contra las respuestas humanas innatas. Considera lo siguiente ...
Mary, PA, al CEO de una compañía muy grande, recibe una llamada frenética una noche antes de salir del trabajo ...
"Hola Mary, este es Bill de TI. Estamos detectando alguna actividad sospechosa en la red, y creemos que alguien está intentando piratear la cuenta de Terry (CEO). Su computadora está ejecutando la versión 3.6.4 de Anti- Hacker XYZ, y necesitamos actualizarlo urgentemente a 3.6.5. Estoy fuera del sitio, así que no puedo hacerlo. ¿Puedo enviarle un correo electrónico con el parche requerido y hacer que lo ejecute? "
Ahora Mary no conoce a Bill, pero ¿por qué ella? Hay 50 personas en el equipo de TI. Ella no los conoce a todos. Está llamando desde un móvil desconocido, pero de nuevo, eso no es raro. Ella sabe que no debe abrir archivos adjuntos desconocidos, pero esto no es desconocido, porque recibió esa llamada.
Un ejemplo muy ingenioso, pero potencialmente, con nada más que información fácilmente disponible en el sitio web de la empresa, un pirata informático ha convencido a la AP del CEO para que instale un troyano en la computadora del CEO.