Se siamo dietro a un firewall, dobbiamo ancora correggere / correggere le vulnerabilità?

La tua affermazione fa due ipotesi errate:

1. Il / i firewall / i sono / sono completamente configurati correttamente e non presenta alcuna vulnerabilità che consentirebbe a un utente malintenzionato di comprometterlo e che lo stato perfetto continuerà.

2. Tutti i membri della tua organizzazione sono affidabili e non presentano alcun rischio.

Dovresti sempre operare su un approccio difensivo in profondità e proteggere ogni livello dove puoi. Se un utente malintenzionato penetra in un perimetro o se ha un attore non autorizzato, questa vulnerabilità di Apache potrebbe essere sfruttata se non viene eseguita la patch.

Questa è una domanda secolare e ha sempre la stessa risposta.

Non puoi dipendere dal fatto che i tuoi attaccanti non possano accedere alla tua rete. Tutto ciò che serve è un singolo dipendente che fa clic su una e-mail di phishing e l'attaccante ha un appiglio sulla tua rete. Se lasci tutto senza patch, avranno un field day.

I rapporti sulle minacce di solito scoprono che sei molto più a rischio dai tuoi colleghi che non da quelli esterni. Da rapporto 2015 , ad esempio, abbiamo le seguenti cifre:

74% of breaches originate within the extended enterprise – either amongst employees (40%), third parties (22%) or ex-employees (12%) – with 26% originating outside the organization

...

Two-thirds (67%) of internal security breaches originate from inadvertent error – one in three (33%) is due to malicious intent

Quindi il 33% del 74% ci dà circa un quarto di tutte le violazioni causate da uno dei tuoi colleghi che decide che a loro non piaci.

Questa particolare vulnerabilità dovrebbe essere sfruttata da una minaccia insider malevole e tecnicamente capace. Da un lato, la qualifica "tecnicamente capace" limita in modo significativo la probabilità di attacco. D'altra parte, "questa vulnerabilità ci lascia vulnerabili solo agli addetti ai lavori" è una ragione del tutto inadeguata per non applicare patch.

Sì, è necessario correggere i sistemi interni.

Supponiamo che quanto segue sia vero (che probabilmente non lo è):

• il tuo sistema interno è al 100% impenetrabile dal mondo esterno (o stai bene con ogni sistema interno che viene rilevato in caso di violazione).
• ti fidati al 100% tutti nella tua organizzazione (o più precisamente chiunque abbia accesso alla intranet, che potrebbe includere anche visitatori, impiegati temporanei, ecc.)

Esistono ancora vulnerabilità basate sul Web che non richiedono affatto l'accesso alla intranet, in particolare le espressioni XSS e CSRF.

Se si segue lo stesso approccio di non aggiornamento con le applicazioni Web come si fa con i server Web, è giusto presumere che alcune applicazioni saranno vulnerabili. Ora un utente malintenzionato che sa o indovina quale software si utilizza potrebbe essere in grado di ottenere l'esecuzione di codice tramite XSS o CSRF se qualcuno nella propria organizzazione non fa attenzione quando fa clic su collegamenti o visita siti Web.

Per spiegare metaforicamente:

Un firewall, nel solito significato di un filtro di pacchetti direzionale / gateway di mascheramento NAT, manterrà il resto del mondo alimentando il veleno "persone".

Inoltre, impedirà che causino troppi danni al resto del mondo se impazziscono e diventano violenti nel caso qualcuno ancora li avveleni.

A meno che tu non li segua con una dieta molto rigida, non impedisce alla tua gente di raggiungere e mangiare cibo che qualcuno ha avvelenato, con l'esplicito scopo di avvelenarli, o semplicemente per puro sadismo non mirato, per causare terrore ...

Un firewall più avanzato (Deep packet inspection, blacklist / whitelist ecc.) proteggerà il cibo, ma sarà comunque inaffidabile. Può anche creare problemi quando pensa che l'ammorbidente sia un gatorade, o che il formaggio puzzolente sia un tentativo di gassare tutti, o che il sale sia messo in luce verde significa che una bottiglia di salamoia satura sarà sicura da consumare.

I servizi e le applicazioni non protetti da Intranet sono spesso le end-target delle violazioni. Purtroppo, il più delle volte non fiduciosi (e oserei dire ingenui) amministratori di sistema / di rete) non li proteggono.

Che cosa succede se una macchina dell'utente normalmente fidato intranet contrae un virus, o trojan, o malware botnet, o quello che hai, che esegue la scansione della tua intranet dall'interno e invia quella informazione a una festa non fidata? Ora la parte non attendibile non ha solo un vettore nella tua intranet, conosce il layout e come accedere ai servizi non protetti.

Per contrastare le molte vulnerabilità impreviste si dovrebbero avere più livelli di sicurezza, non solo uno.

Le vulnerabilità del software sono un problema difficile da mitigare con specifiche misura a meno che non sia completamente testato. Quindi nessun fornitore può rispondere a questa domanda a meno che non sia molto sicuro del metodo di attenuazione che utilizza il firewall.

In effetti, dovresti chiedere se la patch interromperà l'applicazione e il processo correnti, indipendentemente dal fatto che possa essere ripristinato.

Per mantenere aggiornato un firewall e per mantenere aggiornati i software ci sono 2 linee di difesa indipendenti

In breve, la risposta alla tua domanda non può essere sì o no, entrambi sono sbagliati.

E qui ci sono alcune spiegazioni sul perché:

• Un firewall "perfetto" (questo modello non esiste) e persino una intranet completamente isolata (cioè senza una connessione a Internet) non protegge i tuoi sistemi contro la connessione all'interno di questa intranet altamente protetta di un ambiente contaminato o attacco al computer. (Questo è un feedback sulla vita reale: ~ un tale attacco dall'interno / anno). Vedi anche Stuxnet (2010, analizzato da Kaspersky Lab.) .

  In breve, anche un firewall "perfetto" non può proteggerti dai maggiori rischi dall'interno.

• Dall'altro estremo dello spettro degli eventi malvagi, un aggiornamento di un sistema operativo o di un software non è la garanzia di un miglioramento della sicurezza. La maggior parte degli aggiornamenti del software sono aumenti nel numero di linee di codici e la legge sulle probabilità ci dice che il numero di errori aumenta proporzionalmente. Un aggiornamento del SO può aprire una vulnerabilità sulla porta 80/tcp (http) all'interno di Apache che non era presente nella versione precedente. E come nel caso di molte configurazioni di firewall, questo protocollo potrebbe legittimamente essere autorizzato a entrare nella tua rete. Quindi l'aggiornamento del sistema operativo potrebbe causare una seria vulnerabilità all'interno dell'intera rete. Vedi anche vulnerabilità di accesso remoto a root mediante l'aggiornamento a MacOS High Sierra (2017, analizzato da Lemi Orhan Ergin) .

  In breve, anche una pratica "perfetta" di "aggiorna sempre" non può proteggerti dal maggior rischio di errori degli editor di fronte a una porta aperta del tuo firewall.

Ci sono molti altri scenari per dimostrare che nessuno di questi 2 approcci è sufficiente: il firewall "perfetto", la pratica di aggiornamento "perfetta".

Quindi cosa dovrei fare?

Il mio consiglio personale è di mantenere aggiornati i firewall e i software Indipendentemente dopo un controllo minimo che nessuno di loro sta introducendo una vulnerabilità che l'altra non è pronta a difendere.