DDOS - sicurezza o rischio operativo?

Naviga le tue risposte
27

Il responsabile della sicurezza di una società IT di medie dimensioni (400-500 dipendenti) ha recentemente pubblicato un bollettino in cui afferma che gli attacchi DDOS non sono un rischio per la sicurezza ma operativo. Inoltre mi è stato detto che in un precedente incontro ha negato che DDOS o gli attacchi correlati sono sotto la sua responsabilità.

Dalla mia comprensione, la sicurezza comprende tre temi principali:

Riservatezza, integrità, disponibilità

A mio parere, gli attacchi DDOS sono chiaramente un rischio per la sicurezza poiché mirano direttamente alla disponibilità di un servizio - e quindi sono anche chiaramente nell'ambito delle responsabilità di un capo della sicurezza. Allora, chi ha ragione?

  • I DDOS attaccano un rischio operativo o di sicurezza?
posta fgysin 15.06.2015 - 08:18
fonte

5 risposte

39

Penso che sia una falsa dicotomia, e il tuo CSO è semplicemente sciocco.

Sebbene mi piacciano le sciocchezze, il dipartimento di sicurezza dovrebbe guidare la mitigazione del rischio. Lottare su aree di "responsabilità" non è ovviamente produttivo, sebbene possa inserirsi nella cultura aziendale generale.

Mentre ci sono vari modi per qualificare il regno della sicurezza e la loro responsabilità - la triade della CIA è una, ma ce ne sono altre - una CSO matura e responsabile dovrebbe almeno cercare una soluzione.

Ho sentito alcuni affermare che la distinzione tra "rischio di sicurezza" e "rischio operativo" è se esiste un potenziale attore di minacce o semplicemente un uso accidentale o improprio.
Anche se questo ha molto senso, penso che un approccio più pragmatico sarebbe semplicemente accettare l'esistenza di una sostanziale sovrapposizione tra i due - e questo significa solo che ci sono più risorse per lavorare sul problema, non che tutti possano abdicare alla responsabilità .

Detto questo - in questo caso specifico, il processo che raccomanderei è che il CSO (o le persone tecniche nel suo dipartimento) guidino la procedura di mitigazione, definisca un quadro per i livelli di rischio, ecc. e poi lo passino alle operazioni implementare una soluzione adatta. Forse la gente della sicurezza può raccomandare una soluzione, o forse dovrebbero semplicemente definire le metriche che la soluzione dovrebbe soddisfare, a seconda di come il team è tecnico / pratico.

In questo modo, la società può gestire il fatto che mentre il rischio è un rischio per la sicurezza, la soluzione è operativa.

    
risposta data 15.06.2015 - 09:04
fonte
17

Anche se in generale non sono d'accordo con il CSO, posso vedere una ragione per cui ha disegnato questa linea.

La domanda può venire alla delineazione di chi deve guidare gli sforzi di mitigazione e riparazione. DDoS, ovviamente, influisce sulla disponibilità, ma viene generalmente gestito dal team operativo. Se si verifica un evento DDoS, il tuo CSO potrebbe ritenere che non ci sia nulla che possa fare e desidera che un'altra parte si faccia carico. In altre parole, non chiamare il CSO alle 2:00 quando DDoS sta accadendo, ma chiamalo alle 2:00 in caso di violazione.

Considerare lo scopo della triade della CIA. Ogni CSO dovrebbe essere in ultima analisi responsabile dei sistemi antincendio e di sicurezza nella sala server? Gli incendi sono anche un rischio di disponibilità. Ma, in alcune organizzazioni, tale responsabilità dovrebbe ricadere su un responsabile delle strutture e non sul CSO (anche se il CSO dovrebbe avere una mano in quest'area.) Nella situazione simile come sopra, se l'allarme antincendio si spegne alle 2:00, chiama il responsabile delle strutture, non il CSO. Il tuo CSO potrebbe disegnare questo tipo di linea per equiparare incendi e DDoS come lo stesso tipo di rischio per l'organizzazione.

Detto questo, è anche possibile che un evento DDoS possa essere una distrazione o una leva per un attacco di sicurezza più ampio, quindi credo che il CSO debba ancora essere coinvolto a un certo livello.

Quindi, in senso stretto, hai ragione nella tua valutazione e generalmente sono d'accordo con te, ma potrebbe arrivare a una diversa comprensione delle definizioni dei ruoli e delle risorse disponibili.

    
risposta data 15.06.2015 - 19:41
fonte
2

Gli attacchi DDoS rientrano nelle categorie operative e di sicurezza a causa della triade menzionata sopra. Tuttavia, il personale addetto alla sicurezza tende ad essere più informato degli attacchi, così come AviD ha detto che dovrebbe esserci comunicazione tra i team di sicurezza e IT per risolvere il problema piuttosto che perdere ore a coprire la ricerca che potrebbe essere risolta con una telefonata di 10 minuti.

    
risposta data 15.06.2015 - 19:28
fonte
2

Dal punto di vista tecnico, 1s e 0s, è corretto, ma la "portata accettata" delle minacce alla sicurezza include la disponibilità. Tuttavia, tutte le aziende sono libere di assegnare le responsabilità come meglio credono, pertanto il tuo CSO potrebbe semplicemente affermare che non è sua responsabilità attenuare quel particolare rischio.

    
risposta data 15.06.2015 - 22:30
fonte
2

Lo considero sia operativo (o biz) che come rischio per la sicurezza.

Biz:

Le aziende corrono sulla reputazione e se la reputazione passa per un lancio a seguito di un attacco DDOS; se i dirigenti di livello C falliscono nell'area di controllo dei danni. La situazione è particolarmente grave quando si esegue un servizio B2B.

Sicurezza

I cracker possono usare gli attacchi DDOS come parte della strategia diversione dell'attenzione per attaccare o trovare altre aree vulnerabili.

    
risposta data 16.06.2015 - 06:59
fonte

Leggi altre domande sui tag

Che cosa rende difficile avere un antivirus hardware? La crittografia in HTTPS è eseguita dal browser o dal sistema?