Perché le cose semplici (SSL, identificazione RSA, password degli utenti salati e multi-criptati, consapevolezza delle iniezioni di script, firewall ...) che una mente rigorosa di solito installa quando si installa un server Web non sono sufficienti per la sicurezza?
Che tipo di hack che vanno oltre quei semplici titoli che le grandi aziende devono affrontare così tanto da dover assumere team di esperti di sicurezza?
Considero cose come "script injections awareness" e "firewall" e anche "..." il più lontano possibile. E non dimenticare bug, backdoor, perdite di informazioni critiche, ecc., Che trovi regolarmente in software o hardware critici come glibc , openssl , firewall , router VPN ... E naturalmente c'è molto di più se si dispone di un'infrastruttura complessa e di applicazioni provenienti da fonti diverse che funzionano insieme.
Tutti questi bug in software e hardware di terze parti insieme a bug nel proprio software rendono possibile attaccare un server da diversi modi. Se le modalità dirette non funzionano contro un host, è possibile farlo in modo indiretto come attaccare il router, il firewall o l'amministratore remoto. E una volta superate le prime protezioni, spesso sei libero di muoverti. La vera sicurezza richiede un sacco di conoscenze e tempo, che in sostanza significa un sacco di soldi. Ciò include il monitoraggio dei file di registro, l'aggiornamento del software ma anche il mantenimento delle informazioni più recenti perché spesso un problema è noto agli hacker prima che esista anche un aggiornamento .
In sostanza hai risposto da solo: è in scala.
Se hai un server, è facile assicurarsi che sia bloccato correttamente e che gli sviluppatori non abbiano commesso errori nel loro codice.
Se hai dieci server, è ancora abbastanza facile, ma nel caso di una nuova vulnerabilità zero-day, sono 10 i server necessari per testare il lavoro con la versione con patch, quindi aggiornare. Sta diventando un po 'più difficile.
Se disponi di centinaia di server, ognuno con applicazioni distinte, ciascuno sviluppato da diversi team (pensa a quante applicazioni supportano Google, ad esempio, ma anche le aziende più piccole possono facilmente raggiungere alcune dozzine di applicazioni, se prendi cose come webmail , Sharepoint, portali di business continuity, applicazioni CRM, ecc.), Tutti aggiornati e modificati regolarmente, spinti e attirati dai requisiti aziendali, ha senso che qualcun altro venga a vedere cosa potrebbe essere andato storto in quel processo!
Più grande è il sito, più grande è la ricompensa per gli attaccanti. Maggiore è la motivazione per gli attaccanti che mirano specificamente al tuo sito e cercano vulnerabilità particolari.
Per i siti di piccole dimensioni, le patch e le pratiche di sicurezza di base sono sufficienti per proteggerti dagli attacchi automatizzati / a livello di script del kiddie. Questi stanno cercando il frutto appeso più basso; Ci sono abbastanza siti che eseguono versioni vulnerabili conosciute di joomla o Wordpress per renderli felici.
Ma se il tuo "in scala" i dettagli nel tuo database utente (e-mail, nomi, dettagli personali) è sufficiente per attirare un attaccante intelligente e determinato e quindi le tue difese devono diventare più sofisticate per corrispondere.
Il più grande rischio per la sicurezza delle informazioni che le grandi aziende devono affrontare, che va oltre la difesa tecnica, è la fallibilità umana. L'ingegneria sociale è spesso molto più semplice e più efficace del tentativo di forzare l'ingresso in una rete. Perché provare a hackerare in una rete quando puoi semplicemente chiamare un membro dello staff e chiedere la loro password, per esempio. Le piccole imprese sono in qualche modo meno inclini a questo perché, a) di solito sono un target meno desiderabile eb) è più facile istruire e monitorare le attività di un gruppo più piccolo. Una grande quantità di sicurezza informatica va a proteggere i dipendenti da loro stessi.
Tutta l'educazione alla sicurezza nel mondo potrebbe non essere necessariamente sufficiente per difendersi da risposte umane innate. Considera quanto segue ...
Mary, PA al CEO di un'azienda molto grande, riceve una chiamata frenetica una sera poco prima di lasciare il lavoro ...
"Ciao Mary, questo è Bill dell'IT. Rileviamo alcune attività sospette sulla rete e crediamo che qualcuno stia tentando di hackerare l'account di Terry (CEO). Il suo computer sta eseguendo la versione 3.6.4 di Anti- Hacker XYZ, e abbiamo bisogno di aggiornarlo urgentemente a 3.6.5 Sono fuori sede, quindi non posso farlo Posso inviarti un'e-mail con la patch richiesta e farti funzionare? "
Ora Mary non conosce Bill, ma perché dovrebbe, ci sono 50 persone nel team IT. Lei non li conosce tutti. Sta chiamando da un cellulare sconosciuto, ma di nuovo, non è raro. Sa che non dovrebbe aprire allegati sconosciuti, ma questo non è sconosciuto, perché ha ricevuto quella chiamata.
Un esempio molto elaborato, ma potenzialmente, con nient'altro che informazioni prontamente disponibili sul sito web dell'azienda, un hacker ha convinto l'amministratore delegato del CEO a installare un Trojan sul computer dell'amministratore delegato.