Quanto di un deterrente visibile è la sicurezza IT?

4

Mentre guardavo questa domanda , uno dei commenti mi ha fatto riflettere. Nel commento, l'utente ha affermato che "si deve investire un lucchetto che costa $ 40, la compagnia assicurativa vuole solo assicurarsi che dia abbastanza deterrenza in modo che il ladro possa passare al prossimo obiettivo più facile".

Nello scenario di una bicicletta, la serratura è un deterrente immediatamente visibile. Potrei semplificare eccessivamente, ma non vedo che sia completamente paragonabile nel campo della sicurezza IT.

Certo, chiedere un nome e una password impedirà alla maggior parte delle persone di provare ad accedere ad altri account. Con il modo in cui la maggior parte degli attacchi sono automatizzati, mostrare di aver bisogno di caratteri superiori / inferiori / numerici / speciali scoraggiare più persone?

Sto pensando che colpire qualsiasi tipo di posto di blocco possa fermare alcuni piccoli attaccanti che entrano solo per guardarsi attorno. Tuttavia, se qualcuno è più intenzionato a entrare nel tuo sistema, a che punto tutte le nostre pratiche di sicurezza iniziano a scoraggiare gli aggressori? Ad un certo punto, avere tonnellate di sicurezza diventa più un "fattore di sfida" da battere?

    
posta krillgar 24.07.2018 - 18:20
fonte

3 risposte

4

1: I don't see [deterrent methods] being completely comparable in the realm of IT security

Sono decisamente usati. Alcuni sono impliciti, altri no. Spesso puoi trovare manifesti di sicurezza intorno agli edifici per uffici con le foto di ragazzi con i cappucci e consigli per bloccare il tuo computer quando vai via. (Questo è un deterrente per i dipendenti). Ovviamente il lancio di uno schema di Phishing interno ti farà licenziare (implicitamente).

E vedrete spesso siti Web che pubblicizzano le sue soluzioni di sicurezza come un modo di trasmettere che è più difficile violarli rispetto ad altri siti e anche far sentire i clienti più sicuri. I data center interni hanno spesso dei segnali di allarme su di essi, così come le sole aree dedicate ai dipendenti e l'infrastruttura critica. "avviso di alta tensione" sulla porta del demarcatore elettrico certificato Nerc CIP che dovresti davvero provare a farti folgorare.

Ma funziona? Bene ...

2: If someone is more intent on getting into your system, at what point do all of our security practices start to deter the attackers?

Nella mia esperienza in nessun punto. Chiudendo la portiera della tua auto non si ferma un ladro d'auto professionale: se lo aspettano. Gli hacker motivati useranno avvertenze ed ecc. Come guide, come fuga di informazioni, come indizio su dove iniziare e dove sono nascosti i gioielli della corona. Se qualcuno ha deciso di intraprendere attività illegali, un avvertimento che qualcosa è illegale e ha conseguenze non ha senso.

3: Does showing you require upper/lower/number/special characters deter more people?

Inoltre no, nella mia esperienza. In realtà aiuta a identificare le maschere di hash da utilizzare. Quindi se un sito dice che richiedono una password di 8 caratteri con un numero e un simbolo, so che probabilmente il 50% o più sono nel formato [Nome] [data] [simbolo] e sono 8 caratteri. Non è bello trasmettere e posso costruire i miei attacchi basandoci su di esso. Dire niente significa che potrei iniziare con 6 caratteri e poi lavorare fino a 7 e 8 o ecc.

    
risposta data 24.07.2018 - 20:00
fonte
5

Esistono diversi tipi di controllo, per citarne alcuni ci sono i controlli Deterrente, Preventivo, Detective, Correttivo e Compensazione. L'idea è che ogni tipo di controllo si specializzerà nel fornire un diverso tipo di sicurezza.

Nel caso del tuo lucchetto, questo cadrebbe sotto un controllo deterrente, dal momento che è qualcosa che dovrebbe essere percepibile e tenere lontane le persone. Altri esempi potrebbero essere un segnale che avverte le persone di un cane da guardia, telecamere di sicurezza visibili, ecc. Fondamentalmente tutto ciò che può ritardare o scoraggiare un attacco.

Sono presenti controlli preventivi per impedire che qualcosa accada, quindi anche in questo caso la serratura rientrerebbe in questa categoria.

La migliore pratica consiste nel stratificare la sicurezza tra diversi tipi di controllo (e fornitori) per mitigare le probabilità che un attacco abbia successo. Tuttavia, non esiste una eliminazione del rischio , solo che è possibile ridurli il più possibile a rischio accettabile .

Il punto principale è che la sicurezza dovrebbe causare a un utente malintenzionato più problemi che i dati all'interno valgono, ad es. non vale la pena. Anche se sono sicuro che ci siano probabilmente persone là fuori che apprezzerebbero una sfida puramente per il gusto di farlo piuttosto che i potenziali dati a cui potrebbero arrivare.

Nel caso della sicurezza IT, l'immissione di segnali di avvertenza all'accesso per affermare che un utente verrà perseguito verrebbe classificata come deterrente .

Se avete visto due moto, una con un grande e pesante blocco, e una con un piccolo lucchetto vecchio-guardare, e si voleva rubare una moto, quale sceglieresti?

Ulteriori spiegazioni

Per spiegarlo ulteriormente, possiamo suddividere i controlli di deterrenza in sottocategorie:

  1. Tecnico
  2. fisico
  3. Amministrativo

Spiegherò ciascuno di essi individualmente di seguito.

Techical

I controlli tecnici che potrebbero scoraggiare un attaccante sarebbe sono piuttosto limitate, nel caso in cui lo scopo di tutto deterrente controlli è semplicemente per cercare di impedire a qualcuno di di tentare per attaccare. Per i controlli tecnici possiamo usare i segnali di pericolo sulle pagine di accesso, un server proxy che reindirizza per avvisare gli utenti che un determinato sito è limitato, ecc. Non va oltre questo però

fisico

I controlli fisici sono tutto ciò che potrebbe renderlo difficile da attaccare. Cose come una recinzione alta, telecamere visibili, riflettori, ecc. Sarebbero tutte classificate come controlli di deterrenza fisica. I segni che indicano che le aree sono off limits, sarebbero un altro.

Amministrazione

I controlli amministrativi contengono politiche, linee guida e standard. Ad esempio, una rigida politica di sicurezza che prevede gravi conseguenze per la violazione rientrerebbe in questa categoria. Anche la formazione per la consapevolezza sarebbe un esempio qui.

In sintesi, tutto ciò che rende un obiettivo più difficile senza effettivamente implementare nulla per fermarli è classificato come controllo di deterrenza. Di solito c'è una certa sovrapposizione, specialmente con i controlli preventivi , perché cose come una porta chiusa a chiave o una recinzione alta possono rientrare in entrambe le categorie.

Se volete qualche ulteriore lettura su altri tipi di controlli di accesso: ecco un breve blog da una guida allo studio CISSP che li spiega piuttosto bene: link

    
risposta data 24.07.2018 - 18:41
fonte
1

La dissuasione visibile funziona solo se qualcuno la vede effettivamente.

Molti attacchi in questi giorni sono automatizzati e non ti preoccuperanno della tua deterrenza. Il resto sono entrambi degli script kiddies - di cui non ti devi preoccupare se hai una ragionevole sicurezza a metà strada - o attacchi mirati che difficilmente saranno scoraggiati così come sono abbastanza abili da vedere la tua deterrenza semplicemente come una sfida , un altro ostacolo da superare.

La sicurezza IT funziona come un deterrente grande in un'altra area: conformità.

Molte leggi, tribunali, domande di responsabilità, parti interessate, ecc. ecc. richiedono di "fare qualcosa" sulla sicurezza IT. Nessuno di loro ha alcuna misurazione oggettiva che cosa significhi "efficace", usare solo un termine preferito. In molti casi, ci sono molti motivi per cui è necessario fare qualcosa di visibile sulla sicurezza, e perché potrebbe anche essere preferibile su una misura invisibile, ma più efficace.

    
risposta data 30.07.2018 - 15:24
fonte

Leggi altre domande sui tag