Se un server ha installato tutte le patch per i bug noti e l'utente malintenzionato non può eseguire un attacco di 0 giorni, il server è assolutamente sicuro?
Se un server ha installato tutte le patch per i bug noti e l'utente malintenzionato non può eseguire un attacco di 0 giorni, il server è assolutamente sicuro?
La domanda stessa si basa su alcune ipotesi piuttosto critiche e non valide:
Non possiamo supporre di sapere chi è l'autore dell'attacco.
Con rare eccezioni, se ce ne sono, è impossibile sapere chi attaccherà il tuo sistema in futuro. È possibile che tu non sappia nemmeno tutti quelli che stanno attaccando il tuo sistema ora . Pertanto, devi fare ciò che puoi (entro limiti ragionevoli) per preparare tutti i possibili aggressori.
Non possiamo sapere cosa l'hacker fa o non sa.
La seconda ipotesi è molto dipendente dal primo per cominciare. Anche se sai chi ti sta attaccando, è proprio la natura degli esseri umani che una persona non conosce in modo completo o autoritario tutto ciò che un'altra persona sa.
Non possiamo sapere se un utente malintenzionato è a conoscenza delle vulnerabilità zero-day nel nostro sistema.
La natura stessa delle vulnerabilità zero-day è che noi, in quanto difensori non ne siamo a conoscenza . Ecco perché sono chiamati "zero-giorni" - finché l'attaccante è l'unico a conoscenza di una vulnerabilità, i difensori hanno avuto "zero giorni" per sviluppare o applicare patch o modifiche di configurazione necessarie per mitigarli.
Gli hacker imparano e sviluppano sempre nuove abilità, strumenti e tecniche.
Anche se sai chi è il tuo aggressore e cosa sa, e che la sua conoscenza è limitata solo alle vulnerabilità che sono state corrette sul tuo sistema, ciò non significa che non imparerà qualcosa di nuovo in il futuro. Se un utente malintenzionato ha studiato il tuo sistema e si rende conto che non conosce una vulnerabilità sfruttabile per il software e gli aggiornamenti che hai installato, la prossima cosa che probabilmente faranno è iniziare da Google per altre vulnerabilità che fanno applica. Se non viene visualizzato nulla, potrebbero provare a analizzare il sistema e il software stessi per sviluppare nuovi vettori di exploit.
Nessun sistema può essere reso assolutamente sicuro.
Questa è solo la natura grezza della sicurezza. Non importa cosa, ci sempre sarà qualcosa che può compromettere il tuo sistema. Il nostro compito è assicurarci che quel "qualcosa" richieda uno sforzo o risorse straordinari, in modo che i potenziali attaccanti siano dissuasi persino dal provare. Dovremmo anche mettere in atto sistemi di monitoraggio e avviso in modo che possiamo vedere quando un aggressore è ha successo e rispondere in modo rapido e appropriato.
Niente è "assolutamente sicuro" ci sarà sempre un modo per entrare in qualsiasi sistema con un tempo e risorse sufficienti.
Se hai patchato tutto il software più recente è fantastico! Ma questo non significa che tu non debba ancora prendere precauzioni contro password deboli, attacchi di spear phishing o codice debole che non prevenga vulnerabilità come l'iniezione SQL.
Inoltre, ti stai basando sulla premessa che non sono disponibili exploit 0-day che fraintendono il concetto di cosa sono gli 0 giorni. Per definizione, non esiste una soluzione per uno 0 giorni perché è un punto debole in un sistema che non è ancora stato scoperto.
Invece di cercare di ottenere una sicurezza assoluta, mirare a mitigare gli attacchi e sviluppare processi che consentano risposte rapide ed efficaci agli attacchi o alle violazioni.