Hay tanta sabiduría incrustada sobre lo que hace que algo sea “seguro”. La mayor parte de la teoría se basa en un modelo operativo basado en documentos en papel en archivadores, y muy poco se transfiere directamente a la vida moderna. Gran parte de la práctica es alguna variante del sistema de seguridad original implementado en UNIX a finales de los años 60, que para ser amable al respecto, se debe revisar.
Algunas reflexiones sobre qué hacer para que sea “correcto”.
No culpes a las víctimas. Um. Usuarios, sí, eso es, usuarios …
- Para que un atacante inicie un archivo adjunto Man in the Middle, ¿necesitarán conectarse primero a la red?
- ¿Cómo puede un paquete recopilar información sobre la congestión entre dos nodos en una red?
- Cómo resolver un problema de conexión en MySQL
- Cómo reparar el alto ping y la pérdida de paquetes en CSGO
- ¿Cuál es el mejor módem WiFi (enrutador) de alta ganancia por debajo de 2500 y 2000?
Si lo que sea que esté haciendo requiera que las contraseñas sean de cierto tamaño o compuestas de ciertos caracteres o que se cambien con cierta frecuencia, lo está haciendo mal. Período. Punto final.
Debido a que cada vez que apestaba por autopsia en una violación importante, uno de los factores subyacentes clave es la rebelión de los usuarios (¡a menudo, usuarios internos!) Contra lo que les parecen reglas arbitrarias y caprichosas en las contraseñas, lo que lleva a notas adhesivas llenas de contraseñas en los escritorios o, a veces, subversión directa del proceso.
La gente tiene que recordar una asombrosa variedad de contraseñas en su vida cotidiana para su correo electrónico laboral, su correo electrónico personal, sus actividades bancarias, sus juegos, sus aplicaciones, su sistema de alarma. En promedio, una persona moderna conectada a Internet con un teléfono inteligente y una computadora en el hogar y en el trabajo tiene que recordar 30 contraseñas. ¿Cómo alguien espera que hagan eso?
Oh, claro, para aquellos de nosotros que conocemos, usamos administradores de contraseñas. Es una muleta, una herramienta que se nos ocurrió a los que trabajamos en la tecnología de seguridad para hacer posible que no nos arruinemos las cosas. Eso no está sobre la mesa para la mayoría de estas personas. Eso no es parte de cómo piensan, no es parte de su ADN, no va a suceder.
Y cuando empiezas a hablar sobre “readaptación” y “educación” y “adoctrinar una mentalidad segura”, adivina qué, esa es simplemente OTRA forma de culparlos. Es ridículo e insultante.
Mire, todos estos procesos de los que seguimos hablando “para hacer las cosas seguras” se derivan de los orígenes de las aplicaciones militares. Aplicaciones en las que los usuarios reciben capacitación y se vuelven a capacitar, luego se capacitan nuevamente hasta que tienen la carpeta de tres anillos memorizada y pueden realizarla perfectamente. Si no pueden, son reemplazados por personas que sí pueden. Y cuando fallan, hay tipos con armas que los metieron en el bergantín.
Eso es. No. Realidad. Por. Tu. Usuarios
No es su culpa; es nuestro. Por no hacerlo bien. Por utilizar sistemas que fueron diseñados para un número muy limitado de personas para controlar el acceso a información muy limitada en sistemas no conectados en red, y tratar de escalar eso a todos los sistemas del mundo en una red compartida.
Conoce la promesa que estás haciendo
Piensa en cómo los usuarios ven lo que estás haciendo y qué les estás prometiendo. Si eres un banco, les estás prometiendo que cuando pongan dinero en su cuenta, estarán allí hasta que quieran dárselo a otra persona, en cuyo caso lo harás de manera rápida y eficiente, y que si alguna vez quieren ver un registro de lo que sucedió, se lo proporcionarán de manera inmediata y correcta. Ah, y que no lo perderás, ni dejarás que nadie lo tome sin su permiso, etc.
Eso es bastante fácil de entender. ¿Cuál es tu promesa si eres Facebook? ¿O pájaro flappy? ¿O yo? O ??
Eso es … más difícil. Porque lo más probable es que no lo hayas pensado. Oh, claro, en algún lugar, tiene una Política de privacidad que puede o no ser aplicable a su uso real de datos, que en realidad puede haber sido redactada por un abogado real que realmente entiende su negocio. O podría haber sido um, “prestado” (sí, eso es, prestado) de otro sitio y tener “Brand X” borrado y Sí, esa es mi aplicación escrita.
¿Quieres saber por qué menciono eso? Porque lo veo todo el tiempo.
Entonces, Bucky, ¿cuál es tu promesa?
Decida cómo cumplir su promesa y, si no puede, modifíquela hasta que pueda
Hay un gran ejemplo de esto en el mundo real: el matrimonio y la no monogamia ética.
La promesa del matrimonio convencional es ” abandonar a todos los demás, que te guarden solo para él / ella mientras ambos vivan “, ¿verdad? Impresionante promesa. Palabras poderosas ¿Realidad? Algunos pueden hacerlo. Algunos no pueden, pero no lo saben. Algunos no pueden, y lo saben.
Para ese último grupo, ingrese a volver a negociar el acuerdo: entonces, ¿qué tal si eliminamos esa parte de “mantenernos el uno al otro” y simplemente rockear con el “mientras ambos vivan”? Y establezca algunas reglas básicas sobre cómo funciona, incluidas las reglas sobre cómo cambiar las reglas.
Voila! El problema ahora es completamente diferente: ya no tiene que descubrir cómo crear y mantener un foso impenetrable para evitar que usted o su compañero salgan al otro lado; esa no es la promesa. La promesa ahora es que cuando lo haga, será en términos bien entendidos, y que volverá.
En términos más centrados en la seguridad, eso puede ser algo así como “si usa nuestra aplicación en su teléfono inteligente registrado con su clave de autenticación de huella digital para acceder a sus datos en nuestro sitio, podemos garantizar que nadie puede interceptar ninguno de sus datos mientras usted acceda a él y le garantizamos que todos sus datos están encriptados mientras están en nuestros servidores, de modo que si alguien accede a ellos, solo obtendrán galimatías binarias. Sin embargo, si elige acceder a sus datos en nuestro sitio a través de una interfaz web, no podemos hacer ninguna garantía, pero haremos los mejores esfuerzos razonablemente comerciales para garantizar una experiencia casi idéntica “.
Promesa fuerte, una que se puede mantener (detalles técnicos de la jerga: si está en una aplicación con seguridad biométrica que puede hacer un cifrado completo de extremo a extremo en la parte frontal de la capa de servicio, y usa tokens por usuario, y construyes el back-end bien, todo esto es fácil; si tienes que usar las credenciales proporcionadas por el usuario, realmente no puedes hacer ninguna garantía, como en serio, no puedes). Puede que no sea el que sus usuarios necesitan que haga, en cuyo caso debe reevaluar su negocio, su clase de usuarios o si tiene sentido permitir el acceso a la web. O puede ser elegante y perfecto. O incluso podría ser más fuerte de lo que el usuario necesita, porque no hay nada en los “datos del usuario” que no sean videos de gatos, recirculando memes de Internet y publicaciones realizadas mientras está intoxicado (mirándote, Facebook).
Construye defensa en profundidad.
Esa frase es muy común, pero no se entiende bien, incluso por muchos de los que afirman estar entre los que entienden. Deja que te lo explique.
En el pasado, para sus procesos comerciales, tenía una base de datos en un mainframe que se compartía en el tiempo para todos los usos que la empresa podría tener. Todos necesitaban acceso a la base de datos: facturación, soporte, los propios usuarios, la capa de suministro de servicios, etc. Incluso las personas que no necesitaban acceso a la base de datos aún tenían acceso a la computadora, para otros usos. Pero eso estaba bien, porque a pesar de que era un sistema, usted controlaba a todos los usuarios, todos los cuales eran empleados. Por lo tanto, funcionó principalmente.
Hasta que sucedió Internet, y sus usuarios querían acceder a todo desde sus propias computadoras. Esa ilusión de control? Se ha ido, amigo. Ido.
El problema es que muchas, muchas compañías todavía tienen backends originalmente diseñados cuando eso era algo, o peor, tienen nuevas implementaciones construidas alrededor de comprensiones ingenuas del flujo de datos y la protección que terminan pareciéndose exactamente a eso.
Para hacerlo bien, debes pensar en capas.
Sin embargo, el usuario está llegando a usted (aplicación, web, lo que sea) necesita hablar con las computadoras que proporcionan lo que llamamos una capa de acceso. Los servidores en esa capa hacen tres cosas: primero, se aseguran de que a quien sea que estén interactuando se les permita tener acceso; segundo, hablan un canal encriptado con el usuario para que ningún tercero pueda espiar la información que fluye de un lado a otro; tercero, hablan con la siguiente capa de servidores en su red, a través de su red segura.
La siguiente capa, lo que llamamos la capa de acceso a la aplicación, ahora puede estar razonablemente segura de que está hablando con la gente con la que debería estar hablando, y hace cosas de procesamiento de datos, principalmente extrayendo datos de bases de datos y golpeándolos hasta que sea lo que el usuario pedido o tomando información que el usuario proporcionó y golpeándola hasta que esté lista para volver a ingresarla en una base de datos. Usted, como usuario, no puede hablar con él directamente, solo habla con los servidores conocidos en el front-end. Y para todo lo que desea hacer, hay un token de acceso digital que le dice a las computadoras que tiene derecho a hacer lo que quiere hacer.
Si no está permitido, no está hecho, y está registrado, y se activan las alarmas, y alguien en algún lugar lo trata (ese es un tema completamente diferente, no abordado aquí).
Si se permite, eventualmente se convierte en las computadoras de la capa de acceso que hablan con la siguiente capa, lo que llamamos los servidores front-end de la base de datos.
Solo se permite que la capa del servidor de la base de datos toque la base de datos, y solo se les permite realizar operaciones permitidas por diseño, cuando lo soliciten los tokens apropiados que autorizan el acceso que proviene solo de los servidores de la capa de acceso. Ningún usuario habla directamente con ellos, está detrás de dos capas de computadoras que deciden que usted tiene el derecho de hacer lo que está tratando de hacer, y proporciona ese acceso por proxy en su nombre.
Detrás de eso, los servidores de bases de datos reales. Cómo se construye eso, sí, depende totalmente de las necesidades del negocio. No voy a abordar eso. No importa
Lo que importa es que no hay forma de acceder a esas bases de datos, excepto a través de múltiples capas de servidores y control de acceso, excepto para las personas que tienen el trabajo de ejecutar esos sistemas. Lo que lleva a un desagradable y desagradable problema de que nadie quiere hablar sobre eso.
Su verdadero riesgo de seguridad son sus empleados .
No se trata de piratas informáticos serbios o de niños aburridos que escriben guiones de secundaria en Palo Alto o incluso de ciberguerreros a nivel estatal. Es tu personal.
La Ley de Stan es esta: si me lleva más de $ 10k en tecnología y una semana de esfuerzo, es más barato gastar ese tiempo y dinero comprando a alguien en el interior para obtener los datos.
Dependiendo de esos datos y de la organización en cuestión, los “$ 10k” pueden subir o bajar, pero el principio es el mismo.
Entonces, como CIO, CSO, CISO, y lo que es más importante, como CEO, es su trabajo crear una cultura en la que solo tenga personas en las que pueda confiar, que esté compensando los mocos al grano que intercambiar su integridad por lo que equivale al dinero de la cerveza es ridículo, y que tiene sistemas establecidos para asegurarse de que algunas cosas solo pueden ser realizadas por más de una persona trabajando juntas. Algo así como las dos llaves, lo suficientemente lejos como para que una persona no pueda girarlas que operan los controles de lanzamiento de misiles nucleares. Y lo haces tal como son las cosas, en lo profundo del ADN de quién es la compañía, en qué se convierte.
Y todo eso habla del problema real:
Su mayor riesgo de seguridad es el CEO.
Sí. Lo dije.
Su mayor riesgo es el CEO. No porque, en teoría, pueda hacer lo que quiera hacer, sino porque, de hecho, si no entienden todo esto, si no los detalles técnicos, al menos los conceptos, no priorizarán eso. No contratarán al Vicepresidente de Ingeniería que se asegura de que todo se construya correctamente. No contratarán al CSO que se asegura de que el Vicepresidente de Eng entienda lo que hay que hacer, o lo harán, luego no les dará la autoridad para matar cosas antes de que salga a producción porque no es seguro. No gastarán el dinero necesario en varias áreas.
Lo gracioso, no estamos hablando de mucho dinero. Bien hecho, puede ejecutar operaciones de hiperseguridad de manera más económica que operaciones menos seguras, en gran parte porque no se descuida sobre cómo se implementan las cosas, lo que resulta en costos más bajos.
Pero eso no se entiende bien, no es una posición popular. La seguridad es vista como “sobrecarga” porque no contribuye a la línea de fondo; se ve como evitar pérdidas en el resultado final, no es algo que es parte de la cultura, no es algo que es una parte crítica de cómo se hacen las cosas.
Porque nadie está pensando en La promesa. Es implícito, es efímero.
Hasta que se rompa.
Entonces, es muy tarde.