Explicando Info-Sec en términos sencillos [Parte II]

Introducción

La seguridad de la información moderna puede ser difícil de entender. Términos como "ataque", "explotación" y "vulnerabilidad" pueden explicarse por sí mismos, pero ¿qué significan pentest, EDR y DAST? ¿Por qué es importante asignar ámbitos de prueba?

Esta es una continuación de este artículo.

La seguridad de la información moderna explicada a través de la violencia

Alguien puede tirarte un ladrillo a la cabeza desde el último piso. Este es un ataque .

Para hacer esto, irá al sitio de construcción, subirá al piso más alto, recogerá un ladrillo, apuntará y lo tirará hacia abajo. Esto es una hazaña.

Tu cabeza no está diseñada para golpear ladrillos con un peso y una aceleración determinados. Esta es una vulnerabilidad.

Quita todos los ladrillos del sitio de construcción, excluye la presencia de cualquier persona en él y, por si acaso, también los pisos superiores. Esto es seguridad.

Te pones un casco para reducir de alguna manera las consecuencias de golpear un ladrillo. Esto es antivirus/EDR .

En sus normas de seguridad, todo el mundo está obligado a llevar casco. Pero el personal anduvo sin cascos, y sigue andando. Esta es la seguridad de papel .

El capataz sigue vivo, esa persona está tirando ladrillos en todas direcciones, y el vigilante ya está apretando el botón rojo. Este es un analizador de seguridad.

Contratas a dos capataces para que en caso de fallecimiento de uno de ellos, el trabajo no se detenga. Esta es la tolerancia a fallas formal.

Contratas tantos capataces como ladrillos tienes en una obra de construcción más uno más. Esta es la tolerancia a fallas real.

Compras un dispositivo que lanza ladrillos en todas direcciones, como pelotas de tenis. Esto es DAST.

Alguien se dirigió al sitio de construcción, subió a los pisos superiores, mató al capataz con un ladrillo y ahora exigió con alegría pagarle una recompensa por esto. Este es un cazador de errores.

Compras un simulador virtual que hace todo lo mismo que DAST pero sin construir la construcción. Esto es SAST.

Compra un módulo de retroalimentación entre el dispositivo de lanzamiento y el simulador de construcción. Esto es IAST.

Estaba loco por comprar y recurrió a una empresa de terceros en busca de ayuda. La empresa lo invita a comprar la última hormigonera de un proveedor de renombre para resolver el problema con los ladrillos. No le importa cómo se conectan una hormigonera y los ladrillos, pero igual compra. Ahora, no solo pueden caer ladrillos de sus pisos superiores, sino también una hormigonera, lo que hace que el problema de los ladrillos no sea tan importante. Esta es la participación de un integrador.

Contrataste a un experto para comprobar la posibilidad de entrar en la obra, subir a los pisos superiores y dejar caer ladrillos sobre la cabeza del personal. Este es un pentester .

El pentester no solo pudo matar al capataz con un ladrillo de diez maneras diferentes, sino que también destruyó todo el objeto, quemó el equipo y obligó a los vigilantes a matarse entre sí. Este es un pentester experimentado al que no se le asignó un alcance de prueba a tiempo.

Hiciste todo lo imaginable e inconcebible para que el ladrillo caído no matara a nadie, el objeto no pudiera ser destruido, el equipo no pudiera ser quemado, y también los cinturones de seguridad para los vigilantes, para estar seguros. Al día siguiente, el capataz se cae del sistema de frenos de la hormigonera. Esta es la realidad de la seguridad de la información moderna.

https://bit.ly/3Goglsf

Pensamientos finales

Gracias, lectores, espero que les haya gustado a todos. Este artículo se publicó por primera vez aquí.