Expliquer Info-Sec en termes simples [Partie II]

Introduction

La sécurité de l'information moderne peut être difficile à comprendre. Des termes comme « attaquer », « exploiter » et « vulnérabilité » peuvent être explicites, mais que signifient pentest, EDR et DAST ? Pourquoi est-il important d'attribuer des portées de test ?

Ceci est la suite de cet article.

La sécurité de l'information moderne expliquée par la violence

Une personne peut vous jeter une brique sur la tête depuis le dernier étage. C'est une attaque .

Pour ce faire, il va se rendre sur le chantier, monter au dernier étage, ramasser une brique, viser et la jeter par terre. C'est un exploit.

Votre tête n'est pas conçue pour frapper des briques avec un poids et une accélération donnés. C'est une vulnérabilité.

Vous retirez toutes les briques du chantier de construction, excluez la présence de toute personne dessus et, au cas où, également les étages supérieurs. C'est la sécurité.

Vous mettez un casque pour réduire en quelque sorte les conséquences de heurter une brique. Il s'agit d'anti-virus/EDR .

Dans vos règles de sécurité, tout le monde est prescrit de porter un casque. Mais le personnel a marché sans casque et continue de marcher. C'est la sécurité du papier .

Le contremaître est toujours en vie, cette personne lance des briques dans tous les sens et le gardien appuie déjà sur le bouton rouge. Il s'agit d'un analyseur de sécurité.

Vous embauchez deux contremaîtres pour qu'en cas de décès de l'un d'eux, le travail ne s'arrête pas. Il s'agit de la tolérance aux pannes formelle.

Vous embauchez autant de contremaîtres que vous avez de briques sur un chantier de construction plus un de plus. Il s'agit de la tolérance aux pannes réelle.

Vous achetez un appareil qui lance des briques dans tous les sens, comme des balles de tennis. C'est DAST.

Une personne s'est rendue sur le chantier, a grimpé aux étages supérieurs, a tué le contremaître avec une brique et demande maintenant avec joie de lui payer une récompense pour cela. Ceci est un chasseur de bogues.

Vous achetez un simulateur virtuel qui fait tout comme DAST mais sans construire la construction. C'est SAST.

Vous achetez un module de rétroaction entre le dispositif de lancement et le simulateur de construction. C'est IAST.

Vous étiez fou d'acheter et vous vous êtes tourné vers une société tierce pour obtenir de l'aide. L'entreprise vous invite à acheter la dernière bétonnière d'un fournisseur renommé pour résoudre le problème des briques. Vous ne vous souciez pas de savoir comment une bétonnière et des briques sont connectées, mais vous achetez quand même. Maintenant, non seulement des briques peuvent tomber de vos étages supérieurs, mais aussi une bétonnière, ce qui rend le problème des briques moins important. C'est l'intervention d'un intégrateur.

Vous avez engagé un expert pour vérifier la possibilité d'entrer sur le chantier, de monter aux étages supérieurs et de jeter des briques sur les chefs d'état-major. Il s'agit d'un pentester .

Le pentester a non seulement pu tuer le contremaître avec une brique de dix manières différentes, mais il a également détruit l'ensemble de l'objet, brûlé l'équipement et forcé les gardiens à s'entre-tuer. Il s'agit d'un pentester expérimenté qui n'a pas reçu de périmètre de test à temps.

Vous avez fait tout ce qui était concevable et inconcevable pour que la brique tombée ne tue personne, que l'objet ne puisse être détruit, que le matériel ne puisse être brûlé, et aussi des ceintures de sécurité pour les gardiens, bien sûr. Dès le lendemain, le contremaître est tombé d'un système de freinage de la bétonnière. C'est la réalité de la sécurité de l'information moderne.

https://bit.ly/3Goglsf

Dernières pensées

Merci, les lecteurs espèrent que vous l'avez tous aimé. Cet article a été publié pour la première fois ici.