Explicando Info-Sec em termos leigos [Parte II]

Introdução

A segurança da informação moderna pode ser difícil de entender. Termos como “ataque”, “explorar” e “vulnerabilidade” podem ser autoexplicativos, mas o que significa pentest, EDR e DAST? Por que é importante atribuir escopos de teste?

Esta é uma continuação deste artigo.

Segurança da informação moderna explicada por meio da violência

Alguém pode jogar um tijolo na sua cabeça do último andar. Isso é um ataque .

Para isso, ele irá até o canteiro de obras, subirá até o andar mais alto, pegará um tijolo, mirará e jogará no chão. Isso é uma exploração.

Sua cabeça não foi projetada para bater em tijolos com um determinado peso e aceleração. Isso é uma vulnerabilidade.

Você remove todos os tijolos do canteiro de obras, exclui a presença de qualquer pessoa nele e, por precaução, também os andares superiores. Isso é segurança.

Você coloca um capacete para reduzir de alguma forma as consequências de bater em um tijolo. Isso é antivírus / EDR .

Em suas regras de segurança, todos são prescritos para usar capacetes. Mas o pessoal andava sem capacete, e continua andando. Esta é a segurança do papel .

O capataz ainda está vivo, essa pessoa está jogando tijolos em todas as direções e o vigia já está apertando o botão vermelho. Este é um analisador de segurança.

Você contrata dois capatazes para que, em caso de falecimento de um deles, a obra não pare. Isso é tolerância a falhas formal.

Você contrata tantos capatazes quantos tijolos tiver em um canteiro de obras e mais um. Esta é a tolerância a falhas real.

Você compra um aparelho que atira tijolos em todas as direções, como bolas de tênis. Isso é DAST.

Alguém foi até o canteiro de obras, subiu aos andares superiores, matou o capataz com um tijolo e agora exige com alegria pagar-lhe uma recompensa por isso. Este é um caçador de insetos.

Você compra um simulador virtual que faz tudo igual ao DAST mas sem montar a construção. Isso é SAST.

Você compra um módulo de feedback entre o dispositivo de arremesso e o simulador de construção. Este é o IAST.

Você estava louco para comprar e pediu ajuda a uma empresa terceirizada. A empresa convida você a adquirir a última betoneira de um fornecedor renomado para resolver o problema dos tijolos. Você não se importa como um misturador de concreto e tijolos estão conectados, mas você ainda compra. Agora, não apenas tijolos podem cair de seus andares superiores, mas também uma betoneira, o que torna o problema dos tijolos não tão significativo. Este é o envolvimento de um integrador.

Você contratou um especialista para verificar a possibilidade de entrar no canteiro de obras, subir nos andares superiores e jogar tijolos nas cabeças dos funcionários. Este é um pentester .

O pentester não só conseguiu matar o capataz com um tijolo de dez maneiras diferentes, mas também destruiu todo o objeto, queimou o equipamento e forçou os vigias a se matarem. Este é um pentester experiente que não recebeu um escopo de teste a tempo.

Você fez tudo o que era concebível e inconcebível para que o tijolo caído não matasse ninguém, o objeto não pudesse ser destruído, o equipamento não pudesse ser queimado e também cintos de segurança para vigias, com certeza. No dia seguinte, o capataz cai de um sistema de freio da betoneira. Essa é a realidade da segurança da informação moderna.

https://bit.ly/3Goglsf

Pensamentos finais

Obrigado, leitores espero que todos tenham gostado. Este artigo foi publicado pela primeira vez aqui.