it-swarm-es.com

Si estamos detrás de un firewall, ¿aún necesitamos parchear / reparar vulnerabilidades?

Recientemente me uní a una comunidad centrada en la seguridad en mi organización. Muchos de nuestros productos se implementan en la intranet (in situ), nada en la nube pública. Por lo tanto, solo se puede acceder a los portales internos dentro de la red de la organización.

Recientemente, se publicó una vulnerabilidad de seguridad de la biblioteca Apache de un tercero (aparentemente, una ejecución remota de código). Nuestro líder de seguridad nos había pedido que actualizáramos la biblioteca a la última versión fija de inmediato.

Le pregunté, "Dado que solo se accede al portal en la intranet detrás de un firewall, ¿aún necesitamos actualizar la biblioteca?". El líder no pudo proporcionar una explicación detallada debido a la falta de tiempo y confirmó que la actualización debe realizarse independientemente.

Entonces, ¿qué tiene de malo la declaración (suposición?), "Ya que estamos detrás de un firewall y esas vulnerabilidades no nos afectan".

73
Rakesh N

Su declaración hace dos suposiciones defectuosas:

  1. Su (s) firewall (s) está (n) configurado (s) completamente (s) y no tiene vulnerabilidades que permitan que un atacante lo comprometa y ese estado perfecto continuará.

  2. Todos en su organización son confiables y no presentan riesgos.

Siempre debe operar con un enfoque de defensa en profundidad y asegurar cada capa siempre que pueda. Si un atacante penetra en un perímetro, o si tiene un actor deshonesto, esta vulnerabilidad de Apache podría explotarse si no se parchea.

161
iainpb

Esta es una pregunta antigua y siempre tiene la misma respuesta.

Chewy Center

No puede depender de que sus atacantes no puedan acceder a su red. Todo lo que se necesita es que un solo empleado haga clic en un correo electrónico de suplantación de identidad (phishing) y el atacante tenga un control en su red. Si deja todo sin parchar, tendrán un día de campo.

58
gowenfawr

Los informes de amenazas rutinariamente descubren que usted está significativamente más en riesgo por parte de sus propios colegas que de personas externas. De este informe de 2015 , por ejemplo, tenemos las siguientes cifras:

El 74% de las infracciones se originan dentro de la empresa extendida, ya sea entre empleados (40%), terceros (22%) o ex empleados (12%), y el 26% se origina fuera de la organización

...

Dos tercios (67%) de las infracciones de seguridad internas se originan por error involuntario: uno de cada tres (33%) se debe a una intención maliciosa

Entonces, el 33% del 74% nos da alrededor de una cuarta parte de todas las infracciones causadas por uno de sus propios colegas que deciden que no les agradas.

Esta vulnerabilidad específica necesitaría ser explotada por una amenaza interna maliciosa y técnicamente capaz. Por un lado, el calificador "técnicamente capaz" aquí reduce significativamente su probabilidad de ataque. Por otro lado, "esta vulnerabilidad solo nos deja vulnerables a los de adentro" es una razón totalmente inadecuada para no parchear.

27
ymbirtt

Sí, necesita parchear los sistemas internos.

Supongamos que lo siguiente es cierto (que probablemente no lo sea):

  • su sistema interno es 100% impenetrable desde el mundo exterior (o está bien con que se controle cada sistema interno en caso de incumplimiento).
  • confía al 100% en todos los miembros de su organización (o más exactamente, cualquiera con acceso a la intranet, que también puede incluir visitantes, empleados temporales, etc.).

Todavía hay vulnerabilidades basadas en la web que no requieren acceso a la intranet en absoluto, específicamente reflejadas XSS y CSRF.

Si adopta el mismo enfoque de no actualizar con las aplicaciones web que con los servidores web, es justo suponer que algunas aplicaciones serán vulnerables. Ahora, un atacante que sabe o adivina qué software usa puede obtener la ejecución del código a través de XSS o CSRF si alguien en su organización no tiene cuidado al hacer clic en los enlaces o visitar sitios web.

13
tim

Para explicar metafóricamente:

Un cortafuegos, en el sentido habitual de un filtro direccional de paquetes/pasarela de enmascaramiento NAT, evitará que el resto del mundo alimente a la fuerza su veneno de "personas".

También evitará que causen demasiado daño al resto del mundo si se vuelven locos y violentos en caso de que alguien aún los envenene.

A menos que los mantenga en una dieta muy estricta, no evita que su gente busque y coma alimentos que alguien envenenó, ya sea con el propósito expreso de envenenarlos, o simplemente por puro sadismo no dirigido, para causar terror ...

Un cortafuegos más avanzado (inspección profunda de paquetes, lista negra/lista blanca, etc.) controlará la comida, pero aún no será confiable. También puede crear problemas cuando cree que el suavizante de telas es gatorade, o que el queso maloliente es un intento de gasificar a todos, o que la sal con luz verde significa que una botella de salmuera saturada será segura para el consumo.

6
rackandboneman

Los servicios y aplicaciones inseguros de Intranet son a menudo el objetivo final de las infracciones. Lamentablemente, la mayoría de las veces los administradores de sistemas/redes demasiado confiados (y me atrevo a decir ingenuo) descuidan su seguridad.

¿Qué sucede si una máquina del usuario de normalmente confiable intranet contrae un virus, un troyano o un malware de botnet, o qué tiene usted, que escanea su intranet desde dentro y envía esa información a una parte no confiable? Ahora, la parte que no es de confianza no solo tiene un vector en su intranet, sino que conoce el diseño y cómo acceder a sus servicios no seguros.

Para contrarrestar las muchas vulnerabilidades imprevistas, uno debe tener múltiples capas de seguridad, no solo una.

6
unknownprotocol

Las vulnerabilidades de software son un problema que es difícil de mitigar con mediciones específicas a menos que se prueben por completo. Por lo tanto, ningún proveedor puede responderle tal pregunta a menos que esté muy seguro sobre el método de mitigación que usa el firewall.

De hecho, debe preguntar si el parche interrumpirá su aplicación y proceso actuales, si puede revertirse.

5
mootmoot

Para mantener actualizado un cortafuegos y mantener softwares actualizados hay 2 líneas de defensa independientes

En resumen, la respuesta a su pregunta no puede ser sí o no, ambos están equivocados.

Y aquí hay algunas explicaciones por qué:

  • Un firewall "perfecto" (este modelo no existe) e incluso una intranet completamente aislada (es decir, sin conexión a Internet) no protege sus sistemas contra la conexión dentro de esta intranet altamente protegida de una computadora contaminada o de ataque. (Este es un comentario de la vida real: ~ uno de esos ataques desde adentro/año). Ver también Stuxnet (2010, analizado por Kaspersky Lab.) .

    En resumen, incluso un firewall "perfecto" no puede protegerlo contra el mayor riesgo desde el interior.

  • En el otro extremo del espectro de eventos malvados, una actualización de un sistema operativo o un software no es la garantía de una mejora de la seguridad. La mayoría de las actualizaciones de software son aumentos en el número de líneas de códigos y la ley de probabilidades nos dice que el número de errores aumenta proporcionalmente. Una actualización del sistema operativo puede abrir una vulnerabilidad en el puerto 80/tcp (http) dentro de Apache que no estaba presente en la versión anterior. Y como es el caso en muchas configuraciones de firewall, este protocolo podría tener permiso legítimo para ingresar a su red. Entonces, la actualización de su sistema operativo puede causar una vulnerabilidad grave en toda su red. Consulte también vulnerabilidad de acceso remoto a la raíz actualizando a MacOS High Sierra (2017, analizado por Lemi Orhan Ergin) .

    En resumen, incluso una práctica "perfecta" de "actualizar siempre" no puede protegerlo contra el mayor riesgo de errores de los editores frente a un puerto abierto de su firewall.

Hay muchos otros escenarios para demostrar que ninguno de estos 2 enfoques es suficiente: el firewall "perfecto", la práctica de actualización "perfecta".

¿Entonces qué debo hacer?

Mi consejo personal es mantener actualizados los firewalls y los softwares de forma independiente después de un mínimo control de que ninguno de ellos está introduciendo una vulnerabilidad contra la cual el otro no está preparado para defenderse.

1
dan