Parece que sua pergunta se resume a: "Os controles de acesso impedem que os worms se espalhem?"
A resposta geral do caso é "Talvez". Ter controles de acesso é uma forma de defesa em profundidade , o que significa que é mais uma barreira que o software mal-intencionado tem de violar para fazer o que está tentando fazer (espalhar para outros sistemas, criptografar seus servidores, roubam seus dados).
Normalmente, a maioria dos sistemas de controle de acesso tem um mecanismo que permite o controle de acesso configuração (ou seja, quais controles de acesso são; quais usuários / IPs / objetos são permitidos / bloqueados; etc.) modificado. O alvo de muita pesquisa de segurança (por chapéus pretos e brancos) é, portanto, o mecanismo de configuração do sistema de controle de acesso e o que seria necessário para obter acesso não autorizado para alterar o controle de acesso.
Então, esse é um caminho: encontrar uma exploração que permita que o invasor altere legitimamente o que é permitido / proibido para favorecer seu vetor de ataque. Por exemplo, obter o escalonamento de privilégios para um administrador de controle de domínio provavelmente permitiria que o invasor alterasse as configurações do AD que permitiriam a disseminação de seu worm nas unidades de rede.
Outra maneira é encontrar um mecanismo de controle de acesso que possa ser contornado, mesmo quando está sendo aplicado . Este é o equivalente em software a correr horrivelmente, passando por um policial, e mesmo que o policial veja você, o carro dele não pode ir rápido o suficiente para alcançá-lo, e você de alguma forma escapar à justiça completamente, mesmo que ele peça ajuda. estrada.
Então, ao invés de alterar uma configuração, se você encontrar uma vulnerabilidade como essa, as configurações não importam - deixe-a "bloqueada" ou "desativada" para todos os cuidados do atacante; Ele pode efetivamente enviar uma carga de dados que de alguma forma convence seu sistema a tratar os dados do invasor como se ele fosse permitido ou ativado.
Se você tiver um software em rede com uma vulnerabilidade não corrigida e alguém souber sobre essa vulnerabilidade, você nunca estará seguro. Como as vulnerabilidades de "dia zero" surgem o tempo todo, portanto, você nunca está realmente seguro; amanhã um novo dia-zero poderá surgir, aproveitando novas explorações.
Nenhum controle de acesso pode impedir definitivamente todas as formas desse tipo de ataque. A maneira mais confiável de evitar que algo como o software criptográfico estrague seu dia é ter backups offline que não estejam de forma alguma conectados à rede. Existem muito poucos vetores de ataque que podem explorar fraquezas com segurança física, e aqueles que podem, devem ser direcionados especificamente para instalações individuais (roubar o crachá de um funcionário autorizado e usá-lo para entrar por uma entrada não vigiada, por exemplo). / p>
Existem outros mecanismos de defesa em profundidade além dos controles de acesso que podem ajudar (mas também não são uma panacéia). Um Sistema de Detecção de Invasão de Rede (NIDS), como o Snort, também pode ajudá-lo, detectando cargas de ataque na rede e bloqueando-as antes que elas atinjam seus sistemas vulneráveis. Eles usam heurística e correspondência de padrões direcionados para identificar tentativas de exploração conhecidas ou potenciais e bloqueá-las. Muitos desses sistemas vêm com algum tipo de serviço de atualização em tempo real, que aplicará regras de bloqueio para afastar os vetores de ataque conhecidos assim que forem detectados, o que pode levar dias ou semanas para imunizar todos os seus sistemas. com um patch de software. Eles, portanto, reduzem sua janela de vulnerabilidade.
Mas não, todas as melhores práticas de segurança combinadas são completamente ineficazes contra um conjunto de explorações apropriadamente direcionadas que aproveitam as vulnerabilidades não corrigidas. Se isso o deixar acordado à noite, escreva ou compre um sistema operacional certificado EAL7 (e certifique-se de não executar nenhum software nele que também não é o mesmo nível de certificação). É a única maneira de ser 100.0% matematicamente positivo de que não existem vulnerabilidades. (Mas, mesmo assim, um erro do usuário pode levar a uma configuração incorreta que permite que uma vulnerabilidade na configuração seja explorada - o equivalente a ter um bloqueio de porta perfeitamente seguro e, em seguida, deixá-lo desbloqueado > - oops, nunca termina.)