Você precisa saber como atacar para se defender melhor?

O conhecimento do seu ambiente é o primeiro passo para protegê-lo: conhecer os sistemas, aprender sobre as linguagens e a versão do sistema operacional, saber como os servidores interagem e os controles de proteção já implementados, entender que tipo de organização você está tentando para proteger.

Depois de obter esse conhecimento, as técnicas de ataque são fundamentais, pois permitem que você audite esses sistemas na produção e antes que eles cheguem lá, além de ajudar a expor as suposições sobre como seus sistemas são executados. Suposição: Nosso firewall está funcionando bem. Realidade: O nmap acaba de retornar uma lista de sistemas que possuem portas vulneráveis expostas à internet, vamos dar uma olhada mais de perto nas nossas regras de firewall.

Mas há um perigo, uma vez que você tenha visto todos os ataques que saem de BH / defcon todos os anos, você pode ficar mais focado nos novos ataques e sentir falta de outros fundamentos essenciais. por exemplo. Você corre e desabilitou a virtualização baseada em BIOS porque leu tudo sobre os rootkits da Blue Pill, mas os sistemas não são corrigidos ou rastreados por um firewall e ainda são adquiridos por uma unidade por download.

Acho que a minha pergunta mais importante não é "o que um atacante poderia fazer contra o meu sistema?" mas em vez disso "O que a maioria dos invasores está fazendo agora contra pessoas que executam sistemas como o meu?"

Em geral, sim, você deve saber como o sistema funciona para subvertê-lo, então você sabe um pouco melhor como proteger seus sistemas e sua rede.

Se você abordar sua rede com a mentalidade de "se eu quisesse fazer XYZ, como eu faria isso?" você poderá então dizer: "Se alguém fez ABC, como posso pará-los?" e pegue a partir daí.

Estes são tipos de assuntos via satélite para entender como o sistema funciona em primeiro lugar.

Você se defenderia melhor se aprendesse a lutar?

Eu acho que sem tentar ativamente "quebrar as coisas", é difícil desenvolver a mentalidade certa - ser capaz de pensar como um hacker.

Um interessante livro lançado recentemente, onde vários especialistas em segurança de alto perfil discutem "a mentalidade de segurança" é Beautiful Security

Sim. Eu acho que sim.

Geralmente, não é até que você ative ativamente para trabalhar em torno de uma solução, especialmente quando se trata de segurança, que você começará a descobrir suas fraquezas além de um uma mentalidade de papel.

Se você deseja uma resposta mais detalhada, talvez seja necessário fornecer alguns detalhes específicos.

Você saberá como defendê-los melhor quando obtiver um profundo entendimento de como eles funcionam, não necessariamente como atacá-los.

Por exemplo, se você gasta muito tempo pesquisando e estudando o código-base do Apache, e todas as opções que ele oferece, você poderá defendê-lo e fortalecê-lo bem. Com esse conhecimento, você também poderá atacá-lo (talvez você até encontre bugs).

Então, o conhecimento profundo leva a uma melhor defesa (e ao conhecimento atacante), e não o contrário.

** não é vítima do pensamento de que só porque você pode executar alguns scripts de shell ou executar o Metasploit que você sabe como o sistema funciona ... *

Segurança e contra-segurança são apenas a mesma medalha ... não apenas o mesmo lado.

Se você quer fazer segurança passiva, como se proteger do que você conhece e se um problema acontecer, você conserta, você não precisa da mentalidade hacker.

Se você quer fazer segurança ativa, como em proteção e prevenção, você quer estar dois passos à frente dos hackers ... caso em que a mentalidade dupla é necessária. No entanto ... na indústria, nem sempre é fácil justificar o tempo dedicado à segurança. Cabe aos patrões ver se querem investir ou não nessa prevenção, mas precisam entender o valor agregado para analisar adequadamente se vale a pena ou não.

Quanto aos detalhes da sua pergunta, sim, você verá seus recursos com outro ponto de vista, descobrindo as conseqüências de decisões e configurações anteriores e seu impacto.

A maioria das ferramentas de análise do sistema são, essencialmente, ataques, sondando portas abertas e vulnerabilidades conhecidas. Então, se você sabe como executar a ferramenta e interpretar os resultados, sabe o suficiente para proteger seus sistemas.

Quase.

O problema com o "Quase" é que ele pode consumir todo o seu tempo e vários outros profissionais, tentando preencher a lacuna entre as vulnerabilidades que suas ferramentas conhecem e o que PODE ser vulnerável no futuro.

Em vez de gastar tanto tempo tentando aprender como atacar seus próprios sistemas, a melhor abordagem é usar as práticas recomendadas atuais - Organize sua rede para defesa em profundidade, atualize senhas strongs com frequência, configure dois fatores de autenticação, use menos privilégios, encerre serviços desnecessários e faça correções com frequência.

Na medida em que para poder ser bom em explorar um sistema, você deve primeiro entender, sim.

Mas kiddies de script demonstram há muito tempo que você não precisa saber sobre um sistema para explorá-lo. Você só precisa conhecer métodos para explorá-lo. Normalmente, métodos desenvolvidos por outra pessoa que conhece.

Da mesma forma, não é necessário saber atacar um sistema para saber como defendê-lo. Por exemplo, posso dizer-lhe que, para construir um bom firewall, você deve bloquear tudo e permitir que apenas algumas portas se conectem (aquelas que você deseja que o público acesse), em vez de bloquear portas "ruins". Também posso dizer que, ao programar um aplicativo PHP, a limpeza de todos os dados (não apenas os dados do usuário, mas todos os dados que vêm de fora do programa!) Impede falhas de segurança e problemas de script entre sites.

Claro, você pode sentar e inventar novos ataques, mas são os ataques que os atacantes mal-intencionados usam que são uma ameaça ao seu sistema, não aos ataques que você concebe. Ao mesmo tempo, parando fora do perímetro por um momento e apenas perguntando "como posso entrar?" provavelmente teria salvado os caras do filme "Aliens" um monte de tristeza. :)

Acho importante saber como tudo o que você usa funciona e conhece seus pontos fracos. Desconfio de quantos "auditores de segurança" estão por aí que nunca configuraram um servidor em suas vidas, mas são aqueles que entram em grandes empresas, realizam auditorias e dizem às pessoas o que é certo e errado, mas não têm experiência. com qualquer coisa.

Sim, de certa forma. O mais importante é pelo menos estar ciente dos métodos que os hackers usam para penetrar nos sistemas. Isso abre seus olhos para muitas coisas que você poderia não considerar como ameaças em potencial. (Claro, se você tiver experiência com as ferramentas e métodos dos hackers, você será ainda melhor na defesa, mas isso leva muito tempo e recursos isolados.)

Sabendo como o seu carro funciona, permite diagnosticar melhor o seu problema e consertá-lo sozinho ou levá-lo à loja. Depois de levá-lo para a loja, você tem uma boa ideia se o mecânico está mentindo para você ou lhe dizendo algo que parece razoável.

Olhando em volta da sua casa em todas as portas e janelas e "pensando como um ladrão" permite-lhe defender melhor a sua casa de uma pausa, tomando medidas adequadas, como luzes de segurança, aparando arbustos e arbustos, possivelmente até mesmo configurar câmeras de segurança.

Na mesma linha de pensamento, saber como seus sistemas funcionam permitirá que você "pense como um hacker" e tente pensar nas vulnerabilidades mais comuns.

Conhecimento é poder.