Modelo de seguridad positiva
Un modelo de seguridad “positiva” (también conocido como “lista blanca”) es el que define lo que está permitido, y rechaza todo lo demás.
El modelo de seguridad positiva se puede aplicar a un número de diferentes áreas de seguridad de aplicaciones. Por ejemplo, cuando se realiza la validación de una entrada, el modelo positivo dicta que se deben especificar las características de entrada que se permitirán, en lugar de tratar de filtrar malas entradas. En el área de control de acceso, el modelo positivo niega acceso a todo, y sólo permite el acceso a los recursos autorizados o funciones específicas. Si alguna vez has tenido que lidiar con un firewall de red, entonces probablemente te has encontrado con esta aplicación del modelo positivo.
4.01 - Describir el concepto de un modelo de seguridad negativo
Modelo de Seguridad Negativo
Un modelo de seguridad “negativo” (o “lista negra”) es aquel que define lo que no está permitido, mientras que de forma implícita que permite todo lo demás.
Un modelo de seguridad negativo (o la detección basada en el mal uso) se basa en un conjunto de reglas que detectan ataques en lugar de permitir sólo el tráfico válido.
Un modelo de seguridad negativo es muy común para la detección de intrusiones y sistemas de prevención (IDP). Por lo tanto, es muy importante entender cuáles son las diferencias entre el modelo de seguridad negativa proporcionada por un IDPS y el modelo de seguridad negativa proporcionada por un WAF
4.01 - Describir los beneficios de un modelo de seguridad positiva
Beneficios de un modelo de seguridad positiva
La ventaja de utilizar un modelo positivo es que los ataques "0-day" (Una nueva vulnerabilidad para la cual no se crearon parches o revisiones, y que se emplea para llevar a cabo un ataque) se evitarán así como deficiencias relacionadas con desarrollo. Sin embargo, el modelo positivo es susceptible a falsos positivos en que si no se tiene en cuenta todo lo que la aplicación necesita para funcionar en la directiva se bloqueará. Además, si la aplicación cambia tendrá que construir una nueva política personalizada para que coincida con los nuevos cambios.
4.01 - Describir los beneficios de un modelo de seguridad negativo
Beneficios de un modelo de seguridad Negativo
El beneficio de un modelo de seguridad negativo es que puede desplegarse rápidamente. Usted no tiene que preocuparse con la construcción de una política complicada que tiene que lidiar con cada función transaccional de la aplicación. Simplemente están bloqueando cualquier ataques conocidos que podrían suceder. Son vulnerables a los ataques 0-day de los cuales no se conoce el patrón del ataque.
4.01 - Seguridad (Non-Blueprint)
Módelos de Seguridad Positivo y Negativo
Después de muchos años de seguridad puramente negativa proporcionada por los escáneres antivirus, IDS / IPS, y los motores antispam, es refrescante escuchar que el módle de seguridad positiva - la base de verdaderos dispositivos de seguridad como cortafuegos y de red ACL-se están poniendo de moda. Más recientemente, este resurgimiento positivo ha girado en torno a la Web Application Firewall (WAF) y el mercado de la seguridad de aplicaciones. Sin embargo, esta reaparición positivo lleva consigo un punto de detalle muy interesante: aunque muchos en el espacio WAF argumentan que el modelo positivo es preferible, casi todos los proveedores de seguridad de la aplicación todavía se basan en una solución parcialmente negativa. Si bien reconocen que un modelo de seguridad positivo es el modelo preferible para asegurar las aplicaciones web, muchos profesionales y vendedores abogan por un enfoque bilateral de seguridad, tanto positivos como negativos.
A medida que el mercado de la seguridad de aplicaciones sigue evolucionando y definiéndose a sí mismo, sigue habiendo opiniones divergentes sobre cuál metodología de seguridad es la mejor opción. En realidad, las decisiones de seguridad de la empresa dependen de muchos factores, la mayoría de los cuales son más de negocio que la tecnología orientada altamente a la deguridad. La implementación de una solución de seguridad de aplicación, que es a la vez segura y práctica permite la naturaleza fluida de la protección de las aplicaciones dinámicas, requiere tomar las mejores partes de tecnología y análisis de negocio y sintetizarlos en una solución eficaz y eficiente de seguridad.
¿Qué significa “buen” Coste de Seguridad?
En teoría, la mejor seguridad es impenetrable, pero la seguridad práctica no funciona como grupo de control. En un entorno empresarial, la seguridad es un problema multifactorial. ¿Cuál es el rendimiento de la seguridad? ¿Es fácil de implementar? ¿Qué impacto tendrá la seguridad añadiendo el costo por transacción? ¿Es más caro construir un sistema de seguridad impenetrable o el riesgo que cubre el coste de una acceso no permitido? La calidad de la seguridad siempre se cuestiona así, pero nunca es la única cuestión. Muchas de las preguntas relacionadas con la seguridad provienen de los balances, no los ingenieros de seguridad. Acercarse a la seguridad desde un punto de vista técnico por sí solo no ayudará a la empresa; también la daña.
Las empresas analizan constantemente su modelo económico para generar mejores eficiencias operativas y un mayor retorno de la inversión; existe todo un mercado de inteligencia de negocio para este propósito. La fuerza impulsora detrás de cualquier decisión de seguridad IT es una evaluación de los riesgos potenciales de una situación frente a la inversión necesaria para evitar estos riesgos. En la misma línea, los esfuerzos de seguridad que se deben abordar es un problema de negocio y debe servir para aumentar la eficiencia operativa. Las infracciones de seguridad pueden estropear esta eficiencia, perjudicando valor de una empresa, ya sea en dinero real, en tiempo de inactividad operativa, o en la pérdida de la confianza del cliente. En verdad, la motivación detrás de cada decisión de IT (incluyendo las decisiones de seguridad) es una decisión de negocios. Esto se ha manifestado por Gartner, así:
Jay Heiser, vicepresidente de Gartner, dijo que el problema fundamental con un enfoque puramente técnico es que los profesionales de seguridad no tienen comprensión de los negocios. En su intervención en la Cumbre de Seguridad IT Gartner en Londres, este dijo que los negocios deben ahora madurar y designar a las personas que entienden la complejidad de negocio, no sol de la simplicidades de seguridad.
Cuando las decisiones de IT se convierten en decisiones de negocio, borrando la distinción entre el valor seguro y el valor del negocio, la seguridad teórica y aplicada, o práctica, la seguridad comienzan a separarse. El enfoque teórico pone la seguridad en un plano singular, al margen de otros factores de negocio; la seguridad aplicada se compone de la medida y el nivel de medidas de seguridad e implementaciones reales necesarios para cumplir los objetivos de negocio.
Para que un producto de seguridad sea una parte funcional de una infraestructura de IT empresarial, la seguridad aplicada del producto debe prestar más atención a la seguridad teórica del producto. Una solución que sólo se esfuerza por ofrecer la máxima seguridad casi siempre se reemplaza con una solución diseñada para aplicar “la seguridad suficientemente buena” y aumentar la eficiencia del negocio en una intención de recrear Fort Knox. La seguridad es un criterio teórico de casilla de verificación, la seguridad aplicada se convierte en más de un criterio de compra y uso. Existe seguridad aplicada en un punto de equilibrio entre la seguridad total (seguridad teórica) y la funcionalidad total (sin seguridad). La elección se hace entre estos dos y qué sacrificio se hace basado en el método más eficaz operativamente para lograr ese equilibrio prescrito. Para evaluar mejor la cuestión raíz cuando se trata de productos de seguridad, la siguiente pregunta lógica sería:
“¿Qué modelo, positivo o negativo, ofrece este equilibrio de la manera operativa más eficaz?
Seguridad de Aplicaciones Positiva vs Negativa
Los dos enfoques de la seguridad más mencionados en el contexto de la aplicación de seguridad positiva y negativa son diametralmente opuestas en todos sus comportamientos característicos, pero están estructurados de manera muy similar. Ambos enfoques positivo y negativo de seguridad funcionan de acuerdo con un conjunto de normas establecidas. Las listas de control de acceso (ACL) y las firmas son dos ejemplos de implementación de las normas de seguridad positiva y negativa, respectivamente.
La seguridad positiva se aleja de “bloqueado”, siguiendo una metodología de “permitir sólo lo que sé”. Cada regla añadida a un modelo de seguridad positiva aumenta lo que se clasifica como comportamiento conocido, y por lo tanto permite, y disminuye lo que está bloqueado, o lo que es desconocido. Por lo tanto, un modelo de seguridad positiva con nada definido debe bloquear todo y relajarse hasta que se definen los contextos de contenido aceptable.
La seguridad negativa va más hacia “bloquear lo que sé es malo”, lo que significa que niega el acceso basándose en lo que ha identificado previamente como contenido a ser bloqueado, frente al modelo positivo de "conocido / permitido". Cada regla añadida a la política de seguridad negativa aumenta el comportamiento de bloqueo, disminuyendo de ese modo lo que es a la vez desconocido y se permite. Por lo tanto, una política de seguridad negativa con nada definido otorgaría acceso a todo, y debe ser restringida con los "exploits" que se descubren. Aunque la seguridad negativa retiene algún aspecto de los datos conocidos, el conocimiento proviene de una lista de repositorios muy específicos de los patrones de los ataques. A medida que pasan los datos a través de una política de seguridad negativa, se evaluoa frente a patrones individuales conocidos. Si un patrón conocido se corresponde, se rechaza los datos; si los datos que fluye a través de la política no son identificables, se dejan pasar. Las políticas de seguridad negativas no tienen en cuenta la forma en que funciona la aplicación, solo tiene en cuenta el acceso la aplicación y si este acceso viola cualquiera de los patrones de seguridad negativa.
Las discusiones sobre los métodos de seguridad preferidas típicamente llevan a debates muy polarizados. Algunos podrían discutir con ardor los méritos del modelo de seguridad positivo, ya que se origina en el lugar más seguro- “solo se permite lo que sé y espero.” Muchos expertos comerciales podrían argumentar que el modelo negativo es mejor, ya que se inicia en el lugar más “funcional”
“Bloquear lo que sé es malo y dejar pasar todo lo desconocido a.” Ambos son correctos y sin embargo ambas opiniones se vuelven irrelevantes cuando se proyecta en seguridad aplicada, debido a que tanto la seguridad positiva como negativa son teóricas. La seguridad aplicada cae en algún lugar en el medio del espectro, proporcionando un equilibrio práctico. En algún momento, ante el estrechamiento del enfoque negativo, la seguridad beberá más de las características de un modelo más positivo, avanzando hacia un enfoque de seguridad más completo.
Del mismo modo, como un modelo de seguridad positiva no es del todo práctico para dar cabida a nuevos comportamientos de las aplicaciones, se irá en algunos aspectos a un enfoque más negativo, tal como la implementación de coincidencia de patrones de datos para bloquear los ataques más predecibles.
El punto en el que estos dos conceptos opuestos comienzan a solaparse es donde la seguridad aplicada comienza a tomar forma.
 |
| Qué es permitido Seguridad Aplicada Qué es denegado |
Este “encontrarse en el medio” sugiere que, desde un punto de vista de la seguridad aplicada, ambos modelos son capaces de alcanzar el mismo delicado equilibrio entre la “seguridad” y “funcionalidad”.
La diferencia entre estos modelos se debe a donde comienzan y donde colisionan. Esto puede ser tan simple como el número de reglas necesarias para alcanzar el objetivo final.
Es claro entonces que, desde un punto de vista de eficiencia operativa, en algunos casos, el enfoque positivo genera un menor número de reglas, mientras que en otros casos el enfoque negativo es el que genera el menor. También parece que es la naturaleza de la política aplicada y / o el contenido en sí, lo que podría determinar el mejor enfoque. ¿Cuáles son entonces las cualidades de la política o el contenido que hace que uno de los enfoques sea más eficiente que el otro?
Factores de un modelo de seguridad eficaz aplicada
La implementación de la arquitectura de seguridad de aplicaciones de éxito no es tan fácil como decidir cuánta seguridad negativa y cuánta seguridad positiva para mezclar juntos en una hipotética batidora de seguridad aplicada. Por diseño, los dispositivos de seguridad de las aplicaciones tiene que tener un cierto nivel de conocimiento de la aplicación, tales como el tipo de contenido entregado por la aplicación, que está teniendo acceso a cualquier punto dentro de la aplicación, y cómo asignar los criterios de política específicos a esta información. El control de aplicaciones muy específicas de esta naturaleza es esencial en la construcción de una política de seguridad aplicada eficiente.
El efecto de la variabilidad de contenido
Dentro del ámbito de la seguridad de aplicaciones, la variabilidad de contenido es una medida del contenido que necesita ser asegurado e incluye un número de diferentes componentes: el número de objetos, el número de tipos de contenido, la frecuencia de cambio de contenido y la naturaleza del contenido. Un sitio que sólo tiene cinco objetos específicos es mucho menos variable que un sitio con 500 objetos específicos. Dentro de esos objetos, la cohesión del tipo de contenido es también un factor; si todos los 500 objetos comparten un formato común son menos variables que un sitio en el que todos los 500 objetos son únicos. Obviamente, un sitio que cambia una vez al año es mucho menos variable que uno que cambia diariamente. Finalmente, la naturaleza de ese contenido, por ejemplo, si se genera de forma dinámica o estática es un factor contribuyente. En esencia, la variabilidad es una medida de la complejidad del sitio. La idea de la variabilidad de contenido es un único valor medible sobre la base de todos estos factores. La variabilidad del contenido indica la cantidad de esfuerzo necesario para lograr la seguridad aplicada prescrita desde el modelo elegido.
Como se muestra en el diagrama, cuanto mayor sera la variabilidad del contenido, más fácil es definir una política usando el modelo de seguridad negativo. A medida que la complejidad de los conocidos aumenta el contenido, es más fácil describir lo que no está permitido en lugar que lo que está. A la inversa, el efecto contrario es cierto del modelo positivo; cuanto más variable es el contenido del sitio, se requiere un mayor esfuerzo para definir aquellos elementos que están permitidos. Por ejemplo, supongamos que tenemos 10 diferentes tipos de contenido dentro de nuestro sitio de un máximo de 100 tipos diferentes de contenidos conocidos. Debido a que el sitio de muestra tiene poca variabilidad, o es más cohesiva, es mucho más fácil definir los 10 tipos permitidos de contenido que de definir los 90 tipos de contenido restringido; un modelo positivo es mucho más apropiado en este caso.
Por otro lado, si el sitio es menos cohesivo, quizás representando de 90 de los 100 tipos diferentes, ahora se vuelve más eficiente definir los 10 tipos de contenido restringido que definir los 90 consentidos; por lo tanto un modelo negativo es más eficiente. Una vez más, ambos modelos son igualmente correctos en la producción de un nivel deseado de seguridad, pero la variabilidad del contenido determina que es más eficiente en un escenario dado. Y como mapeamos el concepto de variabilidad de contenido nuevo a la seguridad aplicada, se hace evidente que vamos a tomar los aspectos necesarios del modelo de seguridad negativo y unos cuantos del modelo positivo.
El mayor éxito vendrá de una política común de seguridad aplicada para abordar tanto la seguridad y las necesidades de negocio al mismo tiempo.
Especificidad de la regla
A medida que la variabilidad del contenido afecta a la capacidad de crear y mantener una política de seguridad, lo mismo puede decirse de la especificidad de las reglas que se utilizan para construir esa política. La especificidad de la regla transmite el nivel de detalle del mecanismo de protección implementado por cualquier regla en particular. Por ejemplo, una regla que bloquea los ataques Unicode puede bloquearlos desde cualquier aplicación en un extremo del espectro hasta el final a la protección de Unicode solamente en ataques contra un IIS5 en el otro extremo. Dependiendo de la especificidad de una regla, muchas cosas pueden ser permitidas con una sola regla (seguridad positiva) o reprobar con una sola regla (seguridad negativa). Pero, como ya sabemos en el problema de la seguridad teórica, la especificidad de una regla misma no es una ciencia exacta.
Una regla que no es lo suficientemente específica puede bloquear demasiado, es decir, la creación de falsos positivos innecesarios (el bloqueo del acceso que no debe ser bloqueado); una regla que es demasiado específica puede no bloquear lo suficiente, es decir, la creación de falsos negativos.
La variabilidad de contenido también afecta la eficiencia de una política al alterar el nivel de especificidad en las propias normas. A medida que la variabilidad aumenta el contenido, la capacidad de estipular específicamente qué contenido está o no permitido se hace más lento. En un mundo ideal, cada regla sería lo más específico posible para la aplicación particular que fue diseñada para proteger, evitando falsos positivos y falsos negativos. Del mismo modo, el nivel de especificidad dentro de una política de seguridad de la aplicación puede variar mucho dependiendo de la variabilidad del contenido experimentado por la aplicación.
Orden de precedencia
Un tercer factor en la implementación de una política de seguridad aplicada eficiente es el orden de precedencia: definir qué partes de la política de seguridad son promulgadas antes de que otras partes de la política. Este concepto se ve a menudo en algoritmos de búsqueda: “match first” o "match any". Una combinación de patrones negativos y positivos con grados en las reglas de política de especificidad variable está ligado a crear muchos conflictos. Con el fin de arbitrar estos conflictos en el orden de precedencia para todas las reglas, este orden debe ser definido y seguido para la política a seguir siendo coherente. Este es un punto de decisión crítica para la seguridad de aplicaciones, porque la política debe decidir si se debe implementar un enfoque más canalizado (análisis a través de la política se elimina lo que no coincide) o si se debe buscar la aplicación más restrictiva en primer lugar. La elección de la regla más específica puede resolver este orden de precedencia, ya sea positiva o negativa, abriendo un acceso según los datos pasan a través de la política..
Alternativamente, el orden puede basarse en la aplicación de un conjunto de reglas dado, por ejemplo, todo el tráfico debe seguir el patrón de "match first" (concuerda primero) y si hay alguna coincidencia positiva, se rechazan los datos, independientemente del patrón específico fuera coincidente. No importa el método que se elija, si la política se implementa con un orden incorrecto de precedencia, el acceso a la aplicación podría ser bloqueado por una política que lo bloquea primero. Del mismo modo, una política que aplica reglas demasiado livianas puede permitir el acceso no deseado a la aplicación.
Y como la prioridad es un factor en la ecuación de la seguridad aplicada, el volumen de tráfico también deben ser tomados en consideración. Una tasa de error de falso positivo de un 2% puede ser una métrica aceptable en una política de seguridad aplicada de una aplicación que se encarga de 100 conexiones al día, pero inaceptable para una aplicación de 10 millones de conexiónes al día. Independientemente de la metodología de preferencia que utilice, debe estar bien definida y fácil de seguir para hacer una política fácil de auditar y administrar.
Conclusión - Mejores Prácticas
El problema con una política puramente positiva es simplemente que es el modelo más apropiado para aproximadamente la mitad de las situaciones en las que se despliega. La otra mitad se pesan innecesariamente por el hecho de que un modelo negativo sería mucho más eficiente. Es por ello que, como cuestión de las mejores prácticas, todas las soluciones de seguridad deberán mantener un equilibrio ponderado de los dos metodologías positivos y negativos. En el sentido más estricto del término, la seguridad negativa proporciona la mejor seguridad aplicada fuera de la caja debido al esfuerzo aplicado por el proveedor de seguridad antes de enviar el producto. Centrándose en las vulnerabilidades de seguridad conocidas, lo que bloquearía la mayoría de los ataques, a pesar de la variabilidad del contenido. Sin embargo, esto no proporciona seguridad frente a ataques desconocidos o permitir funciones específicas. Para ello, se requiere seguridad positiva. Para disminuir la cantidad de esfuerzo necesario para una aplicación dada, plantillas de seguridad positiva deben ser proporcionadas por la aplicación de los propios vendedores para complementar la seguridad negativa.
Si el objetivo de la seguridad aplicada es alcanzar una posición predefinida de la manera más eficiente, la elección del modelo está directamente relacionada con la variabilidad del contenido en sí. En algún lugar entre la seguridad total y total funcionalidad es donde existe el nivel de seguridad aplicada deseado, y teóricamente, culaquier modelo de seguridad es capaz de lograr este objetivo. Sin embargo, como se ha dicho, la seguridad teórica sólo puede existir en el vacío. La seguridad aplicada es una opción de negocio y es el concepto de seguridad que se mueve en implementaciones del mundo real para alcanzar el método más eficiente y funcional. Ninguno de los dos modelos de seguridad positivo ni negativo por sí solo puede ofrecer la solución más económica en cada situación o entorno. Aplicados juntos, sin embargo, y se fusionan con las necesidades y requisitos de negocio, una visión holística de ambos enfoques puede ayudar a delinear entre la seguridad y la seguridad teórica aplicada, permitiendo a las empresas realizar el mayor retorno de la inversión desde cualquier políticas de seguridad de aplicación.
No hay comentarios:
Publicar un comentario