У кібербезпеці, особливо для тестувальників проникнення, все зводиться до вразливостей. Основна помилка під час повідомлення про це полягає у зв’язку між різними вразливими місцями та можливим вектором атаки.
Часто ми стикаємося з розробниками, які стверджують, що одна вразливість із високим рівнем ризику на захищеній сторінці чи кілька вразливостей з низьким рівнем ризику в різних місцях не становлять реальної загрози для системи. Наша робота як радників з питань безпеки полягає в тому, щоб показати їм, як можна використати вразливість (теоретично та практично) за допомогою концепції єдиних точок відмови (SPOF) і каскадної відмови.
Єдина точка відмови (SPOF) — це потенційний ризик, пов’язаний з недоліком у конструкції, реалізації або конфігурації системи. SPOF відноситься до однієї несправності або однієї несправності, яка може призвести до припинення роботи всієї системи.
Каскадна відмова — це процес у системі взаємопов’язаних частин, у якому відмова однієї чи кількох частин може викликати відмову інших частин тощо.
За своєю суттю тест на проникнення не може охопити всі можливі вразливості. Ми намагаємося зробити все можливе за заданий проміжок часу (2-4 тижні), щоб просканувати всі точки входу та вказати в правильному напрямку з точки зору незакріплених місць і слабких місць, іноді ми можемо досліджувати більш глибокі частини систем. а іноді ми лише дряпаємо поверхню.
З іншого боку, зловмисники можуть збирати інформацію, щоб створити повний вектор атаки. Ці вразливості з низьким рівнем ризику створюють головоломку кроків, після яких зловмисники досягають своєї мети. Кожен із цих ризиків сприяє каскадному виходу з ладу системи, відіграючи важливу роль у кінцевому експлойті.
Іншим прикладом SPOF буде ситуація, коли вразливість із високим рівнем ризику знаходиться в середовищі з високим рівнем безпеки. З точки зору людини, ризик використання автоматично зменшується, але всі ми знаємо, що «ідеального» програмного забезпечення не існує. Цілком імовірно, що одного разу хтось знайде помилку в бібліотеці, якою ви користуєтеся, або у вашому процесі авторизації, який ви зараз вважаєте безпечним, і коли це станеться, ваш бізнес одразу стане підданим експлойтам.
Зрештою, оцінка вразливості є лише інструментом для кіберфахівців, щоб оцінити можливий вплив на програмне забезпечення, клієнта або бізнес. Але давайте не забувати, що вплив на безпеку в будь-якій формі все одно псує репутацію та цілісність власника та змушує розробників працювати над минулими помилками замість майбутніх функцій.
Ітай Чередман
Ітай є дослідником безпеки в Sayfer. Він захоплений розумінням і дослідженням векторів атаки та захисту, які з’являються в нових технологіях.
Хочете почути більше?
Включено безкоштовну консультаційну зустріч.
