Re: [ml] Hardening, si ma sempre? (cont. Mi hanno bucato il sever)

Vediamo se così va bene..

> Si faceva riferimento a hardening su macchine che fanno girare cose come
> SAP o Oracle; ora io mi chiedo: ha senso?
> Io credo di no, e credo sia meglio semplicemente segregarle macchine del
> genere, perche' comunque non hai il controllo sullo stack applicativo
> che e' quello che contiene i dati "interessanti".

Bhè, sebbene io sia un fautore spinto del concetto che un sistema debba
andare in produzione con un numero analitico minimo di vulnerabilità (vedi
processi di sviluppo sicuro etc. etc.;
rimango cmq dell'idea che la segregazione può essere un sintomo di falsa
sicurezza, che ti svia dalla reale protezione del dato.

Es. posso mettere 10 FW, poi 10 Reverse Proxy e poi 10 DMZ, ma alla fine,
se la mia macchina è vulnerabile all'attacco applicativo X che mi crea
information disclosure, cmq non ho risolto il problema.

Anzi, ho creato un grado di complessità superiore senza mitigare il mio
rischio (contestualizzato nel caso specifico con la perdita
confidenzialità del dato).

Io dico che hai ragione, ma che l'hardenizzazione va fatta con cognizione
su tutti i livelli.

> Secondo me ha senso hardenizzare solo macchine di frontiera.

Secondo me no, ma sono d'accordo con te che attualmente non puoi fare
diversamente perchè il mercato non te lo permette, di fatto "non è pronto"
:-)

Io ormai cerco di inserire, sinceramente con notevoli difficoltà, nei
contratti con questi grandissimi vendor (vedi SAP, RedHat EMC ed affini)
anche delle clausole di supporto e rilascio in hardenizzazione.

Il consiglio che do è: fatelo anche voi, facciamo in modo che il mercato
recepisca questo "need" del cliente.

> Macchine che vanno tenute in mano ad un ristrettissimo e
> esperto pool di admin.

Ma questa è la sfida, forse il problema che dici tu vige nelle piccole
aziende. Ogni azienda seria che si rispetti (dove la protezione dei dati
ha un senso nel business) si dota del cosiddetto "competence center".
Se non hai risolto questo problema organizzativo, allora è meglio proprio
che non parti a fare sicurezza!

Altrimenti continuiamo a fare quello che in Italia siamo bravissimi a
fare, ovvero comprare tecnologia seguendo il principio del FUD, pensando
che mitighi il rischio.

La realtà che vedo in Italia io, questa è una mia opinione, è che il
driver della sicurezza ICT è il budget e non la gestione del rischio.
Della serie ho fatto sicurezza perchè ho speso, non perchè ho mitigato il
rischio.

Cmq ragazzi,  c'è necessità di fare una differenza sostanziale fra la
sicurezza ICT "Operations" e quella "Governance". Altrimenti continueremo
sempre a mischiare problemi organizzativi e di processo con tecnologia.


Federico