Clever Geek Handbook

あいまいさによるセキュリティは過小評価されています

情報セキュリティにおいて、私たちは議論することを受け入れられない多くの公理を開発しました:



  • 独自の暗号化を実装しないでください。

  • 常にTLSを使用してください。

  • あいまいさによるセキュリティは悪いです。


等。それらのほとんどは一般的に正しいです。しかし、人々はこれらの公理を貨物カルトとして盲目的にフォローしているように私には思えます。そして、多くの人はルールの例外について実際には考えていません。この記事では、あいまいさによるセキュリティが悪いという考えに異議を唱えます。



リスク、レイヤードディフェンス、スイスチーズ



情報セキュリティの主なタスクの1つは、リスクの軽減です。OWASP方法論によれば、問題のリスクは次の式を使用して計算されます。 



リスク=確率*影響


この式により、リモートコード実行(RCE)の問題は、クロスサイトスクリプトの問題よりも大きなリスクをもたらします。これは、RCEの影響が大きいためです。ここではすべてが簡単です。しかし、確率メトリックはどうですか? OWASPによると、確率は次のように定義されます。



最高レベルでは、特定の脆弱性が開示され、攻撃者によって悪用される可能性の概算です。


したがって、可能性を減らすと、全体的なリスクが減ります。それは良いです。実際、これはよく知られている「徹底的な防御」の概念と非常によく似ています。「スイスチーズモデル」とも呼ばれます。







このモデルによれば、攻撃者が最初のレベルを通過した場合でも、攻撃者が他のレベルで阻止されるように、階層化モデルで防御メカニズムを構築する必要があります。



あいまいさによるセキュリティ



それでは、あいまいさによるセキュリティについて話しましょう。それを唯一の保護層として使用することは悪い考えです。攻撃者がそれを通過した場合、他に何もあなたを保護しません。しかし、実際には「追加」レベルとしてはかなり良いです。実装コストが低く、通常はうまく機能するためです。



いくつかのシナリオを考えてみましょう。



  • 私のサーバーでは、SSHはデフォルトのポート22と資格情報で実行されますroot:123456妥協の可能性はどのくらいですか?


インターネット中のハッカーは標準的な資格を持つブルートフォースサービスであるため、確率はほぼ100%です。



  • SSHはポート22と資格情報で実行されますutku:123456妥協の可能性はどのくらいですか?


さて、私たちは標準的な資格でブルートフォースの危険性を排除しました。可能性とリスクが軽減されます。しかし、私たちは依然として大量の標的型攻撃に直面しています。utkuのユーザー名は私の本名なので、誰かが推測するかもしれません。



  • SSHはポート64323と資格情報で実行されますutku:123456妥協の可能性はどのくらいですか?


デフォルトのポート番号を変更しました。それは役に立ちますか?まず、共通のポートのみをスキャンするため、標準のブルートフォースの危険性をもう一度排除しました。残りはどうですか?私は自分のツイッターで小さなポーリングを実行して、ポートをスキャンするときの人々の行動を調べました。





ご覧のとおり、多くの場合、標準の最も人気のあるポートのみをスキャンする傾向があります。したがって、ポートを22から64323に変更すると、潜在的な攻撃の一部が排除されます。可能性とリスクを軽減します。



ソフトウェアの脆弱性についても同じことが言えます。Microsoft Remote Desktop Protocolに脆弱性が見つかった場合、インターネット全体がポート3389のスキャンを開始します。デフォルトのポートを変更するだけで、リスクを軽減できます。



その他のアプリケーション



もちろん、デフォルト値を変更する以外に、他の領域でも同じ方法を使用できます。場合によっては(常にではありませんが)、次のアイデアを適用できます。



  • コードの難読化:もちろん、これは常識です。ハッカーも人です。コードをうまく難読化すると、問題を探すためにより多くの時間を費やす必要があります。最終的に彼らはあきらめるかもしれません。

  • Webアプリケーションのランダム変数名:フレンドリ変数名の代わりにランダム文字を使用できます。これは、コードの難読化と同じように役立ちます。

  • : encryption_algorithm(data, key). , — decryption_algorithm(data, key). , , , . - - , (, SQL-), .




あいまいさによるセキュリティは、物理的/実際のセキュリティで広く使用されています。たとえば、大統領は30台の車でA地点からB地点まで運転しています。しかし、彼は簡単な標的にならないように、大統領の車に座っていません。タプル内の任意のマシンに配置できるため、攻撃のリスクが軽減されます。







動物はまた、曖昧さを通して安全性を利用します-それはカモフラージュです。ステルスは殺される可能性を減らします。したがって、進化の過程で、彼らはこの能力を獲得しました。







出力



あいまいさだけではセキュリティは十分ではありません。ベストプラクティスを常に適用する必要があります。しかし、ゼロコストでリスクを減らすことができれば、そうすべきです。あいまいさは、セキュリティシステム全体の優れた層です。


More articles:


All Articles