Existem duas analogias comuns que são usadas para descrever uma abordagem de defesa em profundidade.
Uma analogia comum usada para descrever uma abordagem de defesa em profundidade é chamada de “cebola de segurança”. Como ilustrado na figura, um ator de ameaça teria que descascar as defesas de uma rede camada por camada de uma maneira semelhante a descascar uma cebola. Somente depois de penetrar cada camada, o ator da ameaça alcançaria os dados ou o sistema de destino.
Observação: A cebola de segurança descrita nesta página é uma forma de visualizar a defesa em profundidade. Isso não deve ser confundido com o conjunto Security Onion de ferramentas de segurança de rede.
O cenário em mudança da rede, como a evolução das redes sem fronteiras, mudou essa analogia para a “alcachofra de segurança”, que beneficia o ator de ameaça.
Conforme ilustrado na figura, os atores da ameaça não precisam mais descascar cada camada. Eles só precisam remover certas “folhas de alcachofra”. O bônus é que cada “folha” da rede pode revelar dados confidenciais que não estão bem protegidos.
Por exemplo, é mais fácil para um agente de ameaça comprometer um dispositivo móvel do que comprometer um computador ou servidor interno protegido por camadas de defesa. Cada dispositivo móvel é uma folha. E folha após folha, tudo leva o hacker a mais dados. O coração da alcachofra é onde os dados mais confidenciais são encontrados. Cada folha fornece uma camada de proteção enquanto fornece simultaneamente um caminho para o ataque.
Nem todas as folhas precisam ser removidas para chegar ao coração da alcachofra. O hacker arranca a armadura de segurança ao longo do perímetro para chegar ao “coração” da empresa.
Enquanto os sistemas voltados para a Internet são geralmente muito bem protegidos e as proteções de limites são tipicamente sólidos, hackers persistentes, auxiliados por uma mistura de habilidade e sorte, eventualmente encontram uma lacuna nesse exterior hard-core através do qual eles podem entrar e ir onde quiserem.
Nenhum comentário:
Postar um comentário