La tua dichiarazione fa due presupposti errati:

1. I tuoi firewall sono / sono completamente configurati correttamente e non hanno vulnerabilità che consentirebbero a un utente malintenzionato di comprometterlo e quello stato perfetto Continuerà.

2. Tutti nella tua organizzazione sono affidabili e non presentano rischi.

Dovresti sempre operare con un approccio di difesa in profondità e proteggere ogni livello ovunque puoi. Se un utente malintenzionato penetra un perimetro o se hai un attore canaglia, questa vulnerabilità di Apache potrebbe essere sfruttata se non patchata.

Questa è una domanda vecchia e ha sempre la stessa risposta.

Non puoi dipendere dal fatto che i tuoi aggressori non siano in grado di accedere alla tua rete. Tutto ciò che serve è un singolo dipendente che fa clic su un'e-mail di phishing e l'aggressore ha una presa sulla tua rete. Se lasci tutto senza patch, avranno una giornata campale.

I rapporti sulle minacce rilevano abitualmente che sei molto più a rischio dai tuoi colleghi che dagli estranei. Da questo rapporto 2015, ad esempio, abbiamo le seguenti cifre:

Il 74% delle violazioni ha origine all'interno dell'azienda estesa, o tra i dipendenti (40%), terzo partiti (22%) o ex dipendenti (12%) - con il 26% proveniente dall'esterno dell'organizzazione

...

Due terzi (67%) delle violazioni della sicurezza interna hanno origine da errore involontario: una su tre (33%) è dovuta a intenti dannosi

Quindi il 33% del 74% ci fornisce circa un quarto di tutte le violazioni causate da uno dei tuoi colleghi che decide a loro non piaci.

Questa specifica vulnerabilità dovrebbe essere sfruttata da una minaccia interna dannosa e tecnicamente capace. Da un lato, il qualificatore "tecnicamente capace" qui restringe la tua probabilità di attacco in modo abbastanza significativo. D'altra parte, "questa vulnerabilità ci rende vulnerabili solo agli addetti ai lavori" è una ragione del tutto inadeguata per non applicare la patch.

Sì, è necessario patchare i sistemi interni.

Supponiamo che quanto segue sia vero (cosa che probabilmente non è):

• il tuo sistema interno è 100 % impenetrabile dal mondo esterno (o stai bene che ogni sistema interno venga rilevato in caso di violazione).
• ti fidi al 100% di tutti nella tua organizzazione (o più precisamente di chiunque abbia accesso alla intranet , che possono includere anche visitatori, dipendenti temporanei, ecc.).

Esistono ancora vulnerabilità basate sul Web che non richiedono affatto l'accesso alla intranet, in particolare XSS e CSRF.

Se adotti lo stesso approccio di non aggiornare con le applicazioni web come con i server web, è giusto presumere che alcune applicazioni saranno vulnerabili. Ora un utente malintenzionato che sa o indovina quale software utilizzi potrebbe essere in grado di ottenere l'esecuzione del codice tramite XSS o CSRF se qualcuno nella tua organizzazione non fa attenzione quando fa clic sui collegamenti o visita i siti Web.

Per spiegare metaforicamente:

Un firewall, nel solito significato di un filtro di pacchetti direzionale / gateway di mascheramento NAT, impedirà al resto del mondo di alimentare forzatamente il veleno della tua "gente".

Impedirà loro di causare troppi danni al resto del mondo se diventano pazzi e violenti nel caso qualcuno li avveleni ancora.

A meno che tu non li tenga con una dieta molto rigida , non impedisce alla tua gente di raggiungere e mangiare cibo che qualcuno ha avvelenato, con il preciso scopo di avvelenarli, o semplicemente per puro sadismo non mirato, per causare terrore ...

Un altro un firewall avanzato (ispezione approfondita dei pacchetti, blacklist / whitelist ecc.) controllerà il cibo, ma sarà comunque inaffidabile. Può anche creare problemi quando pensa che l'ammorbidente sia gatorade, o che il formaggio puzzolente sia un tentativo di gasare tutti, o che il sale con il semaforo verde significa che una bottiglia di salamoia satura sarà sicura da consumare.

I servizi e le applicazioni solo Intranet non protette sono spesso l ' obiettivo finale delle violazioni. Purtroppo, il più delle volte gli amministratori di sistema / rete troppo sicuri di sé (e oserei dire ingenui) trascurano di proteggerli.

E se una intranet affidabile la macchina dell'utente contrae un virus, o trojan, o malware botnet, o cosa hai, che scansiona la tua intranet dall'interno e invia queste informazioni a una parte non attendibile? Ora la parte non attendibile non solo ha un vettore nella tua intranet, ma conosce anche il layout e come accedere ai suoi servizi non protetti.

Per contrastare le molte vulnerabilità impreviste si dovrebbero avere più livelli di sicurezza, non solo uno.

Le vulnerabilità del software sono un problema difficile da mitigare con misurazioni specifiche a meno che non siano completamente testate. Quindi nessun fornitore può rispondere a questa domanda a meno che non sia molto sicuro del metodo di mitigazione che utilizza il firewall.

In effetti, dovresti chiedere se la patch interromperà l'applicazione e il processo correnti, se può essere ripristinato .

Mantenere aggiornato un firewall e mantenere aggiornati i software sono 2 linee di difesa indipendenti

In breve, la risposta alla tua domanda non può essere sì o no, entrambi sono sbagliati.

E qui ci sono alcune spiegazioni perché:

• Un firewall "perfetto" (questo modello non esiste) e persino una intranet completamente isolata (cioè senza una connessione a Internet) non protegge i tuoi sistemi dalla connessione all'interno di questa intranet altamente protetta di un computer contaminato o da attacchi. (Questo è un feedback di vita reale: ~ uno di questi attacchi dall'interno / anno). Vedi anche Stuxnet (2010, analizzato da Kaspersky Lab.).

  In breve, anche un firewall "perfetto" non può proteggerti dal rischio maggiore dall'interno.

• All'altro estremo dello spettro degli eventi malvagi, un aggiornamento di un sistema operativo o di un software non è la garanzia di un miglioramento della sicurezza. La maggior parte degli aggiornamenti del software comporta un aumento del numero di righe di codice e la legge sulle probabilità ci dice che il numero di bug aumenta proporzionalmente. Un aggiornamento del sistema operativo può aprire una vulnerabilità sulla porta 80 / tcp (http) all'interno di Apache che non era presente nella versione precedente e, come nel caso di molte configurazioni firewall, questo protocollo potrebbe essere legittimamente consentito per entrare nella tua rete. Quindi l'aggiornamento del tuo sistema operativo potrebbe causare una grave vulnerabilità all'interno dell'intera rete. Vedi anche vulnerabilità dell'accesso root remoto tramite l'aggiornamento a MacOS High Sierra (2017, analizzato da Lemi Orhan Ergin).

  In breve, anche una pratica "perfetta" di "aggiorna sempre" non può proteggerti dal maggior rischio di bug degli editor di fronte a una porta aperta del tuo firewall.

Ci sono molti altri scenari per dimostrare che nessuno di questi 2 approcci è sufficiente: il firewall "perfetto", la pratica di aggiornamento "perfetto".

Allora cosa dovrei fare?

Il mio consiglio personale è di mantenere i firewall e i software aggiornati in modo indipendente dopo un minimo controllo che nessuno di essi stia introducendo una vulnerabilità da cui l'altro non è disposto a difendersi.