C'è un vantaggio in termini di sicurezza o rischio nella rimozione degli account utente disabilitati?

21

Quindi sto discutendo con qualcuno sul fatto di rimuovere o meno gli account disattivati. La mia posizione è che è buona igiene della rete, riduce la quantità di rumore da setacciare, ecc. Tuttavia, l'argomento è, qual è il rischio che viene affrontato. Mi stavo rovinando il cervello su questo, ma non vedo il rischio che questa pratica possa essere affrontata. Sì, il più selvaggio degli scenari, qualcuno potrebbe compromettere la piattaforma SaaS, rendere reattivo l'account e usarlo per le loro terribili azioni. Ma la probabilità è estremamente bassa. Anche guardando attraverso tutti i framework di governance si dice "Rimuovi o Disabilita".

Esistono rischi per la sicurezza che rimuovono gli indirizzi di account disattivati?

    
posta POSH Geek 01.02.2018 - 19:16
fonte

5 risposte

22

In generale, è sempre meglio ridurre la superficie di attacco. Nessun sistema è mai perfetto e il tuo protocollo di disattivazione non farà eccezione a causa dell'errore umano programmatico e potenziale.

Rischio 1: diciamo che tutti i tuoi account dipendenti cessati sono stati correttamente disattivati, ad esempio alterando il loro ruolo nella tabella dei dipendenti nel database (o comunque sono memorizzati). In questo scenario ipotetico il tuo account amministratore è stato compromesso. Un malintenzionato intelligente può utilizzare l'account dell'amministratore per riattivare un account di un dipendente scaduto passato e utilizzare tale account per svolgere attività dannose sul sistema. In tal modo, è meno probabile che vengano scoperti dai sistemi di rilevamento delle intrusioni (ad esempio, l'amministratore ha sempre effettuato l'accesso dal Texas, USA, ma l'amministratore improvvisamente si trova in Brasile?). Ciò potrebbe aumentare la superficie di attacco e potenzialmente dare più potere all'attaccante. Mai una buona cosa.

Rischio 2: esiste un errore umano. Che cosa succede se un giorno disattivi per errore un account di dipendenti ancora valido e digiti Alex invece di Alexander quando desideri riattivare e ora riattivare un account dipendente terminato? O forse non intendevi nemmeno riattivare un account, ma un giorno quando il tuo computer era congelato e tu stavi rabbiosamente facendo clic con il mouse su qualsiasi cosa per una risposta, hai fatto clic sul riattivare il flag?

Entrambi i casi sono improbabili ma perché correre il rischio?

A meno che il tuo sistema non abbia bisogno di una traccia di controllo sofisticata che si basa su account ancora esistenti nel sistema per funzionare (vale a dire non si limita a stampare il nome dell'utente e l'azione da registrare ma continua ad accedere attivamente alle informazioni degli utenti), c'è nessuna buona ragione per lasciare questi dati gonfiati nel tuo sistema.

Controllo sempre dopo aver lasciato un'azienda (mentre lavoravo come co-op in passato ho speso molto tempo in varie società) se riesco ancora ad accedere ai miei account e più spesso, in un modo o nell'altro , Potrei.

Sbaglia sempre dalla parte della sicurezza informatica.

    
risposta data 01.02.2018 - 19:59
fonte
7

Prima di tutto, non mi piace usare il termine "affrontare un rischio" perché ci sono parole più precise di "indirizzo". So che è un termine comunemente usato nella gestione del rischio, ma credo che rischia di essere frainteso, quindi preferirei evitarlo.

In ogni caso, non vi è alcun rischio per la sicurezza di rimuovere indirizzi di account disabilitati. Tuttavia, credo che tu stia facendo la domanda sbagliata.

Dipende da cosa intendi per "account disabilitato".

Un account disattivato potrebbe essere semplice come una riga in un database con 2 colonne, una chiave primaria userid che è un intero e una enum isdisabled che è impostata a "VERO". Eliminare questo account disabilitato rappresenta un rischio? Non penso che lo faccia.

Ma dall'altra parte dello spettro l'account disabilitato potrebbe contenere numeri di carta di credito, password non crittografate, foto della patente di guida, numero di previdenza sociale, ecc. insieme a isdisabled impostato su "TRUE".

Che cos'è esattamente un "account disattivato" nello scenario?

In generale, consiglierei di non eliminare mai account disabilitati, e piuttosto di prendere in considerazione la rimozione di informazioni sensibili al punto di "disabilitare" l'account. Quindi, se un utente disabilita e riattiva il proprio account, sarà necessario aggiungere nuovamente i numeri di carta, ricontrollare il proprio numero di telefono, ecc. Quindi, in pratica, impostare tutti i flag sulle posizioni predefinite e conservare solo le informazioni non sensibili.

Mantenere un account disabilitato ha un valore. Hai una registrazione completa del numero di utenti che si sono registrati e potresti prendere in considerazione di conservare alcune delle loro informazioni per vari scopi. Se un utente si iscrive, verifica il proprio numero di telefono, quindi diventa blacklisted / banned dal sistema, quindi disattiva il proprio account (e il sistema di "disattivazione" rimuove il proprio numero di telefono o rimuove tutta la riga compreso il numero di telefono), quindi può firmare di nuovo con un altro indirizzo e-mail e riattivare il loro numero di telefono e potenzialmente aggirare la lista nera (se la tua lista nera è una colonna isbanned).

Quindi sicuramente mantieni i tuoi account disattivati, ma assicurati di prendere in considerazione la rimozione di informazioni sensibili da loro, specialmente il tipo di informazioni che gli utenti si aspettano che tu elimini e che non puoi usare per buoni propositi.

    
risposta data 01.02.2018 - 19:40
fonte
3

La prima domanda è: quanto è affidabile la procedura di disattivazione? (se la risposta è "100%", suggerirei che probabilmente non sarai onesto con te stesso.) La rimozione degli account non utilizzati aiuta a garantire che i dipendenti terminati, anche se il loro account manca la disattivazione, vengono comunque rimossi dal sistema in questione . E garantire che gli ex dipendenti non continuino ad avere accesso è una buona pratica di sicurezza.

In teoria un account bloccato non dovrebbe presentare molti rischi. Se qualcuno riattiva un account disabilitato, è già presente nella rete con credenziali di amministratore. Ma sarebbe comunque una buona cosa non dare loro spazio aggiuntivo in cui giocare. Supponiamo che questa violazione sia avvenuta. Dovresti quindi passare attraverso tutti i tuoi dipendenti licenziati e assicurarti che i loro account abbiano tutti disattivati per garantire che i cattivi non tornino semplicemente dalla porta sul retro che hanno attivato / creato. Inoltre, il ridimensionamento degli account disattivati riduce la potenziale superficie di attacco.

In un ambiente convalidato, questi account devono essere tenuti in giro a scopo di documentazione e controllo. Lì ha senso spostarli in un'unità organizzativa "disattivata" ed eseguire un controllo contro di loro ogni notte per assicurarsi che non si riattivino in qualche modo.

TL / DR: a meno che non ci sia una buona ragione per mantenere questi account in giro, ha più senso rimuoverli.

    
risposta data 01.02.2018 - 19:35
fonte
1

Di quali account utente stai parlando?

Un semplice esempio in cui dovresti tenerli: Account sul tuo server unix.

Se non si mantiene l'account, non sarà possibile attribuire alcun file trovato da qualche parte se appartiene a un utente eliminato. Quando l'ID utente (quello numerico, non il nome) viene assegnato un nuovo account, il nuovo utente sarà persino in grado di accedere ai file rimanenti di quello vecchio.

    
risposta data 02.02.2018 - 12:50
fonte
1

La maggior parte delle risposte si concentra sull'aspetto di sicurezza di questa domanda, giustamente considerando che questo sito è incentrato sulla sicurezza. Ma c'è un altro aspetto in questo, che sono i problemi legali che derivano dal tenere dati che non ti servono.

Lasciare gli account che non vengono più utilizzati, lascia tonnellate di dati non utilizzati e probabilmente non regolamentati. Ciò non solo aumenta l'attrattiva del sistema come obiettivo, ma può anche far atterrare la società / il proprietario del software in alcuni gravi problemi legali a seconda del paese. Se qualcuno dovesse perdere o vendere dati a cui ha avuto accesso, la società è quindi responsabile (nella maggior parte dei paesi) dei dati di ciascun account trapelato in cui sono stati registrati dati sensibili.

La sicurezza non dovrebbe includere solo la prevenzione, ma anche la mitigazione e il controllo dei danni. Anche se l'azienda è completamente coperta dalla legge quando si tratta di violazioni e perdite di dati, rendere il sistema il meno attraente possibile è sicuramente una buona pratica. Chiunque stia seriamente considerando di attaccare un sistema per guadagni maliziosi, sceglierà i bersagli basandosi su un rapporto [Dati ottenuti: Tempo / sforzo richiesto]. Ridurre al minimo la quantità di dati in un sistema è molto più semplice dell'esponenziale aumento della difficoltà per un utente malintenzionato.

    
risposta data 02.02.2018 - 14:44
fonte

Leggi altre domande sui tag