Dimostra che una violazione non ha causato una perdita

Naviga le tue risposte
3

Recentemente mi è stato detto da qualcuno che gestisce un team di sicurezza presso una società di consulenza che non tutte le violazioni della sicurezza sono necessariamente incidenti. Se qualcuno entra in una macchina che non ha abilitato il controllo dell'accesso ai file, è possibile provare che non vi sono perdite di dati sensibili e, pertanto, i clienti non devono ricevere alcuna notifica.

Ma io non lo compro. Come può qualcuno provare dopo il fatto che nessun dato è stato letto senza alcun controllo? Qualsiasi dato letto potrebbe essere facilmente confuso mentre esce, quindi i registri di rete non necessariamente provano nulla. Inoltre, qualsiasi file toccato può facilmente avere il suo timestamp invertito, per non parlare del fatto che non c'è modo di dire chi ha letto per ultimo l'ultima volta il file (ad esempio il vero utente root o l'hacker come root).

Per quanto ne so, non c'è modo di provare ciò che è stato visto durante una violazione a meno che non ci sia qualcosa che verifica il file system in ogni momento, e quindi, è un obbligo per le aziende di notificare ai loro clienti che sono stati violati se un sistema che contiene dati sensibili è mai violato.

    
posta fny 12.06.2015 - 01:13
fonte

2 risposte

9

L'analisi forense può essere condotta, anche senza auditing sul filesystem, per determinare l'accesso ai file e mettere insieme il potenziale ambito di una violazione. Fondamentalmente tutti i filesystem in uso su computer moderni sono file system di journaling, che contengono una sorta di traccia logaritmica circolare. Usando gli strumenti per leggere i settori del disco cancellati / sovrascritti, si può cominciare a vedere quali file sono stati consultati quando. Se durante la violazione non è stato effettuato l'accesso a file sensibili, un analista di sicurezza forense potrebbe decidere di dichiarare che la violazione non ha comportato il rilascio di dati sensibili.

Tuttavia, come fai notare; questi metodi forensi potrebbero non determinare in modo definitivo l'entità di una violazione. La tua posizione è sicuramente l'opzione più conservativa e realistica.

Le aziende spenderanno molto denaro per gli analisti della sicurezza forense e le spingeranno a dichiarare (questa prova forense è ammissibile in tribunale, almeno negli Stati Uniti, se fatta correttamente) la violazione non ha rilasciato dati sensibili per evitare requisiti di segnalazione.

    
risposta data 12.06.2015 - 01:40
fonte
2

Faraz sei corretto dal punto di vista di un professionista della sicurezza. Tuttavia, come notato da Herringbone_Cat, dal punto di vista della gestione, si desidera contenere il danno il più possibile. Se non vi sono perdite di dati, si desidera mantenere la violazione in silenzio per non danneggiare la reputazione dell'azienda; soprattutto se sei quotato in borsa perché potrebbe costare milioni.

Se stai andando avanti nel campo della sicurezza, tieni sempre presente che l'obiettivo della sicurezza delle informazioni è aggiungere valore per il business.

    
risposta data 12.06.2015 - 02:33
fonte

Leggi altre domande sui tag

SUN Remote Procedure Call Port 111 [closed] Perché GnuPG riduce il mio file dopo la crittografia di elgamal?