Convincere un dirigente a richiedere l'utilizzo HTTPS sui server Web Intranet

3

Conosco qualcuno che lavora in un'azienda di medie dimensioni (tra 1000 e 10.000 dipendenti) ed è un po 'dispiaciuto che diversi server Web Windows intranet (SharePoint, app interne, ecc.) continuino ad autenticare gli utenti del dominio Windows usando basic e NTLM auth su connessioni HTTP non sicure.

Recentemente ha parlato con un capo reparto del problema, ha spiegato il modello di minaccia principale (il creditore MITM ruba tramite qualsiasi dispositivo compromesso, persino le stampanti) e ha ottenuto il respingimento: "Se qualcuno di cui non ci fidiamo è nella nostra rete , abbiamo un problema molto più grande. "

Inoltre, il capo reparto pensa molto bene ai suoi dipendenti e si preoccuperebbe del suggerimento che gli stessi dipendenti dovrebbero far parte del modello di minaccia.

Quale approccio suggeriresti di prendere quando discuti il problema con questo dirigente?

(Utilizzare un account usa e getta per evitare qualsiasi connessione dedotta alla società sopra indicata.)

    
posta Throwaway_03 23.01.2018 - 20:02
fonte

3 risposte

3

La minaccia interna è sempre una possibilità, ma i manager reagiranno sempre in modo difensivo quando (e per estensione, il loro team) saranno sottoposti a controllo. Soprattutto quando li affronti con prove dirette dei misfatti di un underling.

Non portare dipendenti in esso. Riprogrammalo in termini di credenziali compromesse - "non si tratta di ciò che Jenny nella contabilità potrebbe fare, si tratta di ciò che qualcuno che ruba le sue credenziali farà assolutamente".

... anche se Jenny è davvero una minaccia per l'azienda.

If someone we don't trust is in our network, we have a much bigger problem.

Riguarda la mitigazione delle minacce. Solo perché un attaccante ha guadagnato un punto d'appoggio non significa che abbia già iniziato a enumerare o diffondere o pasticciare l'intera infrastruttura. Per quel che ne sai, è contenuto in una macchina, dove è bloccato cercando di indovinare le posizioni dei server e le credenziali a quella successiva. Questo è un piccolo e semplice problema da risolvere.

Ma con le credenziali che galleggiano in chiaro, se inizia a origliare sul traffico di rete, può ottenere nuovi set di credenziali per mascherarsi come e nuove posizioni da violare. La portata della sua infiltrazione si espande rapidamente, così come il numero di posti in cui può mantenere la persistenza nella rete. Solo ora si è materializzato quel "problema più grande".

    
risposta data 23.01.2018 - 23:45
fonte
2

Semplicemente, sono le persone di cui ti fidi di più che possono rovinarti il più difficile. Sì, se hai qualcuno di cui non ti fidi della tua rete, hai un grosso problema. Molte piccole aziende, tuttavia, hanno questo modello di fiducia implicita e si bruciano mentre crescono e scoprono che alcune persone, nonostante la nostra migliore fiducia in loro, fanno cose che non dovrebbero fare per danneggiare l'azienda.

Una buona sicurezza guarda i giocatori più probabili - i tuoi dipendenti interni sono la più grande minaccia complessiva. Sono già nella tua rete e per definizione sono fidati. Quindi il loro potenziale di danno è alto. Ricorda, sei solo un dipendente insoddisfatto dal disastro. Qui è un articolo su Forbes; puoi anche consultare il NIST e altre pubblicazioni sulla sicurezza (come ISSA o ISACA) per maggiori informazioni. Webmasters SE ha una buona risposta a questo.

Comincerei col non sembrare accusatorio nei confronti dello staff. Leggi le migliori pratiche. Ottieni informazioni da ISSA e da ISACA e NIST sul perché proteggere i tuoi server web interni. Cerca STIG Viewer per pratiche e motivi. Siate pronti a spiegare i benefici. Vuoi mostrare questo exec che la ragione per cui vuoi farlo è perché è la cosa giusta da fare, e le altre aziende lo fanno per ottime ragioni. Inoltre, i dirigenti vedono le cose in termini di rapporto costi / benefici. Se è più economico non fare nulla e il rischio è basso, invariabilmente sceglieranno di non fare nulla. È qui che la Direzione ha bisogno di istruire l'esecutivo sul livello di rischio e su come mitigarlo.

    
risposta data 23.01.2018 - 21:06
fonte
0

Dimostrazioni pratiche o come menzionato sopra un pentest di terze parti:

  • Mappa la tua rete con bloodhound per mostrare il percorso più veloce verso il tuo DC
  • Dimostrare mimikatz su una workstation che estrae le credenziali
  • Fornire un esempio su come un esterno potrebbe violare una workstation o un dipendente dipendente (DDE + Macro, endpoint esterni senza MFA, forza bruta)

Evidenzia che l'industria della sicurezza funziona sotto presunte violazioni al giorno d'oggi. A quanto pare, questa azienda è già e semplicemente non lo so.

Forse una violazione dei costi di una violazione rispetto al costo di correggere queste pratiche insicure, un exec dopo tutto parla dei numeri.

    
risposta data 24.01.2018 - 00:43
fonte

Leggi altre domande sui tag