Perdita di informazioni sui partner commerciali

3

Ho appena superato un test di penetrazione, e quello che è stato strano è che abbiamo avuto un commento su una potenziale perdita di dati tramite DNS snooping (mi rendo conto che questo è il piatto della caldaia, e anche questo è un DNS interno solo, che aggiunge complessità) :

For instance, if an attacker was interested in whether your company utilizes the online services of a particular financial institution, they would be able to use this attack to build a statistical model regarding company usage of that financial institution. Of course, the attack can also be used to find B2B partners, web-surfing patterns, external mail servers, and more.

Non sto chiedendo perché lo snooping DNS sia o non sia una vulnerabilità

Allo stesso modo, ci sono occasioni in cui i penetration tester restituiscono commenti come "è possibile indovinare il sistema operativo che stai usando" ...

Questo sembra incredibilmente strano per me, perché spesso, pubblicamente, parliamo dei nostri partner e delle nostre soluzioni tecnologiche:

  • Facciamo discorsi pubblici su vari argomenti e mettiamo in evidenza i nostri clienti, progetti e partner per mostrare le nostre capacità tecniche
  • partecipiamo a conferenze su particolari tecnologie e aiutiamo le comunità a spostarsi in avanti verso soluzioni migliori.
  • Pubblichiamo le assunzioni con un elenco di tecnologie che utilizziamo
  • I nostri partner pubblicano spesso che utilizzano i nostri servizi
  • A volte pubblichiamo (per legge / regolamento, visto che siamo elencati) contratti significativi quindi i nostri partner sono una lista

C'è un caso che a volte siamo troppo zelanti nella nostra analisi dei sistemi, dove le informazioni sono più facili da trovare altrove, o dovremmo diventare un'azienda black box in cui nessuno dice nulla, e reclutiamo attraverso affermazioni vaghe, forse tramite organizzazioni di shell quindi nessuno sa cosa facciamo.

Sostanzialmente: Come bilanciare il tempo e gli sforzi spesi a cercare e trovare "fuga di dati" sulle cose rispetto a essere in grado di operare come azienda, dove è la linea per la nostra gente di ciò che possono e di cui non possono parlare , come possiamo monitorarlo e controllarlo?

    
posta Jmons 05.02.2018 - 11:23
fonte

2 risposte

4

Sei nella stessa barca di molte, molte altre aziende tecnologiche. Se la società pentest non ha preso in considerazione tutti i tuoi punti sopra in alcuni contesto per i rischi identificati, potresti prendere in considerazione la possibilità di cambiare azienda.

La divulgazione delle informazioni presenta un rischio . È necessario valutare tale rischio e determinare se gli impatti sono sufficientemente elevati da richiedere la riduzione di tale rischio.

È possibile che i rischi non siano abbastanza alti da preoccuparsene, nel qual caso si accetta questo rischio.

Puoi accettare l'esistenza di un rischio e, invece di collegare tutte le perdite, usi altri metodi più economici per ridurre il rischio a un livello accettabile. Ad esempio, se qualcuno può sapere quale sistema operativo e versione sono in esecuzione, quando viene annunciata una vulnerabilità, è necessario essere più veloce per applicare patch o bloccare l'accesso a tale vulnerabilità rispetto a quanto potrebbe essere altrimenti. Se puoi farlo, allora è un modo migliore di procedere.

Un altro termine che sta ottenendo la trazione è " impronta digitale ". Quali informazioni ci sono su di te? Cosa dischiudi? Una volta capito questo, devi decidere cosa fare se un attore malintenzionato ha tutte queste informazioni. Cosa avresti bisogno di fare diversamente? Il grande non è quello di fidarsi di qualcuno solo perché capita di conoscere qualcosa di interno all'azienda. La fiducia deve essere formalizzata e non può basarsi su conoscenze o familiarità. Ad esempio, qualcuno che dice che viene dalla tua banca non dovrebbe mai essere abbastanza per fidarsi di loro. Ci devono essere metodi stabiliti per determinare in anticipo la fiducia (numeri di telefono approvati, 2FA, ecc.)

Quindi, come vai avanti come azienda? Il caso migliore è dare per scontato che tutti sappiano tutto e mitighino ciò che questo significa per te.

    
risposta data 05.02.2018 - 12:27
fonte
0

Non è possibile che i pentesters valutino se la tua sicurezza è all'altezza, tenendo in considerazione il livello di perdita di informazioni? Un utente malintenzionato può raccogliere tutte le informazioni sulla tua azienda, ma le informazioni su una società in sé non superano i firewall. Hai ancora bisogno di eseguire tutti i bit tecnici per effettuare un attacco reale, quindi forse invece di preoccuparti di quante informazioni dovresti dare, come i fornitori di hardware / software che usi, i tuoi partner finanziari, ecc. Dovresti fare il tuo meglio minimizzare i reali vettori di attacco educando dipendenti, software di patching, procedure di sicurezza del suono e amp; sistemi, ecc.

Ad esempio, un utente malintenzionato può conoscere tutte le vulnerabilità della versione del sistema operativo utilizzate dalla maggior parte dei dipendenti, ma se non riesce a penetrare nella rete perché ha un buon isolamento, disabilita tutte le porte inutilizzate, ha una buona sicurezza Wi-Fi, ecc., sarà piuttosto difficile compromettere una workstation reale.

    
risposta data 06.02.2018 - 18:47
fonte

Leggi altre domande sui tag