Ho appena superato un test di penetrazione, e quello che è stato strano è che abbiamo avuto un commento su una potenziale perdita di dati tramite DNS snooping (mi rendo conto che questo è il piatto della caldaia, e anche questo è un DNS interno solo, che aggiunge complessità) :
For instance, if an attacker was interested in whether your company utilizes the online services of a particular financial institution, they would be able to use this attack to build a statistical model regarding company usage of that financial institution. Of course, the attack can also be used to find B2B partners, web-surfing patterns, external mail servers, and more.
Non sto chiedendo perché lo snooping DNS sia o non sia una vulnerabilità
Allo stesso modo, ci sono occasioni in cui i penetration tester restituiscono commenti come "è possibile indovinare il sistema operativo che stai usando" ...
Questo sembra incredibilmente strano per me, perché spesso, pubblicamente, parliamo dei nostri partner e delle nostre soluzioni tecnologiche:
- Facciamo discorsi pubblici su vari argomenti e mettiamo in evidenza i nostri clienti, progetti e partner per mostrare le nostre capacità tecniche
- partecipiamo a conferenze su particolari tecnologie e aiutiamo le comunità a spostarsi in avanti verso soluzioni migliori.
- Pubblichiamo le assunzioni con un elenco di tecnologie che utilizziamo
- I nostri partner pubblicano spesso che utilizzano i nostri servizi
- A volte pubblichiamo (per legge / regolamento, visto che siamo elencati) contratti significativi quindi i nostri partner sono una lista
C'è un caso che a volte siamo troppo zelanti nella nostra analisi dei sistemi, dove le informazioni sono più facili da trovare altrove, o dovremmo diventare un'azienda black box in cui nessuno dice nulla, e reclutiamo attraverso affermazioni vaghe, forse tramite organizzazioni di shell quindi nessuno sa cosa facciamo.
Sostanzialmente: Come bilanciare il tempo e gli sforzi spesi a cercare e trovare "fuga di dati" sulle cose rispetto a essere in grado di operare come azienda, dove è la linea per la nostra gente di ciò che possono e di cui non possono parlare , come possiamo monitorarlo e controllarlo?