Recentemente ho trovato uno scenario in una valutazione sulla sicurezza IT. Sono nuovo in questo settore e la mia conoscenza è limitata, quindi non sono sicuro se la mia risposta allo scenario sia adatta o meno. Apprezzerà davvero se qualcuno potrebbe dare una mano. Quindi lo scenario è:
Una piccola azienda ha deciso di spostare la propria infrastruttura sul cloud. Durante l'attività di migrazione, hanno identificato uno dei server del database con 4 utenti locali sconosciuti di Windows. Ciò ha innescato una revisione tecnica e un'indagine interna.
I problemi rilevati erano:
- C'erano 4 utenti sconosciuti locali creati sul server.
- C'erano un totale di 30 utenti a livello di database sul database MS SQL.
- Il server di database sta memorizzando i dati per 20 applicazioni Web.
- I risultati di base sono stati che 5 applicazioni Web sono state compromesse, dove
- 1 sito stava avendo problemi di iniezione
- 1 sito stava avendo problemi di SQL injection
- 1 sito stava avendo problemi XSS e CSRF
- 2 siti non stavano eseguendo alcuna convalida dell'input
- Nessuno dei siti utilizzava HTTPS
- Due dei database sono stati trovati per avere informazioni sulla carta di credito
Le domande sono:
In base a questo scenario, si tratta di un problema di sicurezza del database, delle applicazioni o del sistema e perché?
Quali sono i registri che l'azienda può esaminare durante l'indagine?
La mia risposta:
Penso che questo sia un problema di sicurezza dell'applicazione.
La sicurezza delle applicazioni è definita come "la pratica generale di aggiungere funzionalità o funzionalità al software per prevenire una serie di diverse minacce, tra cui attacchi denial of service e altri attacchi informatici e violazioni dei dati o situazioni di furto di dati". In relazione allo scenario:
-
le applicazioni web sono memorizzate all'interno del server di database, il che significa che è più facile per un utente malintenzionato accedere ai dati perché è necessario solo rompere l'account dell'amministratore per un server per avere accesso a tutto.
-
gli utenti vengono creati tramite applicazioni Web e archiviati nel server di database, non abbiamo ancora identificato i privilegi dei 4 utenti sconosciuti. Qualcuno o tutti questi utenti sconosciuti potrebbero avere intenzioni malevole. Potrebbero essere identificati come individui con accesso non autorizzato alla rete della società, il che significa che la società potrebbe essere già stata vittima di violazioni dei dati o furto di dati.
-
problemi come SQL injection, XSS e CSRF sono un tipo comune di vulnerabilità di sicurezza delle applicazioni in cui gli hacker possono sfruttare e facilitare il crimine informatico. Di conseguenza, gli hacker potrebbero scegliere come target la disponibilità, la riservatezza e / o l'integrità dei dati dell'azienda.
-
le informazioni sulla carta di credito si trovano in due database e 5 applicazioni Web non hanno https. Questo è segno di violazioni dei dati e furto.
Suggerisco alla compagnia di esaminare i registri delle applicazioni e del database per individuare i segni di un vero e proprio exploit, inoltre esaminerò i registri di controllo di sicurezza per eventuali tentativi di autenticazione falliti e controlleremo il firewall per il traffico insolito in base alla posizione.