Prove di violazioni di dati su larga scala a causa della mancanza di sicurezza fisica?

Naviga le tue risposte
1

Vedete esempi hollywoodiani inverosimili dello scenario più improbabile che si traducono in una violazione dei dati dovuta alla mancanza di sicurezza fisica. Un esempio è in Mr Robot, dove il protagonista entra in un data warehouse e pianta un Raspberry Pi canaglia per distruggere tutti i dati. Mentre improbabile tutte le condizioni che si sono verificate accadrebbe ... potrebbero. A causa di quasi tutti gli standard e i framework di sicurezza hanno ampie sezioni sulle politiche di sicurezza fisica.

Attualmente mi occupo di una discussione in cui il rischio è 1 su un milione che la signora del latte 4am che consegna senza supervisione ai frigoriferi supera l'armadio del server che è stato lasciato aperto e ha deciso di collegare un dispositivo non autorizzato.

Mentre sì è ridicolo succederebbe ... potrebbe. Più quindi vedo il rischio tra 10 anni in cui la signora del latte viene sostituita da qualcuno più motivato e il processo non è cambiato. Sia l'armadio del server aperto, e gli ospiti senza supervisione di particolari aree sono grandi rischi.

Ma per i dirigenti sembra troppo filmico per loro da prendere sul serio. Vi sono grandi violazioni della società a causa di una mancanza di sicurezza fisica che potrebbero essere utilizzate come prove giustificative per giustificare la necessità di miglioramenti?

    
posta Cyassin 05.10.2017 - 10:22
fonte

3 risposte

2

Tali violazioni sono argomenti per l'ingegneria della violazione della sicurezza (attraverso la debolezza dell'essere umano, la violazione meccanica). Nessuna organizzazione è disposta a rischiare la propria reputazione per mostrare i propri errori.

Tutto quello che puoi fare è controllare lo scenario possibile e attuare la politica di corrispondenza.

Prendiamo le signore del latte come esempio, una telecamera e una porta di accesso doppia, oltre a un allarme di porta aperta di 10 secondi che impedirà la violazione a causa di una violazione dell'ingresso fisico per negligenza.

È possibile implementare controlli simili per strutture importanti come il CDC (centrale del controllo delle malattie), ma non tutte le imprese hanno le risorse per implementare tale controllo. Quindi un certo livello di controllo del danno deve essere implementato anche per limitare eventuali violazioni.

    
risposta data 05.10.2017 - 11:47
fonte
1

Esistono numerose storie di test di penetrazione fisica. Cercali. Lo scenario comune è qualcuno che entra con una giacca a vento con "FUOCO" sul retro, dicendo che provengono dai vigili del fuoco locali che fanno un sopralluogo. Hanno accesso illimitato a tutto e nessuno fa domande. I tester piantano tutti i tipi di dispositivi non autorizzati sul posto.

Il problema con la signora del latte è che potrebbe diventare motivata da una parte esterna. Ricatto, estorsione, bustarelle, ecc. E tutto ciò che la donna deve fare è "collegare questa chiavetta USB al server". Ho storie personali che semplicemente non posso condividere su questo esempio.

Non direi affatto che sia ridicolo. Ci sono storie molto tristi là fuori da persone che hanno finito per non avere scelta.

    
risposta data 05.10.2017 - 13:38
fonte
1

Ti vengono in mente tre esempi, ma sarebbe bello trovarne altri:

  • Il CEO cattura qualcuno che probabilmente ruba segreti commerciali after-hours link

  • Stuxnet è stato progettato e consegnato a una rete airgapped tramite chiavi USB, non è noto con esattezza come la sicurezza fisica sia stata violata per alcuni link

  • Aaron Schwartz è anche un esempio controverso, ma ci sono delle belle foto per spaventare la gente: link

Il fallout di Schwartz copre un diverso tipo di rischio. Se non si dispone di controlli sufficienti, le persone oneste possono commettere errori e le ripercussioni possono essere dannose per l'organizzazione.

Un diverso tipo di esempio potrebbe essere un malware progettato per diffondersi tramite chiavi USB o simili, ad esempio Fiamma . "... vittime tra cui organizzazioni governative, istituzioni educative e privati". Anche se questo potrebbe non aiutare a risolvere il problema dei dirigenti che lo considerano "troppo filmico".

Se fossi un aggressore, cercherò di compromettere il personale di supporto tecnico, le strutture, il personale di sicurezza fisica e i venditori prima di pensare alla signora del latte. Ha così poche opportunità di fare qualsiasi cosa.

    
risposta data 05.10.2017 - 13:20
fonte

Leggi altre domande sui tag

Il certificato del server termina con il certificato CA rimosso, funziona ancora? Come proteggere l'endpoint di convalida della posta elettronica?