Pen tester che rivela le informazioni degli utenti per l'azienda

1

Nella mia azienda, il team di amministrazione della rete ha deciso di effettuare test di penetrazione e ha utilizzato un IT freelance per questo.

Durante il processo, è stato in grado di rivelare molti nomi utente e password che non erano protetti molto 'url http, proxy di autenticazione di base, ... ecc.'

Va bene consegnare agli amministratori queste informazioni e qualsiasi altra informazione relativa all'utente e privata, e cosa dovrei fare come utente normale per evitare questo tipo di violazione della privacy.

P.S: forse l'intero test di penetrazione è per "hacking" la privacy degli utenti, il che rende molto peggio.

    
posta Emadeddin 21.08.2016 - 01:17
fonte

3 risposte

2

Credo che sia giusto distribuire le informazioni degli utenti purché siano chiaramente correlate al lavoro dell'utente nella società e alla sicurezza dell'azienda. Io come datore di lavoro vorrei sapere se ci sono impiegati che usano password deboli, ecc. Perché questo influenza chiaramente la sicurezza dell'IT aziendale.

Gli account dei social media degli utenti non hanno chiaramente nulla a che fare con il lavoro dell'utente in azienda. Il fatto che lavori nella società X non autorizza il tuo manager della società X a violare il tuo account Facebook, praticamente come se non autorizzasse il tuo manager ad entrare nel tuo appartamento e vedere cosa ci fai lì.

Esiste comunque un'area grigia, che ritengo sia piuttosto pertinente: se gli utenti usano le stesse password per l'azienda e i loro account personali, allora può essere rilevante per la sicurezza dell'azienda e io come responsabile voglio saperlo. Quindi capisco perché ti è stato chiesto di hackerare anche gli account dei social media, anche se è più che ovvio che questo non è il modo corretto di affrontare questo problema.

    
risposta data 21.08.2016 - 13:41
fonte
0

I tuoi amministratori probabilmente hanno già accesso a queste informazioni. Probabilmente hanno accesso root a tutto. Devi già fidarti di loro. Se non lo fai, corri.

    
risposta data 21.08.2016 - 01:52
fonte
0

Beh, la cosa principale di cui preoccuparsi con il test della penna è probabilmente la fiducia. Non assumerai un avvocato di cui non ti fidi, non andrai in un ospedale di cui non ti fidi e non dovresti assumere un pen tester di cui non ti fidi.

Il pen tester ha accesso a informazioni potenzialmente dannose e questo è il suo lavoro per cercare di recuperare le informazioni dal tuo sistema. E questo è anche il suo lavoro per non utilizzare o condividere tali informazioni. Lo stesso tipo di segreti professionali che un avvocato o un dottore avrebbe affrontato. Non penso sia una buona idea limitare l'accesso al pen tester. Lo scopo del test delle penne è testare i sistemi più importanti, con i segreti più importanti e garantire che questi importanti segreti siano sicuri. Quindi a un certo punto hanno testato quei sistemi ed è del tutto possibile che trovino un modo per accedervi. Sarebbe ridicolo chiedere a un tester di penna di testare solo la parte del sistema che non contiene alcun segreto o testare un sistema separato con dati falsi che non sarebbero identici all'1: 1, perché non sarebbero in grado per testare le errate configurazioni del sistema reale.

Non dovresti preoccuparti del tipo di informazioni a cui puoi accedere, dovresti preoccuparti se puoi fidarti o meno del tuo pen tester.

La parte difficile è determinare come calcolare questa "fiducia". La reputazione può aiutare, ma credo che questo sia per lo più basato sull'opinione pubblica ...

Risposta complementare sugli amministratori:

Ovviamente è davvero pessimo se non puoi nemmeno fidarti dei tuoi amministratori poiché hanno praticamente accesso a tutto, o almeno hanno pieno accesso a parte del tuo sistema. ( koff Snowden koff koff ) Ma c'è almeno una cosa che puoi fare: per dati molto sensibili come bitcoin per esempio, il vault di hashicorp (non mi piace consigliare il prodotto ma non conosco alcuna alternativa) posso consentire l'accesso ad alcuni servizi solo se si collegano più amministratori. Ci sono molte meno probabilità che più amministratori si coordinino per rubare i tuoi dati rispetto a un lupo solitario. Puoi leggere su questo e su un set di sicurezza ultra-paranoico qui: link

Puoi anche separare il tuo sistema in più sottosistemi, limitare l'accesso a ogni singolo amministratore al minimo indispensabile.

Puoi anche provare a monitorare tutto per attività di amministrazione sospette. (come si presenta un lavoro di amministratore sospetto?)

Ma ad un certo punto, qualunque cosa tu faccia, i tuoi amministratori hanno ancora più potere della maggior parte dei dipendenti e devi ancora fidarti di loro in un certo livello.

Risposta complementare su amministratori non esperti:

Aspettare che il tuo amministratore non abbia l'abilità di hackerarti è non una buona protezione. Nel tuo modello di minaccia dovresti considerare a cosa hanno accesso a tutto ciò a cui possono accedere, indipendentemente dal fatto che questo accesso possa essere difficile o meno. Sai che l'hacking è difficile , significa che puoi lasciare un bug di sicurezza straordinario e difficile da sfruttare senza patch? Certo che no!

Considera che il tuo amministratore ha un facile accesso a qualunque accesso abbia accesso.

È un problema? Puoi fidarti del tuo amministratore per gestire tali dati?

Sì: nessun problema No: sostituisci l'amministratore, aggiungi la supervisione da un amministratore più affidabile, una doppia verifica con Vault o altro.

Il tuo amministratore ha più accesso rispetto al tester per penne, se ti fidi del tester per penne più dei tuoi amministratori, c'è qualcosa di molto sbagliato.

    
risposta data 21.08.2016 - 01:33
fonte

Leggi altre domande sui tag