Come decidere il flusso del software / processo aziendale è abbastanza sicuro

0

La maggior parte delle volte, quando sviluppiamo un flusso software per implementare una logica aziendale, spesso prendiamo una decisione che influisce sull'uso sicuro e constrongvole del sistema e forse sul successo dell'azienda.

Ad esempio per convalidare un membro che sta tentando di aggiornare dati importanti sul sistema (come i dati della carta di credito, ecc.) potremmo decidere di chiedere conferma via SMS con OTP. Quindi potremmo inviare un codice a 4 cifre e chiedere conferma. Ma prima di tutto come possiamo essere sicuri che l'OTP tramite SMS sia abbastanza sicuro per il nostro processo? Quanto tempo dovremmo inviare OTP, 4 cifre sufficienti? È abbastanza sicuro usare solo numeri invece di lettere? Cerchiamo naturalmente sempre di rendere più facile per i membri quindi sarà comodo per loro e non decidere di smettere di usare i nostri sistemi. Altrimenti potremmo farlo più duramente possibile in modo che sia più sicuro.

Ovviamente questa non è una domanda specifica e la risposta non sarebbe chiara su questo, ma sto facendo questa domanda per capire se esiste una metodologia o un metodo statistico per decidere statisticamente che il processo aziendale o il flusso di software siano sicuri? Perché per lo più stiamo decidendo in base alla nostra e alcuni dei colleghi non pensano nient'altro che non sia misurabile. Ci deve essere un modo per gestire tali domande?

Quindi qualche idea?

    
posta Walt S. 24.07.2015 - 17:52
fonte

2 risposte

1

Fondamentalmente è necessario eseguire una valutazione del rischio e l'azienda deve definire i propri limiti.

Valutazione del rischio

Viene eseguito per identificare il rischio per un'azienda. Nella sicurezza delle informazioni questi rischi si presentano sotto forma di culatte / ingegneria sociale / ecc. Il rischio ha una descrizione definita che è

Rischio = Potenziale perdita X Probabilità che accada qualcosa

La valutazione del rischio utilizza due forme di era per applicare valore a una valutazione.

Quantitativo

Il valore quantitativo è una valutazione del valore che in genere è un valore numerico. Potresti ad esempio misurare il valore numerico delle tue linee di dati in entrata e confrontarlo con le perdite che la tua azienda subirebbe (in termini di dollari) se quelle linee dovessero andare giù

Qualitativo

Qualitativo è una valutazione del valore che non può essere tipicamente misurata in forme numeriche. Ad esempio, quanto sarebbe facile per un utente malintenzionato social engineer accedere alle informazioni sull'account di cambiamento.

Come alcune parole di consiglio, se non hai mai fatto una valutazione del rischio prima, ti consiglio vivamente di assumere un'azienda per fare una piccola valutazione con te. C'è molto che può andare in questi e mentre Internet ha grandi risorse su quello che è e ciò che stai cercando di realizzare con esso. È un po 'dappertutto sulla mappa per eseguirne uno. Impara come fa qualcun altro, guarda cosa succede e poi prendi quella conoscenza e migliorala.

    
risposta data 24.07.2015 - 18:38
fonte
0

Ovviamente 8 cifre alfanumeriche sono "più sicure" di 4 cifre numeriche.

Ma ci sono anche diversi vettori di attacco che inviano OTP via SMS. Quindi non attaccherei indovinando un numero di 4 cifre a 4 cifre pseudo casuali, ma vorrei

  1. attacca il processo di implementazione. Il numero a 4 cifre è un po 'di casa generato usando una chiave segreta o un generatore di numeri casuali. Forse posso dargli una mano.

  2. attacca il telefono degli utenti semplicemente rubandolo per un breve periodo di tempo. Persino Sheldon è stato in grado di farlo nella teoria del big bang; -)

  3. rubare il numero di telefono delle persone. Alcuni anni fa questo è stato fatto con successo semplicemente fingendo l'identità delle persone e trasferendo il numero di cellulare a un nuovo fornitore. Riceverò quindi tutti gli SMS.

  4. Impostazione di una stazione base del ricetrasmettitore e collegamento del telefono delle vittime al mio BTS.

Shane ha già dato l'impressione di cosa significhi "abbastanza sicuro" per te.

Se vuoi essere più sicuro riguardo al secondo fattore, potresti comunque pensare di utilizzare token hardware come yubikey, che puoi inizializzare da solo. La soluzione open source privacyIDEA supporta tutti quei modi, SMS, token hardware, yubikey ... Così puoi decidere in quale processo vuoi avere quale livello di sicurezza.

    
risposta data 09.08.2015 - 12:49
fonte

Leggi altre domande sui tag