Così come i professionisti della sicurezza, la maggior parte sono eccessivamente paranoici su hacker, perdite, ecc. esterni. Sto cercando idee su come testare i propri sistemi, senza segni che li stessero testando > Per dare un esempio più concreto, se lavorassi in un'area con informazioni altamente sensibili (dati governativi, dati bancari, cartelle cliniche) e mi è stato chiesto di progettare il sistema che assicurasse tali dati, sapendo che deve essere condiviso tra le persone che lavorano nel dipartimento. Come potrei (subdolo) andare a sfruttare il mio ruolo, prendendo i dati e il lavoro delle altre persone e diffondendoli, ad esempio, tutto mantenendo il mio lavoro e non venendo scoperto. Idealmente vorrei che appaia come se qualcun altro fosse responsabile per i test di me.
Idee che ho:
Compri qualcun altro a farlo per me.
Rubare le credenziali
Qualche ingegneria sociale (le voci di partenza che qualcuno sta pensando di farlo)
Lasciare qualche backdoor nel sistema (IE usando un algoritmo rotto o facendo rotolare la mia crittografia e lasciando un problema in esso) che posso sfruttare.
Tutti questi sono metodi abbastanza ovvi, ce ne sono altri che mi mancano?
Ho notato nella rilettura di questo che questo è venuto fuori male. Questo è compito a casa e non ci sono tag di compiti su security.stackexchange