¿Diferencia / relación entre el análisis de fuga de datos y el análisis de vulnerabilidad?

Navega tus respuestas
4

¿Cuál es la diferencia / relación entre el análisis de fuga de datos y el análisis de vulnerabilidad? ¿Cuánto y qué tipo de pruebas de vulnerabilidad se requieren para el análisis de fuga de datos?

Tengo que dar un informe de análisis de fuga de datos para algunas aplicaciones móviles. De acuerdo con lo que sé, la fuga de datos ocurre cuando una aplicación en sí está enviando datos importantes al entorno externo, por ejemplo. al servidor remoto o un archivo de registro (que es accesible a otras aplicaciones en el sistema operativo móvil) o mantenerlo en algún lugar inseguro y vulnerable.

Según mi entendimiento, solo tengo que comprobar cómo se comunican las aplicaciones y cómo se guardan los datos importantes.

En cuanto a las vulnerabilidades y la explotación, es posible que alguna parte malintencionada pueda utilizar formas sofisticadas e inteligentes para piratear una aplicación y robar sus datos. Es decir. no piratearon el método de comunicación de datos de la víctima ni las posibles ubicaciones de almacenamiento (por ejemplo, registro), sino algún otro componente de la aplicación. P.ej. llame a una función con un servidor remoto diferente para enviar datos a ...

Entiendo que será necesario realizar un análisis de vulnerabilidad, por ejemplo, los datos publicados en el servidor no deben estar sin cifrar ... pero, ¿con cuánta profundidad (y qué tipo de) de análisis de vulnerabilidad se requiere generalmente? P.ej. el escenario que mencioné en el párrafo anterior, ¿se requieren tales pruebas?

    
pregunta blackfyre 26.02.2015 - 11:55
fuente

2 respuestas

2

"Fuga de datos" se define normalmente como datos no autorizados que están disponibles debido a las acciones del funcionamiento normal del programa / usuario. En cuanto a su ejemplo de datos transmitidos sin cifrar, vería que no es un análisis de vulnerabilidad sino una parte normal de un análisis de datos (en cualquier lugar en el que se toquen los datos se requieren las protecciones adecuadas para la clasificación de esos datos).

La relación, entonces, con "vulnerabilidades" tiene que ver con la información que se puede extraer si un usuario explota una debilidad en el programa.

La diferencia es la operación normal frente a la operación inesperada.

En cuanto a la cantidad de Análisis de Vulnerabilidad que podría requerirse, depende del alcance y las expectativas del informe. Si tiene la tarea de definir el impacto de las operaciones normales ("enfoque operacional"), no necesita realizar ninguna prueba de vulnerabilidad. Si, por otro lado, el informe debe definir todas y cada una de las amenazas a los datos ("enfoque de datos"), entonces debe realizar un análisis muy detallado no solo de las vulnerabilidades potenciales, sino también una inmersión profunda en un análisis. Del código y la arquitectura en sí.

    
respondido por el schroeder 28.02.2015 - 19:59
fuente
0

Las vulnerabilidades pueden variar desde "ir a casa, estás pwned" a "plaga". Por supuesto, si usted asume completamente un sistema, todos sus datos están allí para que los pueda cosechar. La fuga de datos puede ser intrínseca al diseño de una aplicación (transmitir datos por cable en texto sin formato), un error en la programación (bueno, ¡ese ID de sesión está desactivado en uno!) O puede provenir de vulnerabilidades como SQLi, XSS o CSRF .

Cuando esté buscando fugas de datos, busque buenos controles de acceso / transporte y asegúrese de que esos controles no puedan ser evitados por una vulnerabilidad. También tenga cuidado con las vulnerabilidades de la variedad de jardín, ya que puede aprovecharlas para que su sistema objetivo le brinde datos protegidos.

La fuga de datos es su objetivo. Puede llegar allí de varias formas, que debe enumerar lo mejor que pueda.

    
respondido por el Ohnana 02.03.2015 - 16:38
fuente

Lea otras preguntas en las etiquetas

Asegurar los datos del lado del cliente de los usuarios ¿Se beneficia de especificar el conjunto de caracteres JSON Content-Type?