Probar que una infracción no dio como resultado una fuga

Navega tus respuestas
3

Alguien que dirige un equipo de seguridad en una empresa consultora me dijo recientemente que no todas las violaciones de seguridad son necesariamente incidentes. Si alguien irrumpe en una máquina que no tiene habilitada la auditoría de acceso a archivos, se puede probar que no se ha filtrado ninguna información confidencial y, por lo tanto, no es necesario notificar a los clientes.

Pero no lo compro. ¿Cómo se puede probar alguien después del hecho de que no se leyó ningún dato sin ninguna auditoría? Cualquier lectura de datos podría fácilmente ser codificada en su salida, por lo que los registros de red no necesariamente prueban nada. Además, cualquier archivo tocado puede tener su marca de tiempo invertida fácilmente, sin mencionar que no hay forma de saber quién fue el último en leer el archivo (por ejemplo, ¿fue el verdadero usuario root o el hacker como root)?

Por lo que sé, no hay manera de probar lo que se ha visto durante una infracción a menos que haya algo que audite el sistema de archivos en todo momento, y por lo tanto, es una obligación para las empresas notificar a sus clientes que fueron hackeados si un sistema que contiene datos confidenciales nunca se ha infringido.

    
pregunta fny 12.06.2015 - 01:13
fuente

2 respuestas

9

Se puede realizar un análisis forense, incluso sin realizar auditorías en el sistema de archivos, para determinar el acceso a los archivos y reconstruir el alcance potencial de una infracción. Básicamente, todos los sistemas de archivos en uso en las computadoras modernas son sistemas de archivos de registro por diario, que contienen una especie de registro circular. Usando herramientas para leer los sectores del disco borrados / sobrescritos, uno puede comenzar a ver a qué archivos se accedió cuando. Si no se accedió a archivos confidenciales durante el momento de la violación, un analista de seguridad forense podría optar por declarar que la violación no dio lugar a la divulgación de datos confidenciales.

Sin embargo, como usted señala; estos métodos forenses pueden no determinar de manera concluyente el alcance de una infracción. Su postura es definitivamente la opción más conservadora y realista.

Las compañías gastarán una gran cantidad de dinero en analistas de seguridad forense y las empujarán a declarar (si esta evidencia forense es admisible en el Tribunal, al menos en los EE. UU., si se hace correctamente) la infracción no publicó datos confidenciales para esquivar los requisitos de información.

    
respondido por el Herringbone Cat 12.06.2015 - 01:40
fuente
2

Faraz tiene razón desde la perspectiva de un profesional de la seguridad. Sin embargo, como señaló Herringbone_Cat, desde la perspectiva de la administración, usted quiere contener el daño tanto como sea posible. Si no se ha filtrado ningún dato, le gustaría mantener la brecha en silencio para no dañar la reputación de la empresa; especialmente si cotiza en bolsa porque podría costar millones.

Si está avanzando en el campo de la seguridad, siempre tenga en cuenta que el objetivo de la seguridad de la información es agregar valor comercial.

    
respondido por el Karmic 12.06.2015 - 02:33
fuente

Lea otras preguntas en las etiquetas

Llamada a procedimiento remoto SUN Puerto 111 [cerrado] ¿Detecta y filtra datos a través de líneas de alimentación de CA?