Convencer a un ejecutivo para que ordene el uso de HTTPS en los servidores web de Intranet

3

Conozco a alguien que trabaja en una empresa mediana (entre 1000 y 10,000 empleados) y está un tanto molesto por el hecho de que varios servidores web de Windows de intranet (SharePoint, aplicaciones internas, etc.) continúen autentificando a los usuarios de dominios de Windows usando Basic y NTLM autenticación sobre conexiones HTTP inseguras.

Recientemente habló con un jefe de departamento sobre el problema, explicó el modelo de amenaza principal (robo de credenciales MITM a través de cualquier dispositivo comprometido, incluso impresoras), y recibió una respuesta: "Si alguien en quien no confiamos está en nuestra red , tenemos un problema mucho más grande ".

Además, el jefe de departamento piensa muy bien de sus empleados y se enfadaría ante la sugerencia de que los empleados deberían formar parte del modelo de amenaza.

¿Qué enfoque sugeriría adoptar al analizar el problema con este ejecutivo?

(Usar una cuenta desechable para evitar cualquier conexión inferida con la compañía mencionada).

    
pregunta Throwaway_03 23.01.2018 - 20:02
fuente

3 respuestas

3

La amenaza interna siempre es una posibilidad, pero los gerentes siempre van a reaccionar a la defensiva cuando ellos (y, por extensión, su equipo) son sometidos a escrutinio. Especialmente cuando los confrontas con evidencia directa de las faltas de un subordinado.

No traiga empleados en esto. Replantéelo en términos de credenciales comprometidas: "no se trata de lo que Jenny en contabilidad podría hacer , se trata de lo que hará absolutamente alguien que robe sus credenciales".

... incluso si Jenny realmente es una amenaza para la compañía.

  

Si alguien en quien no confiamos está en nuestra red, tenemos un problema mucho mayor.

Se trata de la mitigación de amenazas. El hecho de que un atacante haya ganado un punto de apoyo no significa que ya haya comenzado a enumerar o difundir o ha desarrollado toda su infraestructura. Por lo que usted sabe, está contenido en una máquina, donde está atascado tratando de adivinar las ubicaciones y las credenciales del servidor para la siguiente. Este es un problema pequeño y simple para remediar.

Pero con las credenciales flotando en el claro, si comienza a espiar el tráfico de la red, puede obtener nuevos conjuntos de credenciales para enmascararse y nuevas ubicaciones para violar. El alcance de su infiltración se expande rápidamente, al igual que la cantidad de lugares para que él mantenga la persistencia en su red. Sólo ahora se ha materializado ese "problema mayor".

    
respondido por el Ivan 23.01.2018 - 23:45
fuente
2

En pocas palabras, es la gente en la que más confías que puede hacerte la peor. Sí, si tienes a alguien en quien no confías en tu red, tienes un gran problema. Sin embargo, muchas empresas pequeñas tienen este modelo de confianza implícito y se queman a medida que crecen y descubren que algunas personas, a pesar de nuestra mejor creencia en ellas, hacen cosas que no deberían hacer y que realmente perjudican a la empresa.

La buena seguridad mira a los jugadores más probables: sus empleados internos son la mayor amenaza en general. Ya están en su red y, por definición, son de confianza. Así que su potencial de daño es alto. Recuerda, solo eres un empleado descontento del desastre. Aquí hay un artículo sobre Forbes; También puede consultar el NIST y otras publicaciones de seguridad (como ISSA o ISACA) para obtener más información. Webmasters SE tiene una buena respuesta a esto.

Empezaría por no sonar acusatorio hacia el personal. Lea sobre las mejores prácticas. Obtenga información de ISSA y de ISACA y NIST sobre por qué proteger sus servidores web internos. Busque STIG Viewer por prácticas y razones. Esté preparado para explicar los beneficios. Quiere mostrar a este ejecutivo que la razón por la que quiere hacer esto es porque es lo correcto y otras compañías lo hacen por muy buenas razones. Además, los ejecutivos ven las cosas en términos de relación costo / beneficio. Si es más barato no hacer nada y el riesgo es bajo, entonces invariablemente elegirán no hacer nada. Aquí es donde la Administración necesita educar al ejecutivo sobre el nivel de riesgo y cómo mitigar ese riesgo.

    
respondido por el baldPrussian 23.01.2018 - 21:06
fuente
0

Demostraciones prácticas o como se mencionó anteriormente, un pentest de terceros:

  • Haz un mapa de tu red con sabueso para mostrar el camino más rápido a tu DC
  • Demuestre mimikatz en una estación de trabajo extrayendo credenciales
  • Proporcionan un ejemplo de cómo un agente externo podría violar una estación de trabajo o empleado (DDE + Macros, puntos finales externos sin MFA, fuerza bruta)

Resalte que la industria de la seguridad funciona bajo una supuesta infracción en la actualidad. Por lo que parece, esta compañía ya lo es y simplemente no lo sabe.

Tal vez un costo de ruptura de una brecha en comparación con el costo de arreglar estas prácticas inseguras, un ejecutivo después de todo se trata de los números.

    
respondido por el McMatty 24.01.2018 - 00:43
fuente

Lea otras preguntas en las etiquetas