Acabo de pasar por una prueba de penetración, y lo que era extraño fue que recibimos un comentario acerca de una posible fuga de datos a través de la indagación de DNS (me doy cuenta de que esto es una placa de calderas, y también es un DNS único interno, lo que agrega complejidad) :
Por ejemplo, si un atacante estaba interesado en saber si su compañía utiliza los servicios en línea de una institución financiera particular, Podrían usar este ataque para construir un modelo estadístico. con respecto al uso de la empresa de esa institución financiera. Por supuesto, el El ataque también se puede utilizar para encontrar socios B2B, patrones de navegación web, servidores de correo externos, y más.
No estoy preguntando por qué la indagación de DNS es o no una vulnerabilidad
Del mismo modo, hay ocasiones en las que los evaluadores de penetración devuelven comentarios como "es posible adivinar el sistema operativo que está utilizando" ...
Esto me parece increíblemente extraño, porque a menudo, públicamente, hablamos de nuestros socios y soluciones tecnológicas:
- Hacemos charlas públicas sobre diversos temas y destacamos a nuestros clientes, proyectos y socios para mostrar nuestra capacidad técnica
- asistimos a conferencias sobre tecnologías particulares y ayudamos a las comunidades a avanzar hacia mejores soluciones.
- Publicamos el reclutamiento con una lista de tecnologías que utilizamos
- Nuestros socios publican a menudo que utilizan nuestros servicios
- A veces publicamos (por ley / regulación, como estamos listados) contratos significativos para que nuestros socios sean una lista
Hay un caso en el que a veces estamos siendo demasiado entusiastas en nuestro análisis de los sistemas, donde la información es más fácil de obtener en otros lugares, o si nos convertimos en una compañía de caja negra donde nadie dice nada, y reclutamos a través de declaraciones vagas, tal vez a través de organizaciones shell para que nadie sepa lo que hacemos.
Básicamente: ¿Cómo podemos equilibrar el tiempo y el esfuerzo invertido en buscar y encontrar "fugas de datos" sobre las cosas frente a la posibilidad de operar como una empresa? ¿Dónde está la línea para nuestra gente de lo que pueden y no pueden hablar? , ¿cómo monitoreamos y controlamos eso?