Fuga de información de socios comerciales

3

Acabo de pasar por una prueba de penetración, y lo que era extraño fue que recibimos un comentario acerca de una posible fuga de datos a través de la indagación de DNS (me doy cuenta de que esto es una placa de calderas, y también es un DNS único interno, lo que agrega complejidad) :

  

Por ejemplo, si un atacante estaba interesado en saber si su compañía   utiliza los servicios en línea de una institución financiera particular,   Podrían usar este ataque para construir un modelo estadístico.   con respecto al uso de la empresa de esa institución financiera. Por supuesto, el   El ataque también se puede utilizar para encontrar socios B2B, patrones de navegación web,   servidores de correo externos, y más.

No estoy preguntando por qué la indagación de DNS es o no una vulnerabilidad

Del mismo modo, hay ocasiones en las que los evaluadores de penetración devuelven comentarios como "es posible adivinar el sistema operativo que está utilizando" ...

Esto me parece increíblemente extraño, porque a menudo, públicamente, hablamos de nuestros socios y soluciones tecnológicas:

  • Hacemos charlas públicas sobre diversos temas y destacamos a nuestros clientes, proyectos y socios para mostrar nuestra capacidad técnica
  • asistimos a conferencias sobre tecnologías particulares y ayudamos a las comunidades a avanzar hacia mejores soluciones.
  • Publicamos el reclutamiento con una lista de tecnologías que utilizamos
  • Nuestros socios publican a menudo que utilizan nuestros servicios
  • A veces publicamos (por ley / regulación, como estamos listados) contratos significativos para que nuestros socios sean una lista

Hay un caso en el que a veces estamos siendo demasiado entusiastas en nuestro análisis de los sistemas, donde la información es más fácil de obtener en otros lugares, o si nos convertimos en una compañía de caja negra donde nadie dice nada, y reclutamos a través de declaraciones vagas, tal vez a través de organizaciones shell para que nadie sepa lo que hacemos.

Básicamente: ¿Cómo podemos equilibrar el tiempo y el esfuerzo invertido en buscar y encontrar "fugas de datos" sobre las cosas frente a la posibilidad de operar como una empresa? ¿Dónde está la línea para nuestra gente de lo que pueden y no pueden hablar? , ¿cómo monitoreamos y controlamos eso?

    
pregunta Jmons 05.02.2018 - 11:23
fuente

2 respuestas

4

Usted está en el mismo barco que muchas otras compañías de tecnología. Si la empresa más remota no tuvo en cuenta todos los puntos anteriores en algún contexto para los riesgos que identificaron, es posible que desee considerar cambiar de empresa.

La divulgación de información presenta un riesgo . Debe evaluar ese riesgo y determinar si los impactos son lo suficientemente altos como para requerir que mitigue ese riesgo.

Usted puede determinar que los riesgos simplemente no son lo suficientemente altos como para preocuparse por ello, en cuyo caso usted acepta este riesgo.

Puede aceptar que existe un riesgo y, en lugar de tapar todas las fugas, utiliza otros métodos más económicos para reducir el riesgo a un nivel aceptable. Por ejemplo, si alguien puede saber qué sistema operativo y qué versión está ejecutando, cuando se anuncie una vulnerabilidad, debe ser más rápido para parchear o bloquear el acceso a esa vulnerabilidad de lo que podría ser de otra manera. Si puedes hacer eso, entonces esa es una mejor manera de avanzar.

Otro término que está ganando terreno es " huella digital ". ¿Qué información hay sobre ti? ¿Qué revela usted? Una vez que entiendas eso, entonces debes decidir qué hacer si un actor malicioso tiene toda esa información. ¿Qué necesitarías hacer diferente? Lo importante no es confiar en alguien, solo porque saben algo interno de la compañía. La confianza debe formalizarse y no puede basarse en el conocimiento o la familiaridad. Por ejemplo, alguien que diga que son de su banco nunca debería ser suficiente para confiar en ellos. Es necesario establecer formas de determinar la confianza de antemano (números de teléfono aprobados, 2FA, etc.)

Entonces, ¿cómo avanzas como compañía? El mejor caso es asumir que todos lo saben todo y mitigar lo que eso significa para usted.

    
respondido por el schroeder 05.02.2018 - 12:27
fuente
0

¿No deberían evaluar los pentesters si su seguridad está a la altura de las circunstancias, teniendo en cuenta el nivel de fuga de información? Un atacante puede recopilar toda la información sobre su empresa, pero la información sobre una empresa en sí misma no lo hace pasar por cortafuegos. Aún necesita ejecutar todos los bits técnicos para llevar a cabo un ataque real, así que tal vez en lugar de preocuparse por la cantidad de información que debe divulgar, como los proveedores de hardware / software que utiliza, sus socios financieros, etc., debería hacer su lo mejor es minimizar los vectores de ataque reales educando a los empleados, parcheando software, procedimientos de seguridad sólidos y amp; sistemas, etc.

Por ejemplo, un atacante puede conocer todas las vulnerabilidades de la versión del sistema operativo que usan la mayoría de sus empleados, pero si no pueden penetrar en la red porque tiene un buen aislamiento, deshabilitó todos los puertos no utilizados, tiene buena seguridad de Wi-Fi. etc., será bastante difícil comprometer una estación de trabajo real.

    
respondido por el downwardCorgi 06.02.2018 - 18:47
fuente

Lea otras preguntas en las etiquetas