Riesgos involucrados en la implementación externa del entorno de almacenamiento

2

Los usuarios de la aplicación serán los empleados de la empresa que accederán a ella a través de la red de la empresa y también desde el exterior. Se debe realizar una prueba de penetración en el entorno de ensayo, que será realizada por un equipo diferente dentro de la red de la empresa. Quiero saber si existen riesgos asociados si el entorno de ensayo se pone en Internet.

    
pregunta one 17.10.2016 - 18:39
fuente

3 respuestas

1

Me aseguraría de que el equipo de pruebas de penetración pruebe tanto el acceso desde dentro de la red interna como desde Internet. Al exponer una aplicación a Internet, los agentes de amenazas (atacantes) están facilitando el acceso a esa aplicación, por lo que sí, esto afectaría el perfil de riesgo de la aplicación. Para calcular el riesgo, considere un enfoque de modelado de amenazas. Puede encontrar útil el enfoque de OWASP .

    
respondido por el feedersec 22.10.2016 - 08:24
fuente
1

Depende principalmente de la confianza que usted deposite en el entorno de ensayo, pero en el caso general, exponerlo a Internet aumenta los riesgos. Porque además del equipo que realizará las pruebas, otros atacantes podrían acceder a la aplicación y, si encuentran vulnerabilidades, pueden explotarlos. Esto no sería una gran sorpresa porque las pruebas de la pluma aún no se han hecho. Si el entorno de almacenamiento está aislado de la red interna al configurarse como DMZ, el riesgo se limita a esta plataforma, pero si puede acceder a la red interna, podría utilizarse para atacar a otras máquinas (internas), actuando más o menos como un troyano.

Si el equipo que debe realizar la prueba de lápiz no tiene acceso directo a la red interna, debería considerar la configuración de una VPN segura para permitirles acceder al entorno de prueba, pero nadie más.

    
respondido por el Serge Ballesta 19.06.2017 - 14:48
fuente
0

Un atacante podría "practicar" sus proezas en la copia de prueba, que a menudo no se monitorea / defiende hasta que han perfeccionado sus proezas, en cuyo momento pueden eliminar su aplicación en vivo de una sola vez.

Otro riesgo sería si hubiera algún error de configuración y la aplicación de prueba realmente contiene secretos que serían válidos en algún momento para la aplicación en vivo. Recientemente he encontrado exactamente esto en un trabajo reciente: la aplicación de prueba usaba las mismas contraseñas para un servicio externo que la aplicación en vivo.

    
respondido por el André Borie 17.12.2017 - 02:59
fuente

Lea otras preguntas en las etiquetas