¿Evidencia de violaciones de datos a gran escala por falta de seguridad física?

Navega tus respuestas
1

Usted ve ejemplos inverosímiles de Hollywood del escenario más improbable que resulta en una violación de datos debido a la falta de seguridad física. Un ejemplo es en Mr Robot, donde el protagonista ingresa a un almacén de datos y planta una Raspberry Pi falsa para destruir todos los datos. Si bien es poco probable que sucedieran todas las condiciones que ocurrieron ... podrían hacerlo. Debido a que casi todos los estándares y marcos de seguridad tienen grandes secciones sobre políticas de seguridad física.

Actualmente estoy lidiando con un argumento en el que el riesgo es de 1 en un millón que la señora de las 4 am que entrega sin supervisión a los frigoríficos pasa frente al armario del servidor que se dejó abierto y decidió enchufar un dispositivo fraudulento.

Mientras que sí, es ridículo que sucediera ... podría. Más aún, veo el riesgo dentro de 10 años cuando la señora de la leche es reemplazada por alguien más motivado y el proceso no ha cambiado. Tanto el armario del servidor que se abre como el acceso a invitados no supervisados a áreas particulares representan grandes riesgos.

Pero a los ejecutivos les parece demasiado cinematográfico como para que ellos se lo tomen en serio. ¿Existe alguna violación importante de la corporación debido a un lapso en la seguridad física que pueda usarse como evidencia de apoyo para justificar el caso de mejora?

    
pregunta Cyassin 05.10.2017 - 10:22
fuente

3 respuestas

2

Dichas violaciones son temas para la ingeniería de violaciones de seguridad (a través de la debilidad del ser humano, la falla mecánica). Ninguna organización está dispuesta a arriesgar su reputación para mostrar sus errores.

Todo lo que puede hacer es auditar un posible escenario e implementar la política de correspondencia.

Tome como ejemplo a las señoras de la leche, una cámara y una puerta de doble acceso, además de una alarma de alerta de 10 segundos de apertura de la puerta, evitará que se produzcan fallas debido a fallas en la entrada física por negligencia.

Es posible implementar un control similar para instalaciones importantes como CDC (central del control de enfermedades), pero no todas las empresas tienen los recursos para implementar dicho control. Por lo tanto, también se debe implementar cierto nivel de control de daños para limitar las posibles infracciones.

    
respondido por el mootmoot 05.10.2017 - 11:47
fuente
1

Hay numerosas historias de probadores de penetración física. Busca a esos. El escenario común es que alguien que camina con un cortavientos con "FUEGO" en la parte posterior dice que son del departamento de bomberos local y están realizando una inspección del lugar. Obtienen acceso ilimitado a todo y nadie hace preguntas. Los probadores colocan todo tipo de dispositivos falsos en las instalaciones.

El problema con la señora de la leche es que ella podría sentirse motivada por un tercero. Chantaje, extorsión, sobornos, etc. Y todo lo que la señora tiene que hacer es "conectar esta memoria USB a un servidor". Tengo historias personales que simplemente no puedo compartir en este ejemplo.

No diría que es ridículo en absoluto. Hay historias muy tristes por personas que terminaron sin tener otra opción.

    
respondido por el schroeder 05.10.2017 - 13:38
fuente
1

Se me ocurren tres ejemplos, pero sería bueno encontrar más:

  • El CEO atrapa a un tipo que probablemente esté robando secretos comerciales después del horario de trabajo enlace

  • Stuxnet se diseñó y se entregó a una red con espacio de aire mediante llaves USB, no se sabe exactamente cómo se violó la seguridad física enlace

  • Aaron Schwartz también es un ejemplo controvertido, pero hay buenas fotos para asustar a la gente: enlace

Las consecuencias de Schwartz cubren un tipo diferente de riesgo. Si no tiene suficientes controles, las personas honestas pueden cometer errores y las repercusiones pueden ser perjudiciales para la organización.

Un tipo diferente de ejemplo podría ser un malware diseñado para propagarse con llaves USB o similares, por ejemplo, Flame . "... víctimas, incluidas organizaciones gubernamentales, instituciones educativas y particulares". Aunque es posible que esto no ayude a resolver el problema de los ejecutivos que lo descuentan como "demasiado pelicula".

Si fuera un atacante, buscaría comprometer a su personal de soporte técnico, personal de instalaciones, personal de seguridad física y proveedores antes de que pensara en la señora de la leche. Ella tiene tan poca oportunidad de hacer algo.

    
respondido por el mgjk 05.10.2017 - 13:20
fuente

Lea otras preguntas en las etiquetas

¿Usuario público invitado para PostgreSQL? Cómo incluir en una lista blanca una IP, pero evitar que otros ataques DoS [cerrado]