Entrar en sus propios sistemas [cerrado]

-6

Entonces, como profesionales de la seguridad, la mayoría son demasiado paranoicos con respecto a piratas informáticos externos, fugas, etc. Estoy buscando ideas sobre cómo se haría para probar sus propios sistemas, sin signos de que estuvieran probándolos > Para dar un ejemplo más concreto, si estaba trabajando en un área con información altamente confidencial (datos del gobierno, datos bancarios, registros médicos), y se me pidió que diseñara el sistema para asegurar dichos datos, sabiendo que debe compartirse entre las personas que trabajan en el departamento. ¿Cómo podría (disimuladamente) explotar mi rol, tomando la información y el trabajo de otras personas y filtrando, por ejemplo, mientras mantengo mi trabajo y no me atrapan? Idealmente, me gustaría que pareciera que alguien más fue responsable de las pruebas que yo.

Ideas que tengo:
Sobornar a alguien más para que lo haga por mí.
Robar credenciales
Alguna ingeniería social (Comenzando los rumores de que alguien está pensando en hacer esto)
Dejar algo de puerta trasera en el sistema (es decir, usar un algoritmo roto o rodar mi propio criptografía y dejar un problema en él) que puedo explotar.

Todos estos son métodos bastante obvios, ¿hay algo más que me falte?

Al releer esto, me he dado cuenta de que esto resultó muy malo. Esta es la tarea, y no hay una etiqueta de tarea en security.stackexchange

    
pregunta user25400 29.04.2013 - 23:47
fuente

1 respuesta

4

Entonces, la pregunta subyacente que veo aquí es: "¿Cómo proteges contra las amenazas internas?"

Como lo veo, la respuesta tiene dos partes. Una es que usted protege contra amenazas internas de la misma manera que protege contra amenazas externas, y la otra parte es que, hasta cierto punto, no puede. Recuerde, la seguridad tiene que ver con la gestión y mitigación de riesgos, no con la eliminación de riesgos, y las hadas y los unicornios.

Para la primera parte: cuando un sistema se pone en línea, debe desarrollarse un modelo de amenaza para él, que defina la mayor cantidad de superficies de ataque potenciales que puedan descubrirse y trate cada una de ellas de manera adecuada. Esto es cierto tanto para usuarios internos como externos. El hecho de que alguien esté en el departamento de seguridad de TI no significa que deba tener acceso ilimitado a las bases de datos de producción, por ejemplo. Eso sería un riesgo inaceptable.

Para la segunda parte: si tiene sistemas, debe confiar en las personas para que los administren. Usted no confía ciegamente ... Usted trabaja para contratar personas dignas de confianza, inicialmente limita su acceso y les permite demostrar su valía con el tiempo, y distribuye la responsabilidad entre varias personas para disminuir la capacidad de cualquier persona para causar daño. Tiene buenos gerentes que pueden detectar problemas (rumores o empleados que hacen cosas que no deberían) y pueden evitarlo. Sin embargo, al final, este es un riesgo que no se puede eliminar, simplemente se debe administrar.

No puedes evitar que las personas causen problemas. Solo puede gestionar el riesgo y eliminarlos de la organización tan pronto como los encuentre.

    
respondido por el Xander 30.04.2013 - 00:34
fuente

Lea otras preguntas en las etiquetas