web-dev-qa-db-ja.com

イントラネットWebサーバーでのHTTPSの使用を義務付けるよう経営幹部を説得する

中規模の企業(従業員数1000〜10,000)で働いており、いくつかのイントラネットWindows Webサーバー(SharePoint、内部アプリなど)がWindowsドメインユーザーの認証を、安全ではなく基本認証とNTLM認証を使用して続行していることを幾分悔しいHTTP接続。

彼は最近問題について部門長と話をし、主要な脅威モデル(侵害されたデバイス、プリンターを介したMITM資格情報の盗用)を説明し、プッシュバックを得ました:「私たちのネットワークに信頼できない人がいる場合、はるかに大きな問題です。」

また、部門長は彼の従業員を非常に高く評価しており、従業員自身が脅威モデルの一部であるべきであるという提案に怒っています。

この幹部とこの問題について話し合う際に、どのようなアプローチを取ることをお勧めしますか?

(使い捨てアカウントを使用して、上記の会社への推定接続を回避します。)

corporate-policythreat-modeling
3
Throwaway_03

インサイダーの脅威は常に発生する可能性がありますが、マネージャーは(さらに言えば、チームも)監視下に置かれると、常に防御的に反応します。特に、部下の不正行為の直接的な証拠に直面した場合。

従業員を連れてこないでください。侵害された資格情報の観点から言い換えると、「それは会計におけるジェニーのことではない可能性がある何をすべきか、それは彼女の資格情報を盗む誰かが絶対に行うことについてだ」

...たとえジェニーが本当に会社にとって脅威であったとしても。

私たちが信頼していない誰かが私たちのネットワークにいる場合、私たちははるかに大きな問題を抱えています。

それは脅威の軽減についてです。攻撃者が足掛かりを得たからといって、インフラストラクチャ全体の列挙、拡散、または作成をすでに開始しているわけではありません。彼が1台のマシンに含まれていることを知っているすべての人にとって、サーバーの場所と次の資格情報を推測しようとして立ち往生しています。これは、修正する必要がある小さくて単純な問題です。

しかし、資格情報が平凡に浮かんでいるので、ネットワークトラフィックを盗聴し始めたら、偽装する新しい資格情報のセットと、違反する新しい場所を取得できます。彼の潜入の範囲は急速に拡大し、彼があなたのネットワークで持続性を維持するための場所の数も同様に拡大します。その「より大きな問題」が実現したのは、今のことです。

3
Ivan

簡単に言えば、最も信頼できないのは、あなたを最も難しくすることができる人です。はい、ネットワークで信頼できない誰かがいる場合、あなたは大きな問題を抱えています。ただし、多くの小規模企業はこの暗黙の信頼モデルを採用しており、成長するにつれてそれに火傷し、一部の人々は私たちの最善の信念にもかかわらず、彼らが会社を本当に傷つけるとは思われないことをしていることに気付きます。

優れたセキュリティは、最も可能性の高いプレーヤーを調べます-社内の従業員が全体として最大の脅威です。それらはすでにネットワーク上にあり、定義により信頼されています。したがって、損傷の可能性が高いです。あなたは災害に不満を抱いている従業員が1人だけであることを覚えておいてください。 ここ はForbesに関する記事です。詳細については、NISTおよびその他のセキュリティ関連の出版物(ISSAやISACAなど)を確認することもできます。 Webmasters SE はこれに対して良い答えを持っています。

まず、スタッフに対して非難するようなことはしません。ベストプラクティスについて読んでください。 ISSAおよびISACAとNISTから、内部Webサーバーを保護する理由についての事実を入手してください。実践と理由についてSTIG Viewerを調べてください。メリットを説明する準備をしてください。これを行う理由はそれが正しいことであり、他の会社が非常に正当な理由でそれを行うため、この幹部にそれを示す必要があります。また、幹部は物事を費用対利益比の観点から見ています。何もしない方が安く、リスクが低い場合、彼らは必ず何もしないことを選択します。これは、経営陣がリスクのレベルとそのリスクを軽減する方法について経営幹部を教育する必要がある場所です。

2
baldPrussian

実用的なデモンストレーションまたは上記のサードパーティのペンテスト:

  • DCへの最速パスを示すために、ネットワークをBloodhoundでマップします
  • 資格情報を抽出するワークステーションでmimikatzを実演する
  • は、外部がどのようにして従業員のワークステーションまたは従業員に違反できるかについての例を提供します(DDE +マクロ、MFAのない外部エンドポイント、ブルートフォース)

この業界では、セキュリティ業界が想定された違反の下で機能していることを強調します。それの音によって、この会社はすでにあり、そしてそれを知らない。

おそらく、違反のコスト削減対これらの安全でないプラクティスを修正するコストです。結局のところ、幹部は数字についてです。

0
McMatty