取引先情報漏洩
私は侵入テストを行ったところ、奇妙なことに、DNSスヌーピングを介した潜在的なデータリークについてのコメントがありました(これはボイラープレートであり、これは内部のみのDNSであるため、複雑さが増します)。
たとえば、攻撃者があなたの会社が特定の金融機関のオンラインサービスを利用しているかどうかに興味がある場合、この攻撃を利用して、その金融機関の会社の利用状況に関する統計モデルを構築することができます。もちろん、この攻撃は、B2Bパートナー、Webサーフィンパターン、外部メールサーバーなどを見つけるためにも使用できます。
DNSスヌーピングが脆弱性である、または脆弱性ではない理由を尋ねていません
同様に、ペネトレーションテスターが「使用しているOSを推測できる」などのコメントを返す場合があります...
これは私にとって信じられないほど奇妙なことに思えます。
- さまざまなトピックについて公開トークを行い、お客様、プロジェクト、パートナーを強調して、当社の技術力をアピールします
- 私たちは特定のテクノロジーに関する会議に参加し、コミュニティがより良いソリューションに前進するのを助けます。
- 採用しているテクノロジーのリストを載せた採用情報を公開しています
- 私たちのパートナーはしばしば彼らが私たちのサービスを利用していることを公表します
- 重要な契約を(法律/規制により、記載されているとおりに)公開することがあるので、パートナーはリストです
システムの分析に熱心すぎて、他の場所から情報を入手するのが簡単な場合や、誰も何も言わないブラックボックス企業になり、シェルを介して漠然とした声明で募集する場合がありますか。組織なので、誰も私たちが何をすべきかを知りません。
基本的に:物事の「データ漏えい」の調査と発見に費やした時間と労力と、会社として運営できる能力のバランスをとるにはどうすればよいですか?それを監視して制御しますか?
あなたは他の多くのテクノロジー企業と同じ船に乗っています。ペンテスト会社が上記のすべてのポイントを考慮して、特定したリスクのいくつかのコンテキストを考慮に入れない場合は、会社の変更を検討することをお勧めします。
情報開示は、リスクを示します。そのリスクを評価し、impactsがそのリスクを軽減する必要があるほど高いかどうかを判断する必要があります。
あなたは、リスクがそれを心配するのに十分高くないだけであると決定するかもしれません。
リスクがあることを受け入れ、すべてのリークを塞ぐのではなく、他のより安価な方法を使用して、リスクを許容可能なレベルまで低減します。たとえば、実行中のOSとバージョンを誰かが知っている場合、脆弱性がアナウンスされたときに、そうでない場合よりもパッチを適用したり、脆弱性へのアクセスをブロックしたりする必要があります。それができるのなら、それはより良い方法です。
注目を集めているもう1つの用語は、「デジタルフットプリント」です。あなたについてどんな情報がありますか?何を開示しますか?それを理解したら、悪意のある俳優がそのすべての情報を持っている場合はどうするかを決める必要があります。別に何をする必要がありますか?重要なのは、会社の内部で何かを知っているからといって、誰かを信頼することではありません。信頼は形式化されている必要があり、知識や親しみに基づくことはできません。たとえば、あなたの銀行の出身であると言っている人は、彼らを信頼するのに十分であってはなりません。事前に信頼を判断する方法を確立する必要があります(承認済みの電話番号、2FAなど)。
では、企業としてどう前進していくのでしょうか?最良のケースは、誰もがすべてを知っていると想定し、それがあなたにとって何を意味するかを軽減することです。
情報漏えいのレベルを考慮に入れながら、ペンテスターがあなたのセキュリティが無事であるかどうかを判断しませんか?攻撃者はあなたの会社に関するすべての情報を収集することができますが、会社自体の情報はあなたがファイアウォールを通り抜けることはできません。実際の攻撃を実行するには、すべての技術的ビットを実行する必要があるため、使用するハードウェア/ソフトウェアベンダー、金融パートナーなど、提供する必要がある情報の量を心配する代わりに、従業員の教育、ソフトウェアへのパッチの適用、適切なセキュリティ手順とシステムなどにより、実際の攻撃ベクトルを最小限に抑えることが最善です。
たとえば、攻撃者は、ほとんどの従業員が使用するOSバージョンのすべての脆弱性を知ることができますが、分離が良好で、使用されていないすべてのポートが無効になっていて、Wi-Fiセキュリティが良好であるなどの理由でネットワークに侵入できない場合、実際のワークステーションを危険にさらすのはかなり難しいでしょう。