ユーザーに侵入テストを通知する必要があるかどうかを決定する際に考慮すべき要素はどれですか。
内部ネットワークの侵入テストを実施しているとしましょう。内部ネットワークは、ワークステーション、サーバー、会社および請負業者のラップトップで構成されています。
理想的な世界では、侵入テストは、攻撃者がローカルネットワークへのアクセスを許可した場合の動作をシミュレートするだけです。ただし、ユーザーに事前に知らせることが賢明な場合もあります。
テストによって作業が中断されたり、他の問題が発生したりする可能性がある場合、ユーザーはマネージャーに通知できるため、ビジネスプロセスの中断が最小限になるという利点があります。
ユーザーに通知することの短所は、ユーザーが通常とは異なる行動を取る可能性があることです。たとえば、ネットワークから切断したり、ソフトウェアを無効にしたり、通常はアクティブではなかったファイアウォールを有効にしたりして、侵入テストの結果に影響を与える可能性があります。
ユーザーに侵入テストを通知する必要があるかどうかを決定する際に考慮すべき要素はどれですか。
私にとって、この質問に対する答えは、主に行われているテストの種類に関係しています。テスターが攻撃をシミュレートしている「適切な」侵入テストがある場合、テストのかなりの利点は、攻撃がどのように/どのように認識されたか、および内部ユーザー/ ITがどのように反応するか(たとえば、彼らがそれを報告するか)ヘルプデスクで何か奇妙なことが起こった場合、AVヒットがタイムリーに調査されますか)。
このような状況では、明らかに、テストについて知っている人の数が少ないほど、テストの有用性が高くなります。繰り返しますが、一部の人々は知っておく必要がありますが、これは最小限に抑える必要があります。私は、完全なセキュリティインシデントが発生したときに通知を受ける人に知らせて、稼働日に本番サーバーをドロップするなどの抜本的なアクションを回避できるようにすることをお勧めします。
とはいえ、内部「侵入テスト」と呼ばれるもののほとんどは完全な敵対的テストではなく、そのような状況では運用ITがテストについて知ることは理にかなっているので、彼らはちょうどである問題を調査するのに多くの時間を無駄にしません。レビューの一部。
法的側面に関しては、これは相変わらず、管轄に依存します。個人データへの潜在的なアクセスをエンドユーザーに通知する必要がある場合、私はその完全なペンを言うでしょう。実際の攻撃を実際にシミュレートすることは決してないので、テスト/赤いチーム化はかなり役に立たない練習です。
ただし、多くの国では、企業ネットワークのユーザーは、処理される個人データのプライバシーを期待していないため、特に心配する必要はありません。
これは主に、ユーザーがテストを知っているかどうかによって異なります。もちろん、実際の攻撃をシミュレートしているので、ユーザーに何をするかというジレンマがどこにあるかを伝えることもできないこともあります。攻撃の準備をテストしていないすべてのユーザーに通知する必要があるだけです。実際の攻撃はいつでも発生する可能性があり、テストの一部であるため、これで十分です。システムを落ち着かせたり、システムがテストであり、目的を達成できないと警告することはありません。
だから、私は私の答えを繰り返します。セキュリティに参加していないすべてのユーザーに通知します(不安を感じた場合は、特定のユーザーに通知します)。テストが終わった後にそれらを伝えることができます。私の意見では、それが最善の方法です。
重要なことの1つは、会社の情報セキュリティポリシーを参照することです。これらのポリシーは、ITセキュリティの観点から、従業員が会社で許可されていることと許可されていないことも決定します。また、従業員がセキュリティポリシーに違反した場合の罰則を決定します。たとえば、企業がいつでも監視できるとポリシーで規定されている場合、エンドユーザーに通知せずに侵入テストを行うことができます。一方、エンドユーザーはいかなる状況でも監視できないとポリシーで規定されており、ペンテストを実行すると問題が発生する可能性があります。これらのポリシーは、従業員が契約に署名したときに提供されます。したがって、従業員はこの事実を知らなかったと言って、後で雇用主を非難することはできません。
ペンテストを実施する前に、会社のセキュリティポリシーを参照することを強くお勧めします。これは、企業の内部の仕組みをよりよく理解するのに役立ち、また、テスト段階の計画を立てるのにも役立ちます。
- テストのタイミングを決定するのに役立ちます(営業時間または営業時間外)。
- それはあなたがいくつかの側面であなたの完全なペンテストを計画し、それがペンテストにかかる時間などを知るのに役立ちます。
ここ は、セキュリティポリシーテンプレートに関する優れたリソースです。
セキュリティポリシーは通常、競合を回避するために国のIT法を念頭に置いて作成されます。例:英国を拠点とする企業のセキュリティポリシーは、英国のIT法を念頭に置いて作成されます。
他の1つの例として、一部の企業では、従業員が個人用デバイスを持ち込むことを許可されていないという厳格なポリシーを採用していることがあります。従業員がそのような種類のデバイスを持ち込んだ場合、会社の敷地内にある限り、会社はそのデバイスを調査する完全な権利を有します。例:従業員は、個人的に使用するノートパソコンや携帯電話などを自分で持参することはできません。会社がこのデバイスを調査できるセキュリティポリシーに従って、従業員がそのようなデバイスを1つ持ち込んだとします。デバイスの所有者は完全に法人でなければなりません。 (また:これで、ペンテストするデバイスがもう1つあります。:P
ユニバーサルセキュリティポリシーがないため、企業によってセキュリティポリシーが異なる可能性があります。 noはい/いいえの質問に対する答えがあります。
セキュリティポリシーが役に立たない場合は、会社の所有者と話し合うことをお勧めします。通常、上級技術者または非技術者のポジションを持つ担当者(またはチーム)が、状況に応じてそのようなケースについて話し合うために所有者から提供されます。
また、ペンテストの全フェーズの間、何人かの上級技術者/非技術者と連絡を取ることをお勧めします。これらの担当者は、技術的/非技術的な問題についてあなたを支援します。また、彼らは会社でいくつかの高い地位を持っているので、彼らはより高い認可を得て、短時間であなたに許可を与えることができます。たとえば、ペンテスト中に残念ながら何かがひどくうまくいかない場合は、これらの連絡先にすぐに通知できます。ペンテスト中に、何かを即座に決定しなければならない状況が発生する可能性があります。このような状況の例としては、ペンテストを実行する前に特定の状況が発生したり、奇妙な状況が発生したり、残念ながらバックアップ計画がない場合に何をすべきかを計画するのを忘れたことがあります。その時点で、担当者と再度話し合って、より良い決定を下すことができます。
SilverlightFox、私は個人に侵入テストを開示するときに心に留めておくべき3つの主要なポイントがあると感じています:
- どのシステムをターゲットにしていますか? -最も重要なのは、対象範囲に応じて、これらのサービスの技術者は、発生した問題を準備および修正できるように、認識させる必要がある場合があるためです。
- 環境の法律とポリシーは何ですか? -開示に関する法律または会社のポリシーに違反していないことを確認してください。
- 誰をターゲットにしていますか? -対象となるユーザーが状況を把握していないことを確認し、その動作を変更する必要があります。これにより、ガベージデータが発生します。
ほとんどの場合、ベースラインセキュリティポスチャのプロファイルを取得する必要があるため、ペネトレーションテストの基礎を知っておく必要があります。
孤立した侵入テストといえば、区画化はあなたの友達です。 someoneがあなたが今何をしているか知っているなら、それは常に良いことです。取締役会、CEO、CSO、ICT=ディレクター、またはその他の下層部の幹部である可能性がありますが、真の反応を観察したい場合は、抗議の対象となる人々に通知しないでください。
ただし、いくつかの短所があります。主に、テストが積極的になる場合です。一部のテストcanは一部のシステムに害を及ぼします。これらのシステムがミッションクリティカルまたはビジネスクリティカルな場合は、緊急時の計画を立てておくとよいでしょう。法的およびその他の側面は、すでに他の回答で説明されていました。
これは非常に複雑な決定になる可能性があるため、単純な答えも、正しい決定につながる単純なアルゴリズムもありません。ケースごとに決定する必要があります。
悪意のある第三者による実際の侵入の影響(ほとんどの現代のビジネスでは非常に高い)を考慮すると、侵入テストに対するはるかに広い範囲のアクションの一部としてのみペンテストを実行することがベストプラクティスです。
たとえば、最初に行うペンテストは完全に通知されます。次に、異論を記録し、ユーザーの習慣の変化を追跡することもできます(前後にリモートのパッシブソフトウェア監査を実行することで)。ペンテストを実行し、すべての結果を記録します。ユーザーが不正に多数の穴を塞いだとしても、これら2つのアクティビティからの十分なアクションアイテムを用意して、忙しくする必要があります。
その後、6〜12週間後、同じペンテストを再度実行しますが、ユーザーには通知しません。最初のテストのメモを使用して、中断しないように特別な注意が必要なビジネスプロセスを特定します。これは、対処する必要がある残りの問題を示しています。
テスト1と2の間に多くの不一致がある場合は、何らかの「脅威対策ドリル」が必要になる可能性があります。つまり、差し迫った脅威があることをユーザーに知らせ、見慣れないメールには注意する必要があります。ネットワークアクティビティなどを確認し、応答を測定します。最終的に(質問の最初の部分に戻ります)、適切なセキュリティ体制でユーザーをオンボードに乗せることができれば、リアクティブアプローチを採用して、ペンテスト(発表済みまたは未発表)のみに依存する場合よりも、より多くの脅威を先取りできます。問題を見つけるために。
発表に対する2つの要因は次のとおりです。
ユーザーであるが、攻撃の最も都合の良い瞬間を待っていた(または攻撃するかどうかがわからない)本物の攻撃者は、発表されたペンテストで機会が見つかる可能性があります。起こります。
他の方法で制限されたアセットへのアクセスを許可を求めて電話をかけたり、パスワードを共有したりした誰かに喜んで許可する人々は、つま先に立ちます。ペンテストの範囲にソーシャルエンジニアリングが含まれる場合、それは大きく歪められます。
要因は主に信頼とリスクです。人々が行かず、突然、以前には存在しなかった新しいセキュリティを追加しないと信じますか?
信頼はセキュリティにおいて非常に重要であり、一般的にITコミュニティでは過小評価されています。セキュリティ部門と会社の他の部分との間の信頼により、誰もが簡単に仕事ができるようになります。人々があなたを信頼するとき、彼らはボランティアの情報を提供し、あなたと協力することをいとわないでしょう。彼らがあなたを不信にすると、彼らは警戒し、あなたは何も学びません。多くの場合、セキュリティ部門は他の部門と敵対的な関係を築き、部族主義とコミュニケーションと関係の崩壊を引き起こしています。
ペンテストについて管理者に伝えないことは、信頼を低下させるだけの役割を果たすでしょう。ペンのテストは明らかに操作に影響を与える可能性があり、それが発生していることを知っていると、ペンのテストが何かを壊してしまった場合でも、操作がはるかによくなります。彼らが後でそれを発見する必要がある場合、あなたは怒り、不信を生むだけであり、重要なシステムを破壊することの「驚き」の性質のために、将来のペンテストが削減される可能性があります。