web-dev-qa-db-ja.com

侵入テストの実施中の企業へのリスク

クライアントのテストを実行する際に侵入テスト会社が直面するリスクを知りたいのですが。例:「B」と呼ばれるクライアントにサービスを提供する「A」という名前の侵入テスト会社。では、企業「A」がクライアント「B」に対してそのテストを行った場合、どのような脅威にさらされるでしょうか。

たとえば、クライアント「B」がシステムに深刻な脆弱性を持っている場合、会社「A」自身のデータに対する脅威。

4
coder

実際の侵入テスト担当者は、独自のオフィス帯域幅を使用するべきではありません。登録済みのIPアドレスからシステムにアクセスしようとする場合、トラフィックの送信元を確認するために逆検索を行うことはそれほど難しくありません。これが赤いチーム/青いチームのシナリオである場合、内部スタッフは攻撃者が誰であるかをすでに知っており、より多くのsecure顔を保存しようとしました。一部の侵入テスト会社は、ファイアウォール接続のドロップまたは特定のアクセスの許可を規定しているため、ファイアウォール自体をテストしていませんが、会社がすでに感染している場合、適切に実行しないと、大幅に被害が大きくなり、新しい不要な侵入が発生する可能性があります。ありそうもないことですが、ローカライズされたネットを使用している場合、会社Aのネットワークへのトンネルが許可される可能性があります。

侵入テスト担当者は確実に強化された商品を使用する必要があります。専門家であれば、阻止、検出、追跡さえも非常に困難であるべきです。

最大の問題は合法かもしれません。

会社 "A"が会社 "B"でテストを実行するための適切な法的文書を持っていない場合、法的管轄区域によっては、会社 "A"は会社 "B"が契約しているISPに問題がない可能性がありますDDoS(分散型サービス拒否)テストや追加のネットワークひずみなどの場合には、合意の可能性が高い当事者。また、会社「B」が所有する機器がサーバーファームのような施設に収容されている場合、帯域幅とネットワーク全体で実行される実際のテストに特定の制限がある場合があります。ターゲットによって「許可」が提供されていても、特定のアクティビティーは当局に警告を発する可能性があります。サーバーファームのDFIR(Digital Forensics Incident Response)チームの誰かが侵入に反応する可能性があります。

B社の影響を受けるすべての部門がオンボードである必要があります。取り決めの一部ではない部門に違反があるため、誰も訴えられることを好みません。 A社のすべてのチームプレーヤーは、合法的に審査を受ける必要があります。

会社 "B"のDFIRチームが会社 "A"からの許可されていない侵入を検出した場合、問題が発生する可能性があります。これは、自分の時間に自分自身を利用しようとするエクスプロイトを見つけた悪質な従業員の場合です。次に、他の法的問題があります。

また、会社「A」がテスト対象を明確に説明しておらず、会社「B」のサーバーをエクスプロイトでダウンさせている場合、法的条項がない場合、ダウンタイムに起因する問題が発生する可能性があります。補償する。 「現在のインストールを破壊するエクスプロイトを見つけた場合、私たちは責任を負いません。クライアントはバックアップを維持する責任があります。」そういうこと。

A社は、テストするすべてのシステムを検証し、契約に含まれていないシステムをテストしないようにする必要があります。特定の自治体では、許可なくネットワークに接続することは違法であるため、関係するすべての地域の法律に依存します。国境をまたがる侵入もまた、州によっては悪影響を及ぼします。彼らは、明らかにされていない別のネットワークを偶然見つけた場合、それらをテストするつもりがないことを確認したいと思うでしょう。すべての問題を文書化し、調査結果と推奨事項をレポートに提示するだけです。

感染がある場合は、オンサイトで感染を調査し、それをクリアしてからテストを実行することをお勧めします。それ以外の場合は、誤検知やノイズ対信号が多すぎる可能性があります。

1
AbsoluteƵERØ

ほとんどの場合、クライアントの侵入テストを実行している会社はほとんどリスクに直面していません。

悪意のある攻撃者や悪意のあるマルウェアによってクライアントが積極的に侵害されている場合、テストの実行中に脅威がサービスプロバイダー(会社 "A")のマシンに侵入する可能性があります。

さらに、少なくとも侵入テスト会社が少なくとも適度に強化されたマシンを使用して評価を提供することを期待しています。

0
KDEx