🍏 👩🏿‍🎤 🙍🏻 بنتيستر التطبيقي 🧗🏾 💅🏽 🤱🏽

IS ، الذي يتم تطبيقه ، مع اختبارات الاختراق ، يجب أن يأخذ في الاعتبار أيضًا التسرب. ربما سأرميه على المروحة للتفكير.

الجزء الأول. PB و OT

أمن المعلومات هو دائمًا تضارب في المصالح بين خدمة الأمن وتكنولوجيا المعلومات ، وبغض النظر عن مدى غرابة الأمر ، فإن خدمة الأمن و OT.

ما هي السلامة الصناعية؟ ما هي حماية العمال؟ عن ماذا نتحدث؟

لا ، أنا أفهم أن مجلس الأمن هو خدمة أمنية ، ولديهم الأمن في دمائهم ، ويمكن لفتاتهم إلى أقصى حد ، بحيث يمكن السيطرة على الجميع ، بحيث يكون من المستحيل اتخاذ خطوة دون علمهم. ليس جيدًا ، ولكن "cho" ...

أفهم - تكنولوجيا المعلومات هي تكنولوجيا معلومات ، كما أنها سهلة ومنخفضة التكلفة في دمائهم ، استخدم حساب مشرف واحد على جميع الخوادم. حتى لا تعبث مع إعداد الحقوق في أنظمة مختلفة ، حتى لا تعبث مع إعداد حقوق عبر النطاقات ، عبر النظام ، عبر الخدمات. يايا ...

يوجد دائمًا تضارب في الأمن وتكنولوجيا المعلومات - وهذا أمر واضح للجميع. معرفة القراءة والكتابة دائمًا ما تكون جزءًا من SB ، ومعرفة القراءة والكتابة دائمًا ما تكون جزءًا من تكنولوجيا المعلومات. ولكن ما علاقة PB و OT بذلك؟ غالبًا ما لا يكون مهندس السلامة المهنية دائمًا في مجال تكنولوجيا المعلومات أو مجلس الأمن ، ولا يهتم بهم.

في الوقت الحالي ، عليك أن تصدق أن المشارك الثالث فجأة يتخبط ، جيدًا ، أو يمكنك التفكير قليلاً ... بينما تقرأ المزيد.

الجزء الثاني. سكود ، APS ، SOUE ، SMIS و SMIK

ACS - لا يمكن أن يكون هناك شك ، إذا كان هناك نظام أمان ، فإن ACS هو من اختصاص نظام الأمان ، وسيبذل نظام الأمان كل جهد ممكن لإبعاد هذا النظام عن تقنية المعلومات ، لأنه ليس حقيقيًا.

APS (أنا لا أتحدث عن بندقية ، ولكن عن إنذار حريق) - إذا لم يكن SB كسولًا ، فسيكون تحت سيطرة SB ، ولكن بالأحرى PB و OT ، وبالكاد يكون مسؤولاً عن هذا النظام.

SOUE - كقاعدة ، في نفس مكان MTA ، ولا معنى لفصلها وفصلها عن بعضها البعض.

عادة ما يكون SMIS و SMIK هذا المهندس في الإرسال ومع الخدمات الهندسية المقابلة ، ولكن هناك حالات يتم فيها دمج SMIS و SMIK مع SOUE ، وغالبًا ما تكون كافية.

ما الذي أتحدث عنه؟ آه ، نعم ، SOUE - هذا النظام سوف يكسر أمن المعلومات الخاص بك ("لك" برسالة صغيرة ، بسبب شركتك ، وليس حول عدم الاحترام تجاهك). لم تخمن بعد؟ انظر ، لديك لوائح أمنية ، لديك متطلبات تكنولوجيا المعلومات فيما يتعلق بأمن المعلومات ، وقمت بتغطية طرق اختراق المهاجمين من جميع الجهات ، يبدو أنك تتحكم في نشاطهم في جميع أنظمة تكنولوجيا المعلومات الممكنة ، مثل أنك تتحكم تمامًا في محيط الدخول والخروج ، و لقد تعرفت أيضًا على جميع الموظفين بأمان المعلومات الخاص بك للتوقيع ، وتم أيضًا تقديم DLP.

ولكن بعد ذلك جاء مهندس حماية العمال وعلق خطة هروب النار على الحائط.

ما الذي أتحدث عنه؟

أقترح التفكير مرة أخرى.

الجزء الثالث. اختراق

كل شيء رائع مع مجلس الأمن ، كل شيء رائع مع تكنولوجيا المعلومات ، ولكن مع ذلك ، تمكنت شركتك من "السماح للتجسس" داخل المبنى ، ربما حتى مع جولة في قدس الأقداس - الخادم أو مركز البيانات ، أو ربما مجرد مساحة مفتوحة ، حيث يجلسون جميعًا باردًا معًا - كتبة بسيطون والمدير العام ، مع توبس أخرى.

أو ربما لا يكون "جاسوسًا" في الشارع ، ولكن مجرد موظف يعمل من أجلك بالفعل ، حسنًا ، لقد ألقوا به بعض المال لإخراج عشرات أقراص SAS مقاس 2.5 بوصة من رف القرص الخاص بك ، أو كمبيوتر محمول المدير المالي جنبًا إلى جنب مع bitlocker محمول مشفر قرص يسلمه المدير المالي إلى الخزينة في نهاية يوم العمل ، حسنًا ، إما مع بنك عميل ومحرك أقراص USB محمول بشهادات ، وفي نفس الوقت مع RSA سلكي على نفس سلسلة المفاتيح.

لا ، بالطبع ، لديك ACS ، وحتى إطار للكشف عن المعادن ، والذي بالطبع لن يسمح لهذا "التجسس" بعمل كل ما سبق. حسنًا ، على الأرجح ، لقد صنعت بطاقة ضيف لهذا الجاسوس ، من الناحية النظرية البحتة ، إذا لم يخطئ أحد ، فلن يتمكن من الوصول إلى أي مكان ، حسنًا ، إذا كان بصحبة ، يجب أن ينظر إلى Open Space للحصول على أقصى مرافقة.

بالفعل أكثر إثارة للاهتمام.

على أي حال ، نحن نعتبر هذه الحقيقة كأمر واقع - الناس في الداخل. أو ربما يكفي بالفعل؟

الخدمة الرابعة. ومع ذلك ، ما علاقة PB و OT بها؟

ربما خمن الجميع بالفعل أن تأثير السلامة والأمن على أمن المعلومات مباشر وفوري. كيف ، على سبيل المثال ، تتفق خطة الإخلاء نفسها في حالة نشوب حريق مع داعش؟ على الأرجح ، بأي حال من الأحوال ، في 99.99 ٪ من الشركات ، لا تتفق مع داعش بأي شكل من الأشكال ، لأنها السلامة الصناعية وحماية العمال. إن ضمان سلامة حياة الموظفين هو قبل كل شيء - في الواقع ، لا أجادل في ذلك. لهذا السبب ، في حالة إنذار الحريق ، سيغادر جميع الموظفين على الفور منطقة الخطر - يتدربون بانتظام ، وذلك بفضل مهندس حماية العمال. على الأرجح ، سيغادرون المبنى ، ويمرون بهدوء تام بدون تفتيش وبدون إيقاف نظام التحكم في الوصول بأكمله من خلال ، متجاهلين بغباء جميع لوائح SB. واه ...

ولكن كيف؟ بسيطة جدا - PB و Otzhe ...

التفاصيل؟ لدي.

لقد خصصت الكثير من الأموال لكل من ACS و APS و SOUE و SMIS و SMIK ، حيث قدم لك تكامل نظام رائع حلاً رائعًا يعتمد على مورد واحد ، وتم دمج جميع الأنظمة مع بعضها البعض ، وفي طليعة SOUE. جميع أبوابك مقاومة للحريق ومضادة للذعر ، بالطبع ، تحتوي على وحدات ACS ، وفي الحالة العادية لا يمكن فتحها بدون مفتاح أو بصمة الإصبع ، لكن SCMS يبطل ACS بالكامل في ظروف معينة - عند تشغيل APS. هيه. وأيضًا ، إذا كانت لديك منطقة نشطة زلزاليًا ، فإن ISMS و ISMS يؤثران أيضًا على ACS. صحيح ، إذا كان كل شيء بسيطًا مع APS ، فهذا يكفي لإشعال شيء ما ، فهو أكثر تعقيدًا بعض الشيء مع ISMS و SMIC ، ليس من السهل التعامل معها ، الاستجابة للطوارئ معقدة ، ولكن لم يقم أحد بإلغاء التخريب على خط البيانات ، وعلى أنفسهم أجهزة الاستشعار - قد يكون هناك الكثير من الإشارات لإطلاق SOUE.

أو ربما لم تقم بتخصيص الكثير من المال ، فالنظم مختلفة تمامًا ، فايربول رخيصة لنا ، ولكن في هذه الحالة ، عندما يتم تشغيل APS ، يتم تشغيل SOUE ويفتح كل الأبواب ، أو يعطي APS إشارة مباشرة إلى ACS. لأنه يجب أن يكون - يخرج ، shpien لطيف.

يبقى التعرف على خطط الإخلاء في حالة نشوب حريق ، لرؤية نقطة التجميع للإخلاء خارج أراضي المؤسسة ، خلف البوابات ، للنظر في الهدف ، والعثور على المستشعر ، والدخان.

الحصة الخامسة. لا ، لدينا CCTV ، سنجد لاحقًا

على الأرجح نعم ، ستجده في تسجيلات الفيديو. لكننا بالغون ، يجب أن نفهم أن الشخص الذي يذهب إلى مثل هذه الأعمال "انتحاري" ، ولا يخطط للعودة إلى عملك غدًا ، ولا يخطط للعودة إلى المنزل والبدء في التملص من "المكتسب" في الصفقة ، بدلاً من ذلك يخطط لتفريغ كل شيء قدر الإمكان وبأسرع وقت ممكن. لذا فإن البحث عنها سيكون عديم الفائدة تقريبًا. ولماذا تبحث عنه. إذا تمت سرقة ما تحتاجه بالفعل.

نعم ، وما مدى سرعة سرقة شيء ما؟ ساعة او ساعتان؟ ينفذ بنك تينكوف بسرعة كافية.

استنتاج

وأين البنتستر ، وحتى يطبق؟

نحن نفكر دائمًا في الاختراق والتخريب ، ولكن نادرًا ما نفكر في كيفية نقل المعلومات / القيم (وهي متطابقة) في حالة الاختراق الناجح ، ويظهر لنا pentester إمكانيات الاختراق والتخريب ، ويوضح لنا pentester التطبيقي إمكانيات التسرب ، من أجل إزالة

عندما تبدأ في كتابة لوائح تنظيم الدولة ، عندما تنسقها مع مجلس الأمن ، لا تنس لوائح السلامة و OT - لديهم دائمًا وجهة نظر مختلفة للأمان. من جانبهم قانون يجب احترامه. على جانبهم هم نفس رجال الإطفاء الذين ينتهكون لوائح IS الخاصة بك و SB الخاص بك ، وبالتالي سيكون عليك البحث عن خيارات مع PB و OT ، حيث تمتلئ الأغنام والذئاب - ويتم الإخلاء ، ولا يتم تفتيش أي شخص صدر. والأسوأ من ذلك ، أنه لا يمكن إجبار مكتب السلامة و OT على تنفيذ شيء يتعارض مع القانون - أنه سيكون عليك مواءمة لوائحك مع خطط السلامة والصحة بالاشتراك مع SB.

إنه أمر صعب ، لكنه ليس مستحيلًا ، ولن يكون مفاجئًا بعد الآن.

ونعم ، في هذا التأليف الصغير ، أعتبر الخيارات مع APS و SOUE كأحد ناقلات الهجوم ، لكن ممثلي سيارات الإسعاف والأشخاص المرضى بشدة على نقالات لا يزالون يخرجون من الإطار دون بحث ... كثيرًا للتفكير ...