Get best of the week

Pentester Appliqué

image

IS, celui qui est appliqué, avec des tests de pénétration, doit également prendre en compte les fuites. Je vais peut-être le jeter sur le ventilateur pour y réfléchir.

La première portion. PB et OT


La sécurité de l'information est toujours un conflit d'intérêts entre le service de sécurité, l'informatique et, aussi étrange que cela puisse paraître, le service de sécurité et OT.

Qu'est-ce que la sécurité industrielle? Qu'est-ce que la protection du travail? De quoi parle-t-on?

Non, je comprends le Conseil de sécurité comme un service de sécurité, ils ont la sécurité dans le sang, ils peuvent être gestes au maximum, afin que tout le monde puisse être contrôlé, de sorte qu'il serait impossible de faire un pas à leur insu. Pas bien, mais "cho" ...

Je comprends - l'informatique est une technologie de l'information, elle est aussi simple et abordable à créer dans son sang, utilisez un compte administrateur sur tous les serveurs. afin de ne pas se soucier de la mise en place de droits dans divers systèmes, afin de ne pas se soucier de la mise en place de droits inter-domaines, inter-systèmes et interservices. Yaya ...

La sécurité et l'informatique ont toujours un conflit d'intérêts - cela est évident pour tout le monde. La littératie informatique est toujours un peu de SB, et la littératie SB est toujours un peu de TI. Mais qu'est-ce que le PB et l'OT ont à voir avec ça? Un ingénieur de la sécurité au travail n'est presque pas toujours l'informatique ou le Conseil de sécurité, et il ne s'en soucie pas.

Pour l'instant, vous devez croire qu'ici tout à coup le troisième participant griffe, eh bien, ou vous pouvez réfléchir un peu ... pendant que vous lisez plus loin.

La deuxième partie. SKUD, APS, SOUE, SMIS et SMIK


ACS - il n'y a aucun doute, s'il y a un SC, alors ACS est la prérogative du SC, et le SC fera tout son possible pour éloigner ce système de l'informatique, car ce n'est pas réel.

APS (je ne parle pas d'un pistolet, mais d'une alarme incendie) - si le SB n'est pas paresseux, alors il sera sous le contrôle du SB, mais plutôt du PB et de l'OT, et l'informatique ne sera guère responsable de ce système.

SOUE - en règle générale, au même endroit que le MTA, et cela n'a aucun sens de les séparer et de les séparer les uns des autres.

SMIS et SMIK sont généralement cet ingénieur en répartition et avec les services d'ingénierie correspondants, mais il y a des situations où SMMS et SMIK sont intégrés au SOUE, et souvent assez.

De quoi je parle? Ah, oui, SOUE - ce système va briser votre sécurité de l'information («la vôtre» avec une petite lettre, à cause de votre entreprise, et non à propos d'une attitude irrespectueuse envers vous). Vous n'avez pas encore deviné? Regardez, vous avez des règles de sécurité, vous avez des exigences informatiques en matière de sécurité de l'information, vous avez couvert les voies de pénétration des attaquants de tous les côtés, vous semblez contrôler leur activité dans tous les systèmes informatiques possibles, comme vous contrôlez complètement le périmètre d'entrée et de sortie, et Vous avez également informé tous les employés de la sécurité de vos informations pour la signature, et même DLP a été introduit.

Mais un ingénieur en protection du travail est venu et a accroché un plan d'évacuation en cas d'incendie au mur.

De quoi je parle?

Je suggère de réfléchir à nouveau.

La troisième partie. Pénétration


Tout est cool avec le Conseil de sécurité, tout est cool avec l'informatique, mais néanmoins, votre entreprise a réussi à "laisser l'espion" à l'intérieur du bâtiment, peut-être même avec une visite de votre saint des saints - le serveur ou le centre de données, ou peut-être juste votre espace ouvert, où ils sont tous assis ensemble cool - de simples commis et le directeur général, ainsi que d'autres TOP.

Ou peut-être que ce n'est pas un «espion» de la rue, mais juste un employé qui travaille déjà pour vous, eh bien, ils lui ont jeté de l'argent pour avoir sorti des dizaines de disques SAS de 2,5 pouces de votre étagère à disque, eh bien, ou un ordinateur portable de directeur financier avec un bitlocker crypté portable un disque que le directeur financier remet au coffre-fort à la fin de la journée de travail, eh bien, soit avec une banque cliente et une clé USB avec certificats, et en même temps avec un RSA câblé sur le même trousseau.

Non, bien sûr, vous avez un ACS, et même un châssis de détecteur de métaux, ce qui, bien sûr, ne permettra pas à cet "espion" de faire tout cela. Eh bien, probablement, vous avez fait une carte d'invité pour cet espion, lui, purement théoriquement, si personne n'a foiré, il ne peut aller nulle part, eh bien, s'il est accompagné, il devrait regarder Open Space pour un maximum d'escorte.

Déjà plus intéressant.

En tout cas, nous considérons ce fait comme un fait accompli - les gens à l'intérieur. Ou peut-être que c'est déjà assez?

La quatrième portion. Et pourtant, qu'est-ce que le PB et l'OT ont à voir avec ça?


Tout le monde a probablement déjà deviné que l'influence de la sûreté et de la sécurité sur la sécurité de l'information est directe, immédiate. Comment, par exemple, le même plan d'évacuation en cas d'incendie est-il en accord avec l'EI? De plus, en aucun cas, dans 99,99% des entreprises, il n'est en aucun cas d'accord avec IS, car il s'agit de sécurité industrielle et de protection du travail. Assurer la sécurité de la vie des employés est avant tout - en fait, je ne conteste pas cela. Pour cette raison, en cas d'alarme incendie, tout le personnel quittera immédiatement la zone de danger - après tout, il s'est formé régulièrement, grâce à l'ingénieur en protection du travail. Très probablement, ils quitteront le bâtiment, passant complètement calmement sans inspection et sans arrêter tout votre système de contrôle d'accès, ignorant stupidement toutes les réglementations SB. Wah ...

Mais comment? Donc très simple - PB et Otzhe ...

Détails? Je les ai.

Vous avez alloué beaucoup d'argent pour ACS, APS, SOUE, SMIS et SMIK, un intégrateur de système sympa vous a proposé une solution géniale basée sur un fournisseur, tous les systèmes sont intégrés les uns aux autres et à la pointe de la SOUE. Toutes vos portes sont à l'épreuve du feu avec anti-panique, bien sûr, elles ont des modules ACS, et dans une situation normale, elles ne peuvent pas être ouvertes sans clé ou empreinte digitale, mais le SCMS annule tout ACS sous certaines conditions - lorsque l'APS est déclenché. Hehe. Et aussi, si vous avez une zone sismiquement active, l'ISMS et l'ISMS affectent également l'ACS. Certes, si tout est simple avec un APS, il suffit d'allumer quelque chose, alors c'est un peu plus compliqué avec un ISMS et un SMIC, ce n'est pas si facile de les gérer, la réponse d'urgence est compliquée, mais personne n'a annulé le sabotage sur la ligne de données, et sur eux-mêmes capteurs - il peut y avoir beaucoup de signaux pour déclencher le SOUE.

Ou peut-être que vous n'avez pas alloué beaucoup d'argent, les systèmes sont tous différents, la Fireball bon marché est la nôtre, mais dans ce cas, lorsque l'APS est activé, le SOUE s'allume et ouvre toutes les portes, ou l'APS envoie un signal directement à l'ACS. Parce que ça devrait être - sors, mignon shpien.

Reste à se familiariser avec les plans d'évacuation en cas d'incendie, à voir le point de collecte pour l'évacuation hors du territoire de l'entreprise, derrière les portes, à regarder la cible, trouver le capteur, et fumer.

La cinquième portion. Non, nous avons la vidéosurveillance, nous trouverons plus tard


Très probablement oui, vous le trouverez sur des enregistrements vidéo. Mais nous sommes des adultes, nous devons comprendre que la personne qui va à de telles actions est un «suicide», il ne prévoit pas de retourner travailler demain, il ne prévoit pas de rentrer chez lui et de commencer à repulper le «gagné» sur l'affaire, plutôt il prévoit de tout vider le plus loin possible et le plus rapidement possible. La chercher sera donc presque inutile. Et pourquoi le chercher. si ce dont vous avez besoin est déjà volé.

Oui, et à quelle vitesse trouvez-vous que vous avez volé quelque chose? Une heure ou deux? Tinkoff Bank s'exécute assez rapidement.

Conclusion


Et d'où vient le pentester, et même appliqué?

Nous considérons toujours la pénétration et le sabotage, mais nous pensons rarement à la façon de transférer des informations / valeurs (qui sont identiques) en cas de pénétration réussie, et le pentester nous montre les possibilités de pénétration et de sabotage, et le pentester appliqué nous montre les possibilités de fuite, par exemple suppression

Lorsque vous commencez à rédiger des règlements SI, lorsque vous les coordonnez avec le Conseil de sécurité, n'oubliez pas les règlements de sécurité et OT - ils ont toujours une vision différente de la sécurité. De leur côté, il y a une loi qui doit être respectée. De leur côté se trouvent les mêmes pompiers qui sont violets à vos réglementations SI et à votre SB, et donc vous devrez chercher des options avec PB et OT, dans lesquelles les moutons et les loups sont pleins - et l'évacuation est effectuée, et personne n'est fouillé libéré. Et pire encore, que le bureau de sécurité et OT ne peuvent pas être forcés d'exécuter quelque chose qui est contraire à la loi - que vous devrez aligner vos réglementations avec les plans de sécurité et de santé en collaboration avec le SB.

C'est difficile, mais pas impossible, et ce ne sera plus une surprise.

Et oui, dans ce petit opus, je considère les options avec APS et SOUE comme l'un des vecteurs d'attaque, mais les ambulanciers et les personnes gravement malades sur des civières sortent toujours du cadre sans chercher ...

More articles:


All Articles