🌡️ 🥕 👩🏻‍🔧 Pentester Terapan 🚺 🧝🏼 🛃

IS, yang diterapkan, dengan tes penetrasi, juga harus memperhitungkan kebocoran. Mungkin saya akan melemparkannya pada kipas untuk dipikirkan.

Bagian pertama. PB dan PL

Keamanan informasi selalu merupakan konflik kepentingan antara Layanan Keamanan, TI dan, betapa pun aneh kedengarannya, Layanan Keamanan dan OT.

Apa itu keamanan industri? Apa itu perlindungan tenaga kerja? Apa yang kita bicarakan?

Tidak, saya memahami Dewan Keamanan sebagai layanan keamanan, mereka memiliki keamanan dalam darah mereka, mereka dapat digerakkan dengan maksimal, sehingga semua orang dapat dikendalikan, sehingga tidak mungkin untuk mengambil langkah tanpa sepengetahuan mereka. Tidak baik, tetapi "cho" ...

Saya mengerti - TI adalah teknologi informasi, semudah dan terjangkau untuk membuatnya dalam darah mereka, gunakan satu akun admin di semua server. agar tidak mengacaukan pengaturan hak dalam berbagai sistem, sehingga tidak mengacaukan pengaturan lintas-domain, lintas-sistem, hak lintas-layanan. Yaya ...

Keamanan dan TI selalu memiliki konflik kepentingan - ini jelas bagi semua orang. Literate IT selalu sedikit SB, dan literate SB selalu sedikit IT. Tapi apa hubungannya PB dan PL dengan itu? Seorang insinyur keselamatan kerja hampir selalu bukan IT atau Dewan Keamanan, dan dia tidak peduli pada mereka.

Untuk saat ini, Anda harus percaya bahwa di sini tiba-tiba peserta ketiga mencakar, baik, atau Anda dapat berpikir sedikit ... saat Anda membaca lebih lanjut.

Bagian kedua. SKUD, APS, SOUE, SMIS dan SMIK

ACS - tidak ada keraguan, jika ada sistem keamanan, maka ACS adalah hak prerogatif sistem keamanan, dan sistem keamanan akan melakukan segala upaya untuk mengambil sistem ini dari IT, karena itu tidak nyata.

APS (saya tidak berbicara tentang pistol, tetapi tentang alarm kebakaran) - jika SB tidak malas, maka itu akan berada di bawah kendali SB, melainkan PB dan PL, dan IT tidak akan bertanggung jawab atas sistem ini.

SOUE - sebagai aturan, di tempat yang sama dengan MTA, dan tidak masuk akal untuk memisahkan dan memisahkan mereka satu sama lain.

SMIS dan SMIK biasanya insinyur ini dalam pengiriman dan dengan layanan teknik yang sesuai, tetapi ada situasi ketika SMIS dan SMIK diintegrasikan dengan SOUE, dan seringkali cukup.

Apa yang saya bicarakan? Ah, ya, SOUE - sistem ini akan menghancurkan keamanan informasi Anda (“milik Anda” dengan sepucuk surat kecil, karena tentang perusahaan Anda, dan bukan tentang sikap tidak sopan terhadap Anda). Belum menebak? Lihat, Anda memiliki peraturan keamanan, Anda memiliki persyaratan TI mengenai keamanan informasi, Anda mencakup rute penetrasi penyerang dari semua sisi, Anda tampaknya mengontrol aktivitas mereka di semua sistem TI yang mungkin, seperti Anda benar-benar mengontrol batas masuk dan keluar, dan Anda juga telah mengenal semua karyawan dengan keamanan informasi Anda untuk tanda tangan, dan bahkan DLP telah diperkenalkan.

Tapi kemudian seorang insinyur perlindungan tenaga kerja datang dan menggantung rencana pelarian api di dinding.

Apa yang saya bicarakan?

Saya sarankan berpikir lagi.

Bagian ketiga. Penetrasi

Semuanya baik-baik saja dengan Dewan Keamanan, semuanya baik-baik saja dengan IT, tetapi bagaimanapun, perusahaan Anda berhasil "membiarkan mata-mata" di dalam gedung, mungkin bahkan dengan tur suci Anda - server atau pusat data, atau mungkin hanya Ruang Terbuka Anda, di mana mereka semua duduk bersama - panitera sederhana dan direktur umum, bersama dengan TOPs lainnya.

Atau mungkin itu bukan "mata-mata" jalanan, tetapi hanya seorang karyawan yang sudah bekerja untuk Anda, yah, mereka memberinya sejumlah uang karena mengeluarkan puluhan 2,5 "disk SAS dari rak disk Anda, atau laptop direktur keuangan bersama dengan bitlocker yang dienkripsi portabel disk yang diserahkan oleh direktur keuangan ke brankas pada akhir hari kerja, baik, dengan bank klien dan USB flash drive dengan sertifikat, dan pada saat yang sama dengan RSA kabel pada gantungan kunci yang sama.

Tidak, tentu saja, Anda memiliki ACS, dan bahkan bingkai detektor logam, yang, tentu saja, tidak akan membiarkan "mata-mata" ini membuat semua hal di atas. Yah, mungkin, Anda membuat kartu tamu untuk mata-mata ini, dia, secara teoritis murni, jika tidak ada yang mengacau, dia tidak bisa ke mana-mana, yah, jika disertai, dia harus melihat Ruang Terbuka untuk maksimal pengawalan.

Sudah lebih menarik.

Bagaimanapun, kami menganggap fakta ini sebagai fait accompli - orang di dalam. Atau mungkin itu sudah cukup?

Sajian keempat. Namun, apa hubungannya PB dan PL dengannya?

Mungkin semua orang sudah menduga bahwa pengaruh keselamatan dan keamanan pada keamanan informasi adalah langsung, langsung. Bagaimana, misalnya, apakah rencana evakuasi yang sama jika terjadi kebakaran setuju dengan IS? Kemungkinan besar sama sekali tidak, apalagi, di 99,99% dari perusahaan itu tidak setuju dengan IS dengan cara apa pun, karena itu adalah keselamatan industri dan perlindungan tenaga kerja. Memastikan keselamatan hidup karyawan di atas segalanya - sebenarnya, saya tidak membantah hal ini. Untuk alasan ini, dalam hal alarm kebakaran, semua personel akan segera meninggalkan zona bahaya - setelah semua, mereka berlatih secara teratur, terima kasih kepada insinyur perlindungan tenaga kerja. Kemungkinan besar, mereka akan meninggalkan gedung, melewati sepenuhnya dengan tenang tanpa inspeksi dan tanpa menghentikan seluruh sistem kontrol akses Anda, dengan bodohnya mengabaikan semua peraturan SB. Wah ...

Tapi bagaimana caranya? Sangat sederhana - PB dan Otzhe ...

Detail? Aku memiliki mereka.

Anda mengalokasikan banyak uang untuk ACS, APS, SOUE, SMIS dan SMIK, integrator sistem keren menawarkan kepada Anda solusi luar biasa berdasarkan pada satu vendor, semua sistem terintegrasi satu sama lain, dan di garis depan SOUE. Semua pintu Anda tahan api dengan anti-panik, tentu saja, mereka memiliki modul ACS, dan dalam situasi normal mereka tidak dapat dibuka tanpa kunci atau sidik jari, tetapi SCMS membatalkan seluruh ACS dalam kondisi tertentu - ketika APS dipicu. Hehe. Dan juga, jika Anda memiliki zona aktif seismik, maka ISMS dan ISMS juga memengaruhi ACS. Benar, jika semuanya sederhana dengan APS, itu cukup untuk menyalakan sesuatu, maka itu sedikit lebih rumit dengan ISMS dan SMIC, itu tidak begitu mudah untuk berurusan dengan mereka, respon daruratnya rumit, tetapi tidak ada yang membatalkan sabotase pada saluran data, dan pada diri mereka sendiri sensor - mungkin ada banyak sinyal untuk memicu SOUE.

Atau mungkin Anda tidak mengalokasikan banyak uang, sistemnya berbeda, Fireball yang murah adalah milik kita, tetapi dalam kasus ini, ketika APS dihidupkan, SOUE menyala dan membuka semua pintu keluar, atau APS memberikan sinyal langsung ke ACS. Karena itu harus - keluar, shpien lucu.

Masih berkenalan dengan rencana evakuasi jika terjadi kebakaran, untuk melihat titik pengumpulan selama evakuasi di luar wilayah perusahaan, di belakang gerbang, untuk melihat target, menemukan sensor, dan merokok.

Sajian kelima. Tidak, kami memiliki CCTV, kami akan menemukannya nanti

Kemungkinan besar ya, Anda akan menemukannya di rekaman video. Tetapi kita adalah orang dewasa, kita harus mengerti bahwa orang yang melakukan tindakan seperti itu adalah "bunuh diri", dia tidak berencana untuk kembali ke pekerjaanmu besok, dia tidak berencana untuk pulang dan mulai menepuk-nepuk "yang diperoleh" dalam kesepakatan, alih-alih dia berencana untuk membuang semuanya sejauh mungkin dan secepat mungkin. Jadi mencari itu akan hampir tidak berguna. Dan mengapa mencarinya. jika yang Anda butuhkan sudah dicuri.

Ya, dan seberapa cepat Anda menemukan bahwa Anda memiliki sesuatu yang dicuri? Satu atau dua jam? Tinkoff Bank dengan cepat mengeksekusi.

Kesimpulan

Dan di mana pentester, dan bahkan diterapkan?

Kami selalu mempertimbangkan penetrasi dan sabotase, tetapi kami jarang berpikir tentang cara mentransfer informasi / nilai (yang identik) jika penetrasi berhasil, dan pentester menunjukkan kepada kami kemungkinan untuk penetrasi dan sabotase, dan pentester yang diterapkan menunjukkan kepada kami kemungkinan kebocoran, untuk pemindahan

Ketika Anda mulai menulis peraturan IS, ketika Anda berkoordinasi dengan Dewan Keamanan, jangan lupakan peraturan keselamatan dan PL - mereka selalu memiliki pandangan berbeda tentang keamanan. Di pihak mereka adalah hukum yang harus dihormati. Di pihak mereka adalah petugas pemadam kebakaran yang sama yang violet dengan peraturan IS Anda dan SB Anda, dan karena itu Anda harus mencari opsi dengan PB dan OT, di mana domba dan serigala penuh - dan evakuasi dilakukan, dan tidak ada yang dicari dilepaskan. Dan yang paling parah, bahwa tindakan pencegahan dan tindakan keselamatan tidak dapat dipaksa untuk melakukan sesuatu yang bertentangan dengan hukum - bahwa Anda harus menyelaraskan peraturan Anda dengan rencana keselamatan dan kesehatan bersama dengan langkah-langkah keselamatan.

Itu sulit, tetapi bukan tidak mungkin, dan itu tidak akan lagi menjadi kejutan.

Dan ya, dalam karya kecil ini saya menganggap opsi dengan APS dan SOUE sebagai salah satu vektor serangan, tetapi perwakilan ambulans dan orang-orang yang sakit parah di usungan masih pergi keluar dari bingkai tanpa mencari ... begitu banyak untuk dipikirkan ...