🧑🏾‍🤝‍🧑🏾 🧑🏿 🎽 Pentester Aplicado 🙎🏿 👩🏻‍🤝‍👨🏾 🤗

O IS, aquele que é aplicado, com testes de penetração, também deve levar em consideração vazamentos. Talvez eu jogue no ventilador para pensar.

A primeira parte. PB e OT

A segurança da informação é sempre um conflito de interesses entre o Serviço de Segurança, a TI e, por estranho que pareça, o Serviço de Segurança e o OT.

O que é segurança industrial? O que é proteção do trabalho? Sobre o que estamos conversando?

Não, eu entendo que o Conselho de Segurança é um serviço de segurança, eles têm segurança no sangue, podem ser gesticulados ao máximo, para que todos possam ser controlados, de modo que seria impossível dar um passo sem o conhecimento deles. Não está bem, mas "cho" ...

eu entendo - TI é tecnologia da informação, é tão fácil e acessível de fazer no sangue, use uma conta de administrador em todos os servidores. para não mexer na configuração de direitos em vários sistemas, para não mexer na configuração de direitos entre domínios, entre sistemas e entre serviços. Yaya ...

Segurança e TI sempre têm um conflito de interesses - isso é óbvio para todos. A TI alfabetizada é sempre um pouco de SB e a SB alfabetizada é sempre um pouco de TI. Mas o que o PB e o OT têm a ver com isso? Um engenheiro de segurança ocupacional quase sempre não é o TI ou o Conselho de Segurança, e ele não se importa com eles.

Por enquanto, você precisa acreditar que aqui de repente o terceiro participante está arranhando, bem, ou você pode pensar um pouco ... enquanto lê mais.

A segunda parte. SKUD, APS, SOUE, SMIS e SMIK

ACS - não há dúvida de que, se houver um SC, o ACS é uma prerrogativa do SC, e o SC fará todos os esforços para tirar esse sistema da TI, porque não é inteligente.

APS (não estou falando de uma arma, mas de um alarme de incêndio) - se o SB não for preguiçoso, estará sob o controle do SB, mas sim do PB e OT, e a TI dificilmente será responsável por esse sistema.

SOUE - como regra, no mesmo local que o MTA, e não faz sentido separá-los e separá-los.

O SMIS e o SMIK geralmente são esse engenheiro no envio e com os serviços de engenharia correspondentes, mas há situações em que o SMIS e o SMIK são integrados ao SOUE, e com frequência suficiente.

Do que estou falando? Ah, sim, SOUE - esse sistema interromperá a segurança da sua informação (“sua” com uma pequena letra, por causa da sua empresa, e não por atitudes desrespeitosas em relação a você). Ainda não adivinhou? Você tem regulamentos de segurança, requisitos de TI relacionados à segurança da informação, cobriu as rotas de invasão de todos os lados, parece controlar a atividade deles em todos os sistemas de TI possíveis, como se você controlasse completamente o perímetro de entrada e saída e Você também familiarizou todos os funcionários com a segurança das informações para assinatura e até o DLP foi introduzido.

Mas então um engenheiro de proteção do trabalho veio e pendurou um plano de fuga de incêndio na parede.

Do que estou falando?

Sugiro pensar novamente.

A terceira parte. Penetração

Tudo é legal com o Conselho de Segurança, tudo é legal com a TI, mas, no entanto, sua empresa conseguiu "deixar o espião" entrar no prédio, talvez até mesmo com uma excursão ao seu santo dos santos - o servidor ou o data center, ou talvez apenas o seu Open Space, onde todos ficam tranquilos juntos - funcionários simples e o diretor geral, junto com outros TOPs.

Ou talvez não seja um "espião" de rua, mas apenas um funcionário que já trabalha para você, bem, eles gastaram algum dinheiro com ele para retirar dezenas de discos SAS de 2,5 "da sua prateleira de disco ou o laptop de um diretor financeiro junto com um bitlocker criptografado portátil um disco que o diretor financeiro entrega ao cofre no final do dia útil, ou seja, com um banco cliente e uma unidade flash USB com certificados e, ao mesmo tempo, com um RSA com fio no mesmo chaveiro.

Obviamente, você não tem um ACS e até um quadro de detector de metais, o que, é claro, não permitirá que esse "espião" faça tudo o que precede. Bem, provavelmente, você fez um cartão de hóspede para esse espião, ele, puramente teoricamente, se ninguém estragou tudo, ele não pode chegar a lugar nenhum, bem, se acompanhado, ele deve procurar no Open Space um máximo de escolta.

Já é mais interessante.

De qualquer forma, consideramos esse fato um fato consumado - pessoas internas. Ou talvez já seja suficiente?

A quarta porção. E, no entanto, o que o OP e o OT têm a ver com isso?

Provavelmente todo mundo já adivinhou que a influência da segurança na proteção da informação é direta, imediata. Como, por exemplo, o mesmo plano de evacuação em caso de incêndio concorda com o SI? Provavelmente, de qualquer maneira, além disso, em 99,99% das empresas, ela não concorda com o SI de forma alguma, porque é a segurança industrial e a proteção do trabalho. Garantir a segurança da vida dos funcionários é acima de tudo - na verdade, não discuto isso. Por esse motivo, em caso de alarme de incêndio, todo o pessoal sai imediatamente da zona de perigo - afinal, eles treinaram regularmente, graças ao engenheiro de proteção do trabalho. Provavelmente, eles deixarão o prédio, passando completamente com calma, sem inspeção e sem interromper todo o sistema de controle de acesso, ignorando estupidamente todos os regulamentos da SB. Wah ...

mas como? Muito simples - PB e Otzhe ...

Detalhes? Eu os tenho.

Você alocou muito dinheiro para ACS, APS, SOUE, SMIS e SMIK, um integrador de sistemas interessante que ofereceu uma solução incrível com base em um fornecedor; todos os sistemas são integrados entre si e na vanguarda do SOUE. Todas as suas portas são à prova de fogo com anti-pânico, é claro, possuem módulos ACS e, em uma situação normal, não podem ser abertas sem uma chave ou impressão digital, mas o SCMS anula todo o ACS sob certas condições - quando o APS é acionado. Ele Ele. E também, se você tiver uma zona sismicamente ativa, o ISMS e o ISMS também afetarão o ACS. É verdade que, se tudo é simples com um APS, basta inflamar algo, então é um pouco mais complicado com um ISMS e um SMIC, não é tão fácil lidar com eles, a resposta de emergência é complicada, mas ninguém cancelou a sabotagem na linha de dados e até sensores - pode haver muitos sinais para acionar o SOUE.

Ou talvez você não tenha alocado muito dinheiro, os sistemas são todos diferentes, o Fireball barato é nosso, mas nesse caso, quando o APS é ligado, o interruptor liga e abre todas as portas para o exterior, ou o APS sinaliza diretamente para o ACS. Porque deveria ser - saia, shpien fofo.

Resta conhecer os planos de evacuação em caso de incêndio, ver o ponto de coleta para evacuação fora do território da empresa, atrás dos portões, para olhar o alvo, encontrar o sensor e fumar.

A quinta porção. Não, nós temos CFTV, vamos encontrar mais tarde

Provavelmente sim, você o encontrará em gravações de vídeo. Mas somos adultos, precisamos entender que a pessoa que realiza essas ações é um "suicídio", ele não planeja voltar ao seu trabalho amanhã, ele não planeja ir para casa e começar a se interessar pelos "ganhos" no negócio, em vez disso ele planeja despejar tudo o mais longe possível e o mais rápido possível. Portanto, procurá-lo será quase inútil. E por que procurá-lo. se o que você precisa já foi roubado.

Sim, e com que rapidez você descobre que tem algo roubado? Uma hora ou duas? O Tinkoff Bank é executado com rapidez suficiente.

Conclusão

E onde é que o pentester, e até aplicado?

Sempre consideramos a penetração e a sabotagem, mas raramente pensamos em como transferir informações / valores (idênticos) em caso de penetração bem-sucedida, e o pentester nos mostra as possibilidades de penetração e sabotagem, e o pentester aplicado nos mostra as possibilidades de vazamento, por remoção

Quando você começar a escrever regulamentos de SI, ao coordená-lo com o Conselho de Segurança, não se esqueça dos regulamentos de segurança e do OT - eles sempre terão uma visão diferente da segurança. Do lado deles, há uma lei que deve ser respeitada. Do lado deles estão os mesmos bombeiros que violam seus regulamentos de SI e seu SB, e, portanto, você terá que procurar opções com PB e OT, nas quais as ovelhas e os lobos estão cheios - e a evacuação é realizada e ninguém é revistado. liberado. E o pior de tudo é que o departamento de segurança e o OT não podem ser forçados a executar algo contrário à lei - que você precisará alinhar seus regulamentos aos planos de segurança e saúde em conjunto com o SB.

É difícil, mas não impossível, e não será mais uma surpresa.

E sim, nesta pequena obra, considero as opções com APS e SOUE como um dos vetores de ataque, mas representantes de ambulâncias e pessoas gravemente doentes em macas ainda saem do quadro sem inspeção ... muito para pensar ...