虽然我并不声称自己是所有基于安全的专家,但我认为我对数字安全方面什么是可以接受的,什么是不可接受的有很好的基础知识。
在给出了一些关于内部网络安全的一般性建议后,一家公司告诉我,基于物理访问的攻击(即攻击者可以访问内部网络)是不现实的,并且被认为超出了范围。
我被告知,由于公司在 DMZ 中有访客 wifi 系统,这对他们来说不是问题。他们似乎不理解或不接受的主要疏忽是,从办公室外面,您可以清楚地看到办公室周围墙壁上贴着的私人 wifi 密码,因为很多人经常忘记它们。
如果不生火,我真的很难让他们接受这是一种可怕的做法,如果受到攻击或受损的系统连接到他们的私人 wifi,他们真的会敞开心扉。
例如,客户将设备带入办公室参加会议,在会议室中看到公开宣传的 wifi 密码并继续连接到 wifi。客户的机器受到威胁,现在可以完全访问包含关键业务数据的私有内部网络,以及由于域策略错误导致的大量个人数据。
关于处理这种情况的最佳方法有什么建议吗?
采取被动的方法并进行风险评估。安全管理是风险管理的一种形式。您拥有可能存在威胁和漏洞的资产。利用漏洞的威胁是一种风险,它是通过计算(定量)或估计(定性)可能性和影响(大多数情况下是高、中、低,但有些组织有自己的)来计算的。
首先你暴露了风险。您获得了可以访问内部网络的攻击者的影响。然后您评估可能性和技术复杂性。在您的情况下,困难的部分是从您的管理层那里获得支持。所以首先要做的是参考。看看您是否发现对您所在的业务类型、您的业务规模以及行业最佳实践指南说您应该做什么 (NIST) 的具体要求。像这样构建您的风险非常重要,确保您既有技术原因,又有明确的业务影响(这会给业务带来什么成本?)(最终,业务就是它的全部,IT 只是一个推动者)。
由于您来自英国,并且您清楚地认为私人数据存在风险,请查看数据保护法。通过参考与您当前环境相似的案例来展示可能发生的事情总是很有趣。确保他们明白,如果认为他们做出了错误的决定(例如不解决这个问题),可以追究上层管理人员的个人责任,但不要威胁他们,因为这可能会产生不利影响。
还有欧盟通用数据保护条例,将于今年年底完成。如果发现严重的个人数据管理不善,它允许欧盟对公司处以高达其全球营业额 5% 的罚款。
完成报告后,您需要将其提交给您的管理层,即负责业务的人员和负责 IT 的人员以及您的内部审计部门。那是容易的部分。现在是困难的部分:出售证券。
您需要获得高层管理人员的支持才能解决此问题,这很可能会花钱,因为他们需要花费资源。不幸的是,这样做很难,您需要让您的利益相关者参与安全过程并向他们解释好处。让所有员工参与您的安全流程非常重要。如果人们不理解它,安全主管就不能将安全功能的必要性和重要性推销给其他人。
现在获得支持的最好方法是让他们首先了解。确保为遇到的每个问题都想出一个解决方案,如果你能想出一个好的替代方案,你就已经成功了一半。在您的情况下,它可能是密码管理器或使用域凭据(PEAP 身份验证)。我不喜欢只允许任何设备进入内部网络,最好是允许的唯一设备应该是公司发行的设备。
请注意,企业可能会决定签署风险协议。这意味着他们意识到风险,但选择不做任何事情。最后,你能做的只有这么多。公平地说,在人们开始看到安全的重要性之前发生严重事件的情况并不少见。这很可悲,但这是残酷的事实。
有不同的方法来处理这个问题,从有问题的道德但非常有效,到完全被动。
如果您真的想向他们展示物理攻击有效,请在下一次渗透测试中闯入。我的意思不是“抓住撬棍”,而是走进大厅,经过接待处,直接走进他们的办公室。如果他们需要钥匙卡,请在“打电话”并拿着一杯咖啡的时候尾门。去找你的联系人,告诉他你刚刚做了什么。如果您与客户关系良好,我只建议这样做,因为它正在推动道德行为的界限。
在中间立场上,你可以向他解释,攻击不仅限于组织之外的人。恶意内部人员是金融组织中最大的安全问题之一,因为他们在造成伤害之前难以识别,而且他们往往能够掌握大量敏感数据。用现实世界的例子来支持你的观点,比如前一段时间莫里森的泄密事件,一个没有特殊访问权限的完全非技术人员能够窃取有关公司员工的大量个人信息。明确影响:公关噩梦、重大财务支出(IR 成本、员工信用报告覆盖、直接收入损失)以及员工士气低落。
如果您想采取务实的方法,请告诉他从财务风险的角度来看待它:询问他如果数据泄露会给企业带来多少直接损失(根据组织的皇冠上的珠宝定制数据类型 - 客户,代码,无论如何)以及完成所有事件响应和相关 PR 的成本。这个总数字可能比内部渗透测试的成本高几个数量级。现在,将其表达为赌博:他们下注的金额是在可预见的未来(例如,2-3 年)内不会出现。然后表达替代方案:在内部渗透测试中花费几个数量级,并且您的违规可能性和预期成本下降。
或者,采取被动的方法。请以书面形式在某处说明您已经表达了您的观点,即他们正在遵循不良做法。让他们接受风险——毕竟,这完全取决于他们。如果他们将来没有被弹出,他们很幸运。如果他们确实被弹出,请给他们打电话。他们现在会听。
这里有几个好主意。只是想再添加几个,我还没有“评论”的权利:
1.) 我们在 IT 中从技术角度看待事物。你需要说服的人可能会从商业角度来看待它。您需要能够为他们提供清晰的 $$$$ 数字。这实际上是相对容易的。
Risk = Cost of Breach * Probability
您从哪里获得这些数字取决于您,但它们应该记录在您的印刷提案中。那里有很多来源。例如,Ponemon Institute 每年进行一次研究。他们估计每条被盗记录的成本为 201 美元。您需要根据您拥有的数据类型、行业等来调整数字。关键是,如果通过这种方法渗透,您会弄清楚最坏的情况是什么。(例如,我们所有的客户记录都被盗了)要花多少钱?(我们有 1500 名客户。按每位客户 201 美元计算,成本为 301,500 美元。)
现在把这个数字乘以今年发生这种情况的概率。同样,这将需要大量的猜测工作和假设。找到一些适用于您的行业并适用于您的公司的资源。根据其他人在上面给出的建议来减少这个数字。(例如,您的渗透测试表明,一个随机的人很容易进入、获取密码并退出。)因此,如果 5% 的行业去年发生了安全事件,但您估计您更容易受到攻击,因为您的安全性无法与其他类似公司相提并论,可能是这种可能性的两倍。在这种情况下,您的公式变为:
Risk = $301,500 * 10%
Risk = $30,150
如果您可以在格式良好的单页纸上向您的老板展示这一点,您应该能够轻松获得高达那么多的预算来降低风险。这只是关于说他们的语言。
第二点我想与我强调印刷报告的原因联系起来。如果可能的话,坚持在报告上得到一个物理签名,承认老板已经看过它。他会明白你正在认真对待它(并且更有可能采取行动),并且当(而不是如果)你被黑客入侵时,你有一个 BIG CYA。
祝你好运!