Sì, crittografa, è facile. Inoltre, secondo uno studio del 2014 del Software Engineering Institute, 1 hack su 4 proveniva da qualcuno all'interno dell'azienda con un danno medio superiore del 50% rispetto a un attore esterno.

Link alla fonte: https://insights.sei.cmu.edu/insider-threat/2017/01/2016-us-state-of-cybercrime-highlights.html Sebbene questa sia la versione del 2017.

Quali sono le reali possibilità che qualcuno rubi la sua identità?

Eseguire un attacco MITM su una connessione HTTP quando si è sulla stessa LAN è fondamentalmente banale. ARP non è progettato per essere sicuro. Alcuni switch di fascia alta forniscono una ragionevole attenuazione, ma per lo più sono piuttosto deboli su tutto ciò che non è incredibilmente costoso.

C'è un dipendente che si lamenta del fatto che non gli piace inviare le sue credenziali in testo normale rete e che in tal caso non può assumersi la responsabilità della sua identità di rete.

Se il ragazzo è responsabile delle azioni intraprese con le sue credenziali, è ingiusto non prendere precauzioni ragionevoli per proteggere tali credenziali da altri dipendenti. Potrebbero essere al sicuro da attori esterni a causa dell'isolamento della rete, ma probabilmente non è questo ciò di cui il ragazzo è preoccupato ...

Sì, devi crittografare le tue connessioni. Prendiamo uno scenario in cui ritieni che la tua rete sia fisicamente protetta (con sicurezza fisica richiesta e altre misure di sicurezza richieste) e nessun accesso a Internet (poiché hai indicato di consentire solo l'accesso VPN a fonti attendibili), ma supponiamo che i tuoi dipendenti prendano il loro laptop casa e connessione a Internet. Le possibilità che qualsiasi malware venga implementato senza il loro preavviso sono presenti. E questo malware potrebbe attivarsi quando è connesso alla rete aziendale e ha iniziato a rilevare il traffico. Ciò porterebbe all'esposizione di tutte le comunicazioni aziendali, comprese le credenziali di tutti.

Quindi è sempre consigliabile crittografare il traffico sensibile.

Un ulteriore studio di CA (Insider Threat Report - 2018) indica di seguito le preoccupazioni sulle minacce interne (Riferimento: https://www.ca.com/content/dam/ca/us/files /ebook/insider-threat-report.pdf).

Estratto dal rapporto:

• Il novanta per cento delle organizzazioni si sente vulnerabile ad attacchi interni. I principali fattori di rischio abilitanti includono troppi utenti con privilegi di accesso eccessivi (37%), un numero crescente di dispositivi con accesso a dati sensibili (36%) e la crescente complessità della tecnologia dell'informazione (35%).
• La maggioranza del 53% ha confermato attacchi interni contro la propria organizzazione nei 12 mesi precedenti (in genere meno di cinque puntate). Il 27% delle organizzazioni afferma che gli attacchi interni sono diventati più frequenti.

• Le organizzazioni stanno spostando la loro attenzione sul rilevamento di minacce interne (64%), seguito da metodi di deterrenza (58%) e analisi e analisi forensi post violazioni (49%). L'utilizzo del monitoraggio del comportamento degli utenti sta accelerando; Il 94% delle organizzazioni utilizza metodi di monitoraggio degli utenti e il 93% monitora l'accesso ai dati sensibili.

• Le tecnologie più diffuse per scoraggiare le minacce interne sono Data LossPrevention (DLP), crittografia e gestione dell'identità e degli accessi soluzioni. Per rilevare meglio le minacce interne attive, le aziende implementano l'Intrusion Detection and Prevention (IDS), la gestione dei log e le piattaforme SIEM.

• La stragrande maggioranza (86%) delle organizzazioni ha già o sta realizzando un programma per le minacce interne. Il 36% ha un programma formale in atto per rispondere agli attacchi interni, mentre il 50% è concentrato sullo sviluppo del proprio programma.

Possibili soluzioni / controlli di mitigazione per attacchi interni sarebbero: Fonte: 2018 Insider Threat Report, CA Technologies

Rischio di ripudio

Oltre a tutte le belle risposte sui dipendenti come minaccia e sui visitatori come minaccia, penso che si debba considerare che il semplice fatto che il il traffico non è crittografato è di per sé una vulnerabilità anche in totale assenza di hacker .

Ti stai preparando a una situazione in cui qualsiasi dipendente che lo fa qualcosa che non dovrebbero fare (per errore o apposta) e poi viene chiamato in causa può negare che siano stati effettivamente loro. Normalmente, il manager diceva semplicemente "sappiamo che sei stato tu perché hai effettuato l'accesso". In questo caso il dipendente accusato può ragionevolmente rispondere "il login è inutile e tu lo sai. Chiunque sulla LAN potrebbe aver fiutato la mia password e aver fatto questa brutta cosa fingendosi me."

Alcune aziende, specialmente quelle più grandi che esistono da abbastanza tempo da sviluppare cattive abitudini, hanno più o meno il seguente modello di sicurezza fallace:

La rete è sicura finché nessun altro si collega ad essa e nessuno all'interno è tecnologicamente sufficientemente abile da abusarne.

È possibile proteggerlo in tutti i casi? No, ma adeguati controlli dell'accesso fisico / dell'edificio possono aiutare a ridurre il rischio. Ma cosa succede se gli ospiti sono ammessi in ufficio per riunioni, ecc.? ci sono porte ethernet facilmente accessibili nelle sale conferenza o reti wireless di facile accesso, oppure queste reti sono separate da quelle in cui le credenziali potrebbero volare?

Dipende anche da cosa si sta cercando di proteggere. Considera lo scenario peggiore in cui qualcuno (dall'interno o dall'esterno dell'organizzazione) ruba credenziali in chiaro per un altro utente. Cosa sono in grado di fare; accedere a infrastrutture critiche o solo ad alcuni server di sviluppo di basso profilo? Se un'identità viene rubata, sei in grado di determinare chi sta utilizzando il login?

Idealmente, tutti userebbero la crittografia ovunque. Ma se le minacce di cui sopra rientrano nella tua tolleranza al rischio, forse non è urgente crittografare le risorse intranet. A seconda delle dimensioni dell'organizzazione, potrebbe esserci un sovraccarico nella distribuzione di certificati CA e SSL a tutte le risorse. Chiediti cosa c'è di peggio: lo scenario peggiore o mettersi al lavoro per crittografare tutto?

Nel 2018, la risposta dipende dai risultati dell'analisi delle minacce e dei rischi. Che, ovviamente, hai eseguito, identificato i probabili scenari, valutato e preso una decisione aziendale in base all'impatto e alla frequenza, secondo un metodo statistico o quantitativo adeguato.

Il tuo singolo dipendente, tuttavia, ha fatto la sua personale analisi dei rischi ed è arrivato al risultato che hai indicato, ovvero:

non può assumersi la responsabilità della sua identità di rete in tal caso

Ed è perfettamente corretto in quella valutazione. Anche uno sguardo superficiale alla situazione rende chiaro che qualcuno diverso da lui, con competenze tecniche minime, potrebbe impersonarlo.

Per te il rischio aziendale è accettabile (ovviamente, io significa che è il 2018, che la rete interna non è crittografata è una decisione intenzionale e non, diciamo, un caso in cui l'abbiamo sempre fatto così, giusto?) e potresti avere ragione in quella decisione. Accettare un rischio è un'opzione perfettamente valida.

Per lui il rischio non è accettabile. Si noti che non prende una decisione commerciale per l'azienda con la sua dichiarazione. Prende una decisione personale per se stesso. Questo è il motivo per cui le due analisi del rischio possono portare a risultati diversi: contesto, propensione al rischio, impatti diversi.

La risposta corretta è che ti stai assumendo la responsabilità che lui rifiuta di assumersi. Eseguendo la rete in chiaro e accettando il rischio, l'azienda si assume la responsabilità dell'identità di rete degli utenti di quella rete, poiché ha deciso di non proteggerli.

Potrei anche sbagliarmi nelle mie ipotesi sulla gestione del rischio aziendale, nel qual caso consiglio di fare un'analisi del rischio di questo particolare fatto (rete interna non crittografata) e della minaccia (rappresentazione degli utenti) in modo da poter rivedere la decisione di avere una rete non crittografata o consolidarla con risultati che dimostrano che la protezione della rete sarebbe più costosa della perdita prevista.

Sì, è necessario crittografare all'interno della rete aziendale "sicura".

Qualsiasi penetrazione nella rete porterà a traffico di ficcanaso e tutto ciò che non è crittografato è una scelta facile per l'attaccante. Credenziali, password, informazioni sullo stipendio, piani aziendali, qualunque cosa.

Per le storie dell'orrore del mondo reale, cerca semplicemente "sicurezza del movimento laterale" Guscio duro e croccante, interno morbido e gommoso non è più un atteggiamento di sicurezza valido per nessuno azienda.

Sebbene il GDPR abbia pochi requisiti tecnici rigorosi, se gestisci le informazioni personali per i cittadini dell'UE, una soluzione comune per soddisfare la conformità al GDPR consiste nel mostrare che hai la crittografia sui dati in volo (sulla tua rete )

La realtà è, a parte la tua sicurezza fisica, non è troppo difficile ottenere l'accesso all'interno della rete, sia collegandoti fisicamente a una porta (stai monitorando il tuo personale di pulizia notturna ogni notte? - come sulla visita ai fornitori?) o, più probabilmente, attraverso una qualche forma di intrusione nella rete.

Altri hanno citato il documento BeyondCorp di Google, che merita una lettura. https://cloud.google.com/ beyondcorp /

In sostanza, la tua rete "interna" non dovrebbe essere considerata attendibile molto di più dello stagista esterno et.

La crittografia è una posizione difensiva a basso costo e ad alto rendimento. Perché non lo faresti?

Sì. Dovresti sempre crittografare le connessioni su qualsiasi intranet, proprio come faresti su Internet pubblico.

L ' attacco DNS Rebinding pubblicizzato ieri consente a un utente malintenzionato di accedere completo a qualsiasi risorsa HTTP su una vittima intranet, mediante l'uso di un rebind DNS da un indirizzo IP controllato da un utente malintenzionato a un IP intranet corporeo (ad esempio 10.0.0.22). (La scansione di uno spazio IP intranet per i servizi HTTP può essere eseguita con altre tecniche, resa più semplice con conoscenza dell'indirizzo IP privato dell'utente.)

L'unica cosa necessaria affinché un tale attacco funzioni è indurre la vittima a caricare una pagina web controllata da un utente malintenzionato (o javascript o iframe ecc.).

Questo attacco è meglio mitigato con HTTPS, poiché il rebind DNS non corrisponderà al dominio del certificato presentato. Mentre la rimozione degli host virtuali predefiniti sembra anche mitigare questo particolare attacco, questo attacco mostra solo come l'esposizione di risorse interne su connessioni non crittografate possa trasformarsi in una responsabilità con una vulnerabilità di sicurezza da qualche altra parte. (Non sto nemmeno parlando della sfilza di vulnerabilità Wi-Fi 802.11 che abbiamo avuto alla fine dell'anno scorso. Per favore, non esporre le risorse intranet tramite Wi-Fi!)

Difesa in profondità

Ci sono molte buone risposte qui, ma anche se ti fidi completamente di tutti i tuoi dipendenti (cosa che molto probabilmente non dovresti), apri la porta a un aggressore esterno e fai in modo che la sicurezza molto più difficile.

Normalmente un utente malintenzionato deve prima entrare in qualche modo nella tua rete (questo potrebbe essere fatto in una varietà di modi) e poi ha bisogno di ottenere un login da qualche parte per accedere effettivamente ai dati sensibili. Fornendo password di accesso non crittografate che volano ovunque, hai reso il secondo passaggio molto più semplice. Ora, ogni volta che un utente malintenzionato ottiene l'accesso alla tua rete, ha immediatamente accesso a credenziali di alto livello.

Il concetto di difesa in più livelli è chiamato difesa in profondità: se un attaccante può compromettere un livello, ha ancora per rompere ulteriori barriere e causare danni.

Quindi per favore CREDENZIA LE TUE CREDENZIALI!

devo crittografare l'accesso alle risorse intranet su HTTP?

Sì, se le persone si autenticano in base al servizio.

Quali sono le reali possibilità che qualcuno rubi la sua identità?

Non lo so, non ho mai incontrato persone che lavorano nel tuo ufficio / si trovano nel raggio della sua rete Wifi / potrebbero essere in grado di intercettare la tua rete. Non so cosa consideri un "livello decente di sicurezza fisica". Non so quanto ti fidi delle "parti fidate". Certamente, il monitoraggio degli indirizzi MAC fa ben poco per proteggere dallo sniffing di rete.

Quanto sarebbe dannoso implementare TLS?

La critica del tuo dipendente è azzeccata.

Pensaci in questo modo: se ti fidi della tua rete fino al punto in cui la crittografia delle credenziali sembra non necessaria, allora perché hai bisogno delle credenziali? Pensi di poter sostituire un modulo di accesso con un semplice campo in cui gli utenti possono digitare il loro nome?

Se la risposta è no, anche l'invio di credenziali non crittografate non è un'opzione, perché non lo fai Non ti fidi così tanto delle tue parti fidate, dopotutto, e una password inviata tramite HTTP non è un gran segreto.

Per citare una maglietta: "Fallo e basta!"

• Stai spendendo ore in cambio di pile per una giustificazione di non spendere $ 7 per un certificato e 20 minuti per assicurarti il tuo server.

• Una cosa a cui non hai pensato: come fa il dipendente a sapere che sta inserendo le sue credenziali nel sito web reale e non in un clone del sito che gira su un arduino nascosto dietro la fotocopiatrice che sta falsificando ARP?

• La parola "conformità" significa qualcosa? PCI / HIPAA / GDPR arriverà a bussare ogni giorno. Se un utente "amministratore" accede al tuo sito web, DEVI crittografare tutte le connessioni o dovrai affrontare seri problemi.