Обзор каналов утечки и кражи информации

Наш список ни в коей мере не является исчерпывающим, и, если вы знаете методы, о которых не упомянуто в этой статье, поделитесь своими мыслями в комментариях.

Веб-технологии

1. Если в организации отсутствует что-либо похожее на прокси-сервер, ваше тестирование на предмет утечек с высокой степенью вероятности завершится результативно.

2. Сайты наподобие pastebin, предназначенные для обмена информацией, или даже GitHub являются очевидным каналом утечки. GitHub часто разрешен во многих технологических компаниях.

3. Если в организации используется прокси и фильтрация данных, потребуется поработать чуть интенсивнее, однако многие сервисы для хранения файлов, как, например, Dropbox, Google Drive или Box разрешены, особенно в организациях, которые пользуются сторонними облачными сервисами.

4. Обычно перехват TLS (атаки типа «человек посередине) не доступны. Один из вариантов – развернуть отдельный домен с привязанным сертификатом LetsEncrypt.

5. Даже если используется нечто похожее на Websense, многие типы сайтов, например, финансовые или медицинские, не подвергаются полной TLS-инспекции в целях безопасности сотрудников. Многие системы категоризации позволяют добавить сайтв нужную категорию. Таким образом, немного подготовившись, злоумышленник может создать собственным медицинский сайт и обойти фильтры.

6. Flickr и YouTube доступны? В этих сервисах можно хранить большие файлы и использовать стеганографию.

7. Возможно в организации есть веб-сервера, доступные через интернет, один из которых можно попытаться скомпрометировать в качестве промежуточной стадии.