Обзор каналов утечки и кражи информации
Наш список ни в коей мере не является исчерпывающим, и, если вы знаете методы, о которых не упомянуто в этой статье, поделитесь своими мыслями в комментариях.
Веб-технологии
-
Если в организации отсутствует что-либо похожее на прокси-сервер, ваше тестирование на предмет утечек с высокой степенью вероятности завершится результативно.
-
Сайты наподобие pastebin, предназначенные для обмена информацией, или даже GitHub являются очевидным каналом утечки. GitHub часто разрешен во многих технологических компаниях.
-
Если в организации используется прокси и фильтрация данных, потребуется поработать чуть интенсивнее, однако многие сервисы для хранения файлов, как, например, Dropbox, Google Drive или Box разрешены, особенно в организациях, которые пользуются сторонними облачными сервисами.
-
Обычно перехват TLS (атаки типа «человек посередине) не доступны. Один из вариантов – развернуть отдельный домен с привязанным сертификатом LetsEncrypt.
-
Даже если используется нечто похожее на Websense, многие типы сайтов, например, финансовые или медицинские, не подвергаются полной TLS-инспекции в целях безопасности сотрудников. Многие системы категоризации позволяют добавить сайтв нужную категорию. Таким образом, немного подготовившись, злоумышленник может создать собственным медицинский сайт и обойти фильтры.
-
Flickr и YouTube доступны? В этих сервисах можно хранить большие файлы и использовать стеганографию.
-
Возможно в организации есть веб-сервера, доступные через интернет, один из которых можно попытаться скомпрометировать в качестве промежуточной стадии.