Una macchina virtuale come Virtualbox sarebbe la mia migliore opzione per la sicurezza di tutti i giorni durante il lavoro?

25

Gestisco una piccola azienda fuori dalla mia casa e non sto facendo nulla di molto impegnativo, nessun gioco e non sto tagliando nessun codice o qualcosa di simile. Molto di quello che faccio sono le vendite basate sul telefono, quindi fondamentalmente sto semplicemente accedendo al mio account gmail di lavoro basato sul Web, inviando contratti PDF per la firma elettronica e memorizzandoli su disco basato su cloud e molta ricerca per informazioni, ricerca conduce ecc.

Probabilmente potrei andare via con un thin client ma ho appena comprato un laptop economico, e sono curioso di sapere se sono sulla strada giusta pensando che Virtualbox per gli affari di tutti i giorni è la mia migliore opzione per sicurezza e usabilità per un solo desktop con Windows 10 (e se così forse dovrei andare con un sistema operativo più leggero).

    
posta user151357 21.06.2017 - 06:36
fonte

6 risposte

65

Usando la stessa VM per la navigazione, i documenti word e l'email, esponi tutti i tuoi dati allo stesso livello di rischio.

Invece di fare tutta questa attività nella VM, considera la tua navigazione e la tua posta elettronica nella VM, ma il contratto funziona e roba di contabilità sul sistema operativo host. In questo modo se ricevi phishing, l'attacco è limitato alla VM e non puoi fare cose davvero brutte come crittografare i tuoi documenti e tenerli per un riscatto.

    
risposta data 21.06.2017 - 06:53
fonte
18

Nel contesto di una configurazione di Windows, un hypervisor come VirtualBox, VMware aiuta a isolare il tuo ospite dall'host (l'installazione principale del tuo sistema operativo).

Questa è una mossa premurosa in termini di sicurezza, se hai a che fare con attività o file / software che rappresentano un rischio per compromettere i tuoi dati. Un esempio potrebbe essere per Security Analysts, che sta analizzando il malware ogni giorno.

Quindi, se questo è il tuo computer aziendale: Potrebbe aver senso incapsulare un'installazione all'interno di una macchina virtuale se tu dovessi prestare il tuo computer a qualcuno perché lo usasse, scarica / installa software non firmato o torrent, ecc. una macchina virtuale prende alcuni attacchi molto sofisticati ed è un exploit molto apprezzato sul mercato di 0 giorni.

È l'ospite che vuoi isolare dall'host e non viceversa.

Esistono alcuni sistemi operativi come Qubes ( link ), che esegue la virtualizzazione delle app, il che significa che ogni singola applicazione viene eseguita nella sua istanza isolata.

A giudicare dalla tua descrizione dell'uso quotidiano, sei un utente a basso rischio.

  • Apri solo file, e-mail da entità fidate.

  • Avere password univoche e cambiare poi regolarmente. Monitora le perdite dai siti compromessi su cui potresti registrarti attraverso haveibeenpwned.com

  • Utilizza sempre l'ultima versione del tuo browser web, Adobe PDF, Java e Flash se ne hai bisogno.

  • Sii prudente con le estensioni del browser.

  • Non installare software non firmato, obsoleto o piratato.

  • Abilita l'autenticazione a 2 fattori per i tuoi account cruciali come GMail, Facebook, ecc.

  • Cripta i tuoi backup, se ne hai ( pull ).

  • Presta attenzione a come decidi di suddividere le macchine virtuali.

  • Configura le tue macchine virtuali con nessuno o con accesso limitato alle cartelle, ecc., sul tuo computer host.

  • C'è una miriade di software per l'hardening in Windows come EMET ( The Enhanced Mitigation Experience Toolkit ), Microsoft Security Essentials e Windows Defender.

  • Se esegui un'installazione basata su Linux nel tuo machime virtuale, ti suggerisco di installare una versione supportata e abilitare aggiornamenti di sicurezza non presidiati , riavvia il server ogni volta che viene installato un nuovo kernel.

Questi passaggi miglioreranno significativamente la sicurezza delle informazioni degli utenti in media.

NOTA: non dimenticare che la macchina virtuale, la separazione, attenua solo alcune minacce e attacca i vettori. C'è molto di più da prendere in considerazione per avere tutte le migliori pratiche di sicurezza in atto.

    
risposta data 21.06.2017 - 07:01
fonte
5

Le macchine virtuali di utilizzo come misura di sicurezza solitaria non sono sufficienti. Tuttavia, per una persona attenta alla sicurezza che sta già praticando l'igiene della sicurezza, l'utilizzo di VM per una sicurezza aggiuntiva funziona bene.

Ecco come uso VirtualBox per l'uso quotidiano di routine. Dovresti considerare il tuo uso e adattarlo al tuo scopo.

  • Separa le VM per scopi separati. ad esempio, i documenti ricevuti da / andando a fonti esterne che devo scaricare e utilizzare vanno in una VM. Acquisti online e operazioni bancarie in una VM temporanea separata.
  • Mantenere le macchine virtuali aggiornate con le ultime patch / aggiornamenti è un compito ingrato. Per mantenerlo al minimo, utilizzo i modelli di macchine virtuali: macchine virtuali che non uso direttamente, oltre a eseguire aggiornamenti. Clone queste macchine virtuali quando necessario e utilizzo i cloni come macchine virtuali temporanee. Elimina dopo l'uso (in genere da 1 ora a 1 settimana, mai più).
  • Per quanto possibile, lascia online allegati e documenti (ad esempio, utilizza il visualizzatore PDF / visualizzatore di documenti di Chrome nel browser). Funziona quando non sei preoccupato per la perdita di documenti ma vuoi evitare infezioni da malware da documenti esterni.
  • Utilizza i plug-in UBlock Origin e uMatrix anche all'interno delle VM per ridurre al minimo la contaminazione delle VM attraverso il percorso del browser.
  • Una macchina virtuale in cui viene gestita la maggior parte degli "account social media registrati in modo semi-parentale". Riciclare questa VM meno frequentemente rispetto ad altri - circa una volta al mese. Fai più attenzione con questo a causa di un rischio extra.
  • Imposta Cartelle condivise per assicurarti che i file necessari siano disponibili in ogni VM, ma tieni l'accesso al minimo (solo la directory specifica che è necessaria). Durante un periodo, questo cade in un modello e diventa gestibile. All'inizio è un dolore.
  • Assolutamente nessun lavoro sulla macchina host. L'idea è di mantenere l'ospite con il minor rischio di tutti. Se questo è andato, allora è andato tutto.

Spero che questo aiuti.

    
risposta data 21.06.2017 - 07:49
fonte
3

Una risposta breve qui: se stai facendo tutto all'interno di una macchina virtuale, il rischio è esattamente lo stesso come se stessi facendo tutto al di fuori di esso. Se la tua macchina virtuale viene compromessa, hai perso tutto tranne il tuo computer.

Come altri hanno affermato, dovresti utilizzare una VM solo per alcune cose, specialmente per lavori che richiedono l'accesso a siti Web / risorse / Internet in generale rischiosi. In questo modo, limiti alcuni rischi su ciò che hai sul tuo computer al di fuori della macchina virtuale.

Tuttavia, tieni presente che cose come il download di una risorsa nella tua macchina virtuale prima di eseguirla sul tuo computer (come un PDF con una potenziale macro dannosa) non sono sicure al 100%. Alcuni malware sono stati progettati per eludere le soluzioni di sandboxing, in modo che si attivino solo quando si trovano al di fuori di un ambiente di prova / macchina virtuale.

    
risposta data 21.06.2017 - 09:54
fonte
0

what do you want to secure yourself from? - schroeder

Se la tua risposta a questa domanda sarebbe qualcosa di simile a:

I want to protect my business from people that may be determined enough to cause damage or steal my contractual and research documents that I keep in my computer.

Quindi utilizzando qubes , come menzionato da William in una precedente risposta , virtualizza le app utilizzate per accedere a quegli stessi documenti, riducendo così la maggior parte dei vettori di attacco che potrebbero essere causati semplicemente aprendoli.

Molte persone usano Windows con l'account Admin predefinito e / o hanno impostazioni UAC a basso livello . Se questo è il tuo caso, c'è forse una piccola possibilità che uno dei tuoi "ben intenzionati" e più determinati "clienti" ti invii un documento parola / excel non appariscente, prodotto da un "amico che può fare miracoli con i documenti", che quando viene aperto su Windows 10 esegue macro , causando un attacco silenzioso e "letale".

Se il tuo computer non ha i requisiti minimi per i qubes o ritieni che sia troppo guai per farlo, allora forse invertirò il suggerimento di John , nel senso che dovresti solo conservare, accedere e modificare i documenti in una VM criptata con un SO Linux aggiornato frequentemente (limitando la possibilità di questi attacchi) mentre distruggere i documenti dal tuo sistema operativo Windows .

Effettua il backup di questa immagine VM frequentemente e se vuoi andare un po 'oltre, usa un'altra VM solo per accedere alla tua posta e ai siti web di lavoro (come SaS3 suggerito ) e trasferisci i tuoi documenti attraverso un'unità flash condivisa o una cartella i cui file vengono distrutti dopo il tuo lavoro quotidiano.

    
risposta data 22.06.2017 - 22:34
fonte
-1

Se hai un'attività in cui il tempo di attività è critico, consiglio un hypervisor come ESXi o XenServer in cui è possibile avere VM separate per scopi diversi e gestire reti all'interno dell'hypervisor. Per le VM all'interno dell'hypervisor per comunicare con il mondo esterno (resto di Internet) raccomando un firewall, ad esempio PFsense, che funzioni come un firewall / router per le reti interne che si possono avere nell'hypervisor.

Se vuoi diventare davvero grande e offrire il massimo tempo di attività possibile, suggerisco 2 macchine fisiche con una connessione bridge tra di loro, un hypervisor su ogni computer (dalla stessa azienda per scopi di compatibilità) e con un sistema di migrazione live nel caso in cui qualcosa accada, per esempio non abbastanza memoria o un computer ha perso il potere, ma l'altro è vivo. Quello che fa la migrazione live è che l'hypervisor migra (trasferisce) la VM ancora sull'altro computer e la tiene sempre attiva. È davvero fantastico.

    
risposta data 22.06.2017 - 00:18
fonte

Leggi altre domande sui tag