Proteggere l'ufficio del ragazzo della sicurezza: cosa dovremmo fare?

24

Ho letto un articolo sull'ultima rivista InfoSecurity (uno straccio di infosec trade di Elsevier) che afferma che noi professionisti della sicurezza non stiamo necessariamente adottando le misure corrette per proteggere le nostre reti e i nostri computer domestici. Ora come consulente di sicurezza che opera fuori dal mio ufficio, ti chiedo come proteggi il tuo ufficio di casa? Cosa dovremmo fare?

Usando il mio ambiente personale come esempio, vado di gran lunga a proteggere il codice sorgente dei miei clienti (Sono in sicurezza per le app). Io uso anche WPA2 sul router e cambio la password ogni tanto per cercare di evitare lo sniffing della rete. Ho un firewall su ogni computer, anche se forse non riesaminare i log più spesso che potrei ... e ho dei backup sia localmente che fuori sede. E naturalmente l'hardware stesso è assicurato.

Quindi, cosa ho perso? Cosa faresti? Cosa non faresti? Certo, le politiche non sono una buona soluzione perché c'è solo una di me, e non ho intenzione di licenziarlo; -)

    
posta 20.12.2010 - 17:34
fonte

7 risposte

19

Ho fatto un po 'di un articolo su questo in Financial Times 3 o 4 anni fa ma non riesco a trovare più del titolo. Ad ogni modo, mentre tendo a praticare ciò che predico, ho la mia casa allestita con reti separate dal rischio -

  • Ho un router wireless con due reti che si collegano solo al Internet. Una DMZ che usa solo WEP in modo che i miei figli possano usare i loro Nintendo DS è online e un altro che è gratuito per la mia comunità locale wireless
  • Un altro router ospita un WPA2 sicuro rete (principalmente per la mia Playstation 3)
  • Per le reti cablate, ho un basso rete di sensibilità per il resto di la famiglia - che si connette usando VM I hanno costruito per loro, e un più alto rete di sensibilità per la maggior parte dei miei attività di ricerca e non clienti.
  • Per i test di sicurezza funzionano per i clienti Ho una sottorete di sicurezza più elevata che richiede una strong autenticazione a più fattori

Per le piattaforme, ho sempre trovato che il più semplice consiste nell'utilizzare una build consolidata per i test del client, che può essere scomposta dopo il test e il reporting è completo. La build ha la password del BIOS e la crittografia completa del disco. Tutte le macchine e i server su tutte le mie reti dispongono anche di firewall e antivirus e sono aggiornati in base alle normative del fornitore.

Se hai un addetto alla sicurezza che lavora da casa, potresti avere difficoltà a controllare il kit sul posto, il che può essere un problema in termini di gestione del rischio da parte loro. In genere, in questo caso non sono disponibili molte soluzioni poiché hanno il possesso fisico del kit e sono effettivamente non supervisionate: capire quanto è necessario fidarsi di loro, assicurarsi che il contratto sia appropriato e configurare la registrazione come appropriato.

Sono d'accordo che hai bisogno di sicurezza fisica - non solo su porte, casseforti e cavi per computer, ma anche su documentazione cartacea e archivi / backup.

I backup e l'assicurazione sono essenziali! Utilizzo i backup crittografati su un sito molto improbabile che si trovi entro il raggio di esplosione se la mia casa dovesse avere un aereo atterrare su di esso (potrebbe accadere - Sono solo a un paio di miglia dall'approccio all'aeroporto di Edimburgo)

    
risposta data 20.12.2010 - 20:21
fonte
8

Sicurezza codice sorgente

Tuttavia, a seconda della configurazione, questo potrebbe non essere possibile, tuttavia:

  • Conservo il codice sorgente di tutti i client su un supporto rimovibile che viene tenuto in una cassastrong in ogni momento non in uso. Ciò impedisce il furto fisico di PC che espongono il codice sorgente dei client, così come impedisce agli aggressori remoti di accedere a detto codice sorgente.

  • Quando ho finito con una versione dell'applicazione, distruggo la copia fisica (se non ce l'ho, non può essere rubata.)

Sicurezza / Integrità delle informazioni

  • Ricorda che il tuo ufficio non è l'unico posto in cui sei responsabile della sicurezza. Le informazioni generate / erogate sono altrettanto valide (se non di più) per un utente malintenzionato.

  • Implementare la catena di custodia per i report di vulnerabilità. In questo modo c'è la documentazione di tutti coloro che hanno avuto accesso ai dati, dalla segreteria per lo staff di sviluppo, al CEO della vostra azienda clienti. Consegno a consegnare tutti i rapporti quando possibile per ridurre le probabilità di compromissione.

Varie

  • Un altro piccolo bocconcino che mi piace fare per l'home office è disattivare la trasmissione SSID sul mio router wireless. Questo singolo (e semplice) compito scoraggerà la maggior parte delle persone dal ficcanaso.
risposta data 20.12.2010 - 19:53
fonte
7

Che ne pensi della sicurezza fisica?

  • Unità disco crittografate (su tutte le unità su tutti i sistemi)
  • Sicuro a prova di fuoco per backup, sia in sede che fuori
  • Serrature appropriate alle porte
risposta data 20.12.2010 - 17:48
fonte
6
  1. Sviluppo e amp; pratica annualmente il tuo piano di sicurezza.

Vedo molte buone informazioni sul rilevamento delle intrusioni, il monitoraggio, ecc., ma niente batte un piano di sicurezza completo che può essere rivisto e praticato al momento specificato. Sapresti cosa fare se il tuo USB HD si è schiantato con i dati dei tuoi clienti, potresti avere i loro dati immediatamente disponibili? Nella tua testa stai dicendo sì, ma hai scollegato il tuo HD, i dati sono andati, il telefono squilla, è il cliente che vuole i dati inviati a loro al più presto. Cosa succede se i tuoi dati locali sono stati compromessi, non solo li puoi rilevare, ma reagire ad esso, e in più, recuperare i dati? Che cosa succede se non riesci a recuperare i dati, quali passaggi sono in atto con i clienti per coprirlo?

  1. Assumi un'impresa per eseguire test di penetrazione sul tuo ambiente.

Vedo molte speculazioni su "cosa dovrei proteggere?", WEP, Data, ecc. Non c'è niente di peggio che usare l'approccio "shotgun" quando si parla di sicurezza. Fai finta di un secondo, sei il tuo cliente, quale opzione vorresti che facessi? Puoi indovinare a cosa serve assicurarti, o puoi sapere con certezza che cosa è necessario proteggere. Puoi creare 25 SSID falsi e tutte queste discussioni sopra, ma non serve a niente se esiste una vulnerabilità a cui il tuo NON è consapevole e NON si rivolge. Anche se sei un esperto del settore, questo è il tuo business e il tuo reddito, non c'è nulla di male nell'avere qualcun altro "ricontrollare" il tuo lavoro!

Ora fermerò il romanzo ... mi scuso.

    
risposta data 27.12.2010 - 17:02
fonte
5

Ci sono due parti della sicurezza dei dati.

  1. Mantenere "loro" fuori
  2. Rilevare quando non ci sei riuscito

Per tenerli fuori, senza conoscere alcun dettaglio specifico della tua rete, i tuoi passi sembrano ragionevoli. Non è un'approvazione di per sé, puoi sempre fare di più. Sebbene ci sia un punto in cui si passa da una sicurezza ragionevole a una paranoica (quindi si progredisce ulteriormente si diventa la TSA).

Per rilevare dove non sei riuscito a tenerli fuori, hai bisogno di una sorta di monitoraggio delle intrusioni su host. Hai bisogno di qualcosa che possa cercare prove di breech e segnalarlo in modo affidabile. La segnalazione affidabile è la chiave. Devi bilanciare il rapporto segnale / rumore. Troppi avvisi e inizierai a ignorarli. Troppo pochi e non rileverà la culatta.

    
risposta data 26.12.2010 - 10:21
fonte
0

I miei hotspot Wi-Fi (caricati con iniezioni di virus a livello http) intorno al blocco uccideranno il PC di qualsiasi attaccante, gli mostreranno la soluzione possibile in modo da perdere l'attenzione (anche le femmine) e una volta che si avvicinano ai miei sistemi TVCC, Darò le foto del povero ragazzo al suo GF.

Tutti i laptop sono nei tunnel SSH per il web proxy e l'accesso remoto alle chat (irc, jabber, schermo di ringraziamento!). Fondamentalmente, nulla oltre a ciò è necessario. Inoltre, non voglio fornire ai siti web dettagli sull'utilizzo di SO diversi, risoluzioni dello schermo ecc, almeno il mio spazio di lavoro è sempre seduto su una macchina virtuale accessibile tramite RDP su SSH e dal terminale.

P.S. Non mi piace l'idea di avere un appartamento unifamiliare identificato con più reti. È come venire in un bar e pagare per la sicurezza invece del barista, o ascoltare il reggae e fumare mentre si reinstalla il sistema operativo presso la polizia. Invece, trasmetto un sacco di reti e falsi ID per rilevare possibili attacchi.

    
risposta data 22.12.2010 - 00:19
fonte
-2

Sarebbe saggio assumere un ragazzo della sicurezza per il tuo ragazzo della sicurezza. L'unico problema è che crei un'altra situazione ... La casa del ragazzo della sicurezza potrebbe essere compromessa. Se ciò accade, corri il rischio che il compromettitore possa accedere ai dettagli di sicurezza del tuo ragazzo di sicurezza, il che significa che il tuo responsabile della sicurezza può essere compromesso, il che significa che la sicurezza della tua azienda è compromessa.

Quindi, come puoi immaginare, sarebbe saggio assumere un ragazzo della sicurezza per il ragazzo della sicurezza del ragazzo della sicurezza. L'unico problema è che crei un'altra situazione ... La casa del ragazzo della sicurezza del ragazzo della sicurezza potrebbe essere compromessa. Se ciò accade, corri il rischio che il compromettitore acceda ai dettagli sulla sicurezza del ragazzo della sicurezza, il che significa che il responsabile della sicurezza del ragazzo della sicurezza può essere compromesso, il che significa che il responsabile della sicurezza può essere compromesso, il che significa che la sicurezza della tua azienda è compromessa.

Quindi, come puoi immaginare, sarebbe saggio assumere un ragazzo della sicurezza per il ragazzo della sicurezza del ragazzo della sicurezza. L'unico problema con questo è che si crea un'altra situazione ... La casa del ragazzo della sicurezza del ragazzo della sicurezza del ragazzo della sicurezza potrebbe essere compromessa. Se ciò accade, corri il rischio che il compromettitore possa accedere ai dettagli di sicurezza del ragazzo della sicurezza del ragazzo della sicurezza, il che significa che il ragazzo della sicurezza del ragazzo della sicurezza può essere compromesso, il che significa che il ragazzo della sicurezza può essere compromesso, significa che il tuo responsabile della sicurezza può essere compromesso, il che significa che la sicurezza della tua azienda è compromessa.

Se ripeti questi passaggi finché non si verifica un overflow di stack neurale, sarai al sicuro. Se a quel punto non trovi conforto, potresti cercare nell'ottimizzazione della coda di coda assumendo un assistente che può assumere assistenti che possono assumere assistenti e così via.

    
risposta data 20.12.2010 - 22:02
fonte

Leggi altre domande sui tag