Come proteggere i VIP aziendali

Sono d'accordo al 100% con la maggior parte delle altre risposte che affermano che devi proteggere i VIP da loro stessi; i problemi peggiori che abbia mai visto provengono da dirigenti o dirigenti di livello C che fanno cose come fare clic sul virus "I Love You" sul proprio account di posta elettronica di lavoro.

Detto questo, c'è una linea sottile sulla strada verso la sicurezza dei dati dell'azienda che, una volta attraversata, attiva il processo di aggiornamento del curriculum. È necessario istruirli e aiutarli e cercare di risolvere l'obiettivo aziendale entro i limiti aziendali.

So far so good, but they demand admin rights in case they need to (without calling helpdesk).

Questo "nel caso in cui hanno bisogno di", fanno (formalmente) aspettarsi che sia spesso? Se si aspettano che sia raro, non dovrebbero aver bisogno del loro accesso principale per averli, il che ti lascia con una varietà di opzioni. Avrai bisogno di usare la tua conoscenza di loro e della tua azienda per creare una causa per qualcosa di diverso da "Dai solo i nostri diritti di amministratore del dominio degli account per tutto il tempo".

• Se ne hanno bisogno solo quando sono in ufficio, e forse quando è disponibile solo uno di questi, inserisci un nome utente e una password di amministratore di dominio in una cassastrong, magari con un sigillo di cera vecchio stile sulla busta, etichettato "Break in case of administration" o qualsiasi altra cosa piaccia alla tua compagnia.
  • Accedere agli accessi per tale uso regolarmente; preferibilmente, impostare un'e-mail automatica in uso.
  • Controlla regolarmente la busta.
  • Classe avanzata: sono richieste due chiavi, non una sola, forse una chiave inglese crittografata Apricorn o simile.
    • Hai indovinato, ANCORA metti la chiavetta in una busta sigillata.
• Se ne hanno bisogno da remoto, e quando solo uno di loro ne ha bisogno, MA quando possono contattarne un altro (telefono, e-mail, ecc.), allora hai un'opzione esotica (con altri vantaggi)!
  • Leggi Esiste un algoritmo per dividere in modo sicuro un messaggio in x parti che richiedono almeno y parti da riassemblare?
  • Implementa uno di questi algoritmi e lascia che la gestione decida cosa devono essere X e Y.
    • Incoraggiateli a rendere Y strettamente più grande di due.
    • Si noti che non è necessario contattare l'helpdesk, ma se uno di loro ha bisogno dei diritti di amministratore di dominio per fare qualcosa, questa tecnica richiede almeno Y-1 altri membri del team di gestione per approvare il loro accesso (o perdere il loro parte chiave, a seconda di quale).
    • Nel caso ideale, significa anche che chiunque ha a che fare con il problema critico ha almeno Y-1 altre persone per far rimbalzare un'idea, o per aiutarla, o almeno sapere qualcosa su ciò che è accaduto ai blaze. mattina successiva.
  • Accedere agli accessi per tale uso regolarmente; preferibilmente, impostare un'e-mail automatica in uso.
  • Si noti che i prodotti di crittografia di fascia alta come Vormetric utilizzano questa tecnica per suddividere la chiave di crittografia per i propri backup HSM (Hardware Security Module).
• Se tutto il resto fallisce, dai loro ogni due account; un account normale con la password minima normale di 8 caratteri, probabilmente molto debole ... e un account di amministratore di dominio con una password da 15 a 20 caratteri "più sicura".
  • Leggi Processo di politica delle password dedicato per gli account di amministratore di dominio
  • L'obiettivo qui è semplice; rendere ancora più fastidioso utilizzare l'account di amministratore di dominio rispetto al loro account normale che è materialmente meno probabile che effettui l'accesso con il proprio account di amministratore di dominio per tutto il tempo.
  • Devi bere il Kool-Aid; TUTTI gli amministratori di dominio devono seguire la politica
• Mescola e abbina.

Sono un po 'curioso riguardo alla parte "senza contattare l'helpdesk" dei loro requisiti; l'helpdesk è a corto di personale, esiste una mentalità silo / feudo, attrito personale o qualcos'altro? Potresti provare ad affrontare anche questo.

Questo è un problema comune e l'unica cosa che devi tenere a mente è che InfoSec serve l'azienda . Il tuo team di gestione gestisce la società, quindi i loro bisogni sono i bisogni dell'azienda.

Il tuo compito è quello di educare, educare, educare, non solo con dettagli tecnici, ma con impatto finanziario e analisi dei rischi. Ma alla fine è la loro chiamata.

Se decidono ancora di mantenere i diritti di amministratore locale, è necessario disporre di un piano per mitigare i rischi di tale evento e istruirli sui costi e sui rischi di tale piano.

Può essere facile, come tecnici, predicare la "migliore pratica", ma gli interessi dell'azienda devono essere serviti, anche se non sei d'accordo. Educare, costruire relazioni e creare piani di backup, ma alla fine è la chiamata della direzione.

Rilasci due laptop: generici e ad alta sicurezza.

Il laptop per uso generale è un po 'come descrivi tu, un equilibrio tra sicurezza e usabilità. In effetti, i tuoi passaggi di sicurezza sono abbastanza buoni, sicuramente migliori della media. Spero che manterrai i virus comuni, ma non fermerai mai un aggressore avanzato.

Il laptop ad alta sicurezza è solo per accedere ai sistemi interni e svolgere lavori sensibili. Non c'è accesso al browser web, quindi non c'è spazio per il malware basato su browser. Lo firewall completamente, tranne che per una connessione VPN alla base. Consentire l'accesso a un archivio documenti interno che è solo per i VIP. Potenzialmente dispone anche di un sistema di posta elettronica crittografato sicuro (fai una domanda a parte per maggiori dettagli).

Essenzialmente, questo è un air-gapping del portatile, anche se non è del tutto al 100%. È possibile farlo su un singolo laptop, usando la virtualizzazione o thin-client. Tali implementazioni sono rare, ma sto iniziando a vederle in ambienti commerciali.

Se lavori da qualche parte con qualcuno in cima disposto a sostenerti quando dici "no", le risposte di una gestione restrittiva sono le migliori. D'altra parte, se è il proprietario / amministratore delegato a insistere e non possono essere dissuasi, potrebbero essere necessarie strategie meno efficaci.

La maggior parte delle altre risposte sono migliori, ma mi piacerebbe aggiungere un buon approccio di cui mi è stato detto.

L'amministratore delegato ha i normali account a livello utente a cui possono accedere e ricevono anche un account amministratore e una password con accesso disabilitato (per impedire che li utilizzino come loro normale account) ma che possono essere utilizzati per quando l'utente vuole elevare qualcosa.

Gli account e le password erano variazioni su questo tema:

Nome utente: "Questo è un virus" Password: "! RunVirusNow - & FDK £) S * SJK"

Nel caso in cui la persona raccontasse la storia, i problemi con le infezioni sono diminuiti drasticamente in quanto gli utenti dovevano avere questo in faccia prima che potessero eseguire qualcosa che in effetti li faceva pensare per un momento.

In questa situazione quello che vorrei fare è:

Crea un dominio AD, L'equivalente di Linux è Kerberos e OpenLDAP. Crea l'intera infrastruttura, e inoltre concedere agli utenti il diritto di installare e disinstallare il software. ma ha un firewall che ha il blocco IP. implementare le Politiche che meglio si adattano al modo in cui le persone intelligenti di Tech sono con i loro computer, naturalmente dovresti spingere il dominio di Active Directory. Unisciti a ciò che potresti fare con questo script: link . Avere anche un antivirus Endpoint e fare backup costanti di desktop. Personalmente ritengo che questa sia la soluzione migliore e più a lungo termine;)

Soluzione Numero 2:

Distribuisci macchine virtuali (guarda in P2V) su tutti i computer, crea istantanee automatiche, ogni ora e esegui il rollback in caso di virus. a mio modesto parere il migliore iper visore per questo è Hyper-V.

Suggerirei una macchina dual-boot qui, dove una partizione live Linux crittografata e di sola lettura contiene tutto il necessario per accedere a cose sensibili e una partizione Windows general purpose dove si ha accesso completo all'amministratore, ma nessun accesso ai dati sensibili le cose.

Poiché la partizione sensibile è di sola lettura, non importa quale virus si ottiene, nulla può influenzare la partizione crittografata.

Suggerirei di dare ai tuoi dipendenti questo, precaricato con un sistema operativo live Linux e eventuali informazioni sensibili statiche (come password e così via). link questa memoria USB può essere configurata per consentire solo l'accesso in sola lettura a meno che non venga utilizzato un PIN amministratore. È inoltre possibile specificare timeout e tali. Quindi la memoria sarà completamente invisibile al sistema operativo host a meno che non venga immesso un PIN e, quando viene immesso il PIN, è consentito solo l'accesso in sola lettura. Quindi inserisci PIN: > Avvia computer = avvia in modalità protetta. Basta avviare computer = Avvia in modalità non protetta.

Allora sei sicuro al 100%. Poiché nulla può influenzare la memoria di sola lettura, puoi essere certo che anche se la partizione di Windows è piena di virus, nulla può influenzare la partizione sicura.