Aggiungendo l'unità di rete ai fori di sicurezza dei siti intranet attendibili?

3

Abbiamo un'unità di rete condivisa mappata e quando apriamo determinati file otteniamo una finestra di dialogo simile

Hotrovato questo sito che spiega che l'aggiunta del percorso di rete ai siti attendibili della Intranet locale per tutti gli utenti consente l'apertura di tali file senza l'Avviso.

Un collega è preoccupato che questo ci apre a rischi per la sicurezza, ma al momento, un utente farebbe semplicemente clic su esegui o apri nella finestra di dialogo e i file in questione verrebbero aperti o aperti.

Quali sono i rischi per la sicurezza che mettono l'unità nei siti intranet locali? È sicuro fare questa o una cattiva idea?

Modifica: ho trovato alcuni superuser domande con le risposte che dicono di fare questo ma nessuna discussione sui rischi

    
posta hellyale 15.11.2017 - 17:42
fonte

2 risposte

3

Questa finestra di errore è lì per rendere gli utenti consapevoli della fonte potenzialmente pericolosa da cui proviene il file.

Quando dici

[B]ut currently, a user would just click run or open in the dialog box and the files in question would run or open.

questo non consente di visualizzare il messaggio di avviso, quindi l'aggiunta di questo come fonte attendibile non diminuisce la sicurezza se ciò che dici è vero per tutti gli utenti.

Tuttavia, ci sono alcuni presupposti forniti con la configurazione:

  • tutte le persone che hanno accesso sono degne di fiducia e
  • il fileserver è sufficientemente protetto

Se un dipendente canaglia rilascia un codice dannoso, nessuno riceve un avvertimento in anticipo, quindi gli utenti potrebbero essere inclini a eseguire macro, ad esempio.

Se un utente malintenzionato esterno accede a questo file server (ad esempio facendo una deviazione da un endpoint compromesso), ciò non rispetterebbe la segregazione di rete se il server dei file serve più segmenti (ad esempio perché è la condivisione per lo scambio tra le divisioni).

Inoltre, potrebbero esserci delle implicazioni per la soluzione di sicurezza degli endpoint che si sta utilizzando: una fonte attendibile potrebbe non essere sottoposta a scansione. Ciò dipende tuttavia dal prodotto e dalle impostazioni effettive.

Potresti anche considerare di non avere la condivisione attiva per tutto il tempo per contenere i danni dei ransomware agli endpoint locali, infetti - anche con una buona strategia di backup, c'è un costo per il ripristino da un backup.

    
risposta data 15.11.2017 - 17:57
fonte
1

C'è sempre un certo livello di rischio con la fiducia in un sistema, ma in questo caso, presumibilmente hai il controllo sul server e sul suo contenuto in modo che non ci dovrebbero essere file compromessi lì. Semplifica la diffusione di un compromesso attraverso il tuo sistema in modo automatico, ma è probabile che si tratti di un problema relativamente piccolo rispetto al rischio per la sicurezza di NON fidarsi del server.

Come hai detto, il dover bypassare il controllo di sicurezza per i file dal server ha portato gli utenti ad approvare automaticamente il file da aprire senza pensarci. Questo è un comportamento più rischioso. Quanti utenti noterebbero se il percorso del file provenisse dal Web anziché dalla condivisione di rete? Finirebbero per aggirare il controllo sui file che in realtà non dovrebbero essere considerati attendibili e si rendono molto più vulnerabili agli attacchi.

Affidarsi alla condivisione si apre per una diffusione automatica di malware internamente per essere un po 'più probabile (ma gli scanner antivirus e le difese di rete contribuiscono a limitare questa esposizione), ma impedisce costanti comportamenti scorretti degli utenti di aprire file non fidati senza pensare a proposito. Un avviso ignorato è un avviso inutile e gli avvisi ignorati sono una minaccia alla sicurezza stessa.

    
risposta data 15.11.2017 - 18:30
fonte

Leggi altre domande sui tag