Qual è l'attuale best practice per proteggere il laptop di un dirigente?

La cosa più importante che puoi fare è la formazione degli utenti. La maggior parte dei compromessi mirati sono il risultato di utenti stupidi. Non importa quanto sia sicuro il sistema quando il tuo PHB (bastardo dai capelli a punta) segue il link spoofed dall'indirizzo e-mail dei tuoi amici a qualche sito porno infestato da malware personalizzato e fa clic su OK per ogni finestra di dialogo che vedono.

Se non riesci a prendere coscienza della sicurezza e quali sono gli usi appropriati del computer e ottenere il buy-in da parte dell'amministrazione, allora nessun ulteriore sforzo da parte tua farà un po 'di differenza. Se riesci a ottenere il loro acquisto e gli investimenti per mantenere il sistema sicuro, allora la maggior parte di ciò che hai descritto va bene.

Un'altra alternativa è quella di dargli sempre una connessione Internet e usarla come un terminale stupido per una macchina virtuale ospitata all'interno della rete aziendale. Questo è un po 'più costoso e un po' più fastidioso, ma è anche più sicuro in quanto non devi preoccuparti se il laptop potrebbe essere hackerato se perso perché non ci sarà nulla sul portatile stesso vale la pena rubare.

Avere una configurazione techie Windows su Qubes e insegnare all'esecutore a separare attività attendibili e non fidate / personali (rightclick - aprire i "divertenti" collegamenti dei colleghi in macchine virtuali monouso o inviare nuovamente l'indirizzo di posta personale prima dell'apertura). L'impostazione di Qubes potrebbe essere piuttosto tecnica, utilizzarla principalmente per copiare e incollare in modo sicuro e dove aprire / rendere accessibile quale file, la seccatura extra è minima. Può ottenere una pass-frase semplice da ricordare (non una password) e un vault con un gestore di password. Ogni dominio potrebbe persino salvare le sue password in Firefox / Chrome / qualunque cosa. permettigli di usare java o qualsiasi altra cosa in una macchina monouso. Ovviamente, se è pratico, dipenderà, ma se i tuoi dati sono abbastanza preziosi, sarà più pratico implementarlo e insegnare all'utente piuttosto che correre il rischio più elevato di perdere i dati sensibili non facendolo così ..

Ho sempre avuto problemi con le "migliori pratiche" in quanto la maggior parte di quelle "migliori pratiche" sono state scritte su reti specifiche, attività commerciali e non sulla mia. TUTTE le aziende differiscono e storicamente, vediamo che le migliori pratiche non hanno fatto nulla per rallentare il compromesso. Non sono contro le migliori pratiche, penso che le persone non dovrebbero fare affidamento su di loro come qualsiasi santo graal.

Hai nominato le best practice di livello superiore, quindi ti informerò su ciò che le persone tendono a perdere riguardo alle best practice.

FIREWALL: Giusto. Ora, quante persone implementano cose come le regole bidirezionali o tutte le registrazioni. Una cosa è "bloccare" che la Cina non entri nella porta, ma se si lancia una regola sullo "stato", non c'è nulla che impedisca alla macchina di avviare una connessione OUTBOUND con la Cina. Le regole e le politiche relative ai firewall devono essere posizionate su entrambi i lati del recinto.

Pensaci per un minuto, hai un laptop per un dirigente che va in viaggio d'affari. Quali sono i suoi obiettivi durante quel viaggio. Forse per fare una presentazione, dove potrebbe aver bisogno di connettersi da e per le imprese per fare una presentazione, o un passo? Una regola, da e verso, blocca tutti gli altri. Non è necessario arrivare a questo estremo, ma i firewall sono spesso configurati in modo errato, sono inutili.

Antivirus: poco per gli attacchi mirati, dal momento che molte firme per minacce avanzate non vengono nemmeno create. Uno strumento più efficace sarebbe una forma di notifica quando l'exec sta viaggiando. Es .: "La tua macchina sta iniziando una connessione a (ESEGUI UNO SGUARDO A CUI CERCA CAPIRE DI LUI) e provando ad accedere a QUESTO DATI"

L'aggiornamento di tutti i software non si difende da (non mi piace questo termine): attacchi di 0 giorni.

La crittografia del laptop (ad esempio con Truecrypt) non funzionerà se il tuo exec RICHIEDE che la sua password sia semplice.

Ci sono metodi per difendersi dagli attacchi APT, tuttavia, la maggior parte sono cerotti. Dico questo perché la maggior parte delle PERSONE è la causa degli attacchi. Aprire email di spear phishing, visitare siti che non dovrebbero visitare. Sostituisci Adobe Acrobat con Foxit, rimuovi Flash, blocca java + javascript, passa a Chrome usando un proxy e osserva fino a dove scendono gli attacchi. Allo stesso tempo, prova a gestire i reclami di dirigenti di alto livello che vogliono essere belli, "apri questo subito", rispetto alla sicurezza. Risolvi il problema e ti preoccuperai meno delle minacce APT.