Tema IT Security v podjetju

Imam priloznost delati vec na to temo. Stvar me ze od nekdaj veseli in nezelim biti vec navaden sistemski administrator, saj po desetih letih dela se dolocene stvari ponavljajo in postajajo dolgocasne. Seveda je odvisno od podjetja do podjetja, kako vlaga v nove tehnologije, infrastruturo etc.

V podjetju kjer delam, se dela na projektu kjer se zeli migrirati komplet infrastruktura v privatni oblak v glavni koncern, kjer imajo res dobro infrastrukturo in seveda strokovnjake. Dolocen del nalog mi bo zaradi tega prehoda odpadel, dolocen ostal, vendar dejansko ne dovolj, v kolikor ne pridejo novi izzivi.

No in eden od izzivov je tema IT Security. Sef se strinja, da bi to temo prevzel oziroma se je lotil, saj v podjetju dejansko ni nobenega, ki bi imel taksno vlogo. Problem je tudi pri meni, saj nimam plana kaj in kje zaceti. Od sefa ne morem pricakovati konkretnih zadolzitev, saj vse kar govori je vec ali manj abstraktno govorenje in vidim da tudi sam nima kaj prevec pojma o tem.

Tisto kar mi je povedal, da naj pripravim seznam potencialnih izobrazevanj in da bi potem videli kaj in kako. Hmmm. Sam se ne bi rad vezal tri leta za neka izobrazevanja, v kolikor ne bom resnicno konkretno delal na tej temi.

Rad bi samoiniciativno pripravil nek okvirni plan dela za pol leta na temo IT Security. Kako bi se taksno delovno mesto sploh imenovalo? Kaksne naloge naj bi pri tem sploh imel? Client Security? Server Security?

Trenutno kar imam od "security teme" je antivirusni program, web appliance, spam filtri...MDM je tudi moja tema...naslednje tema bi lahko bila vpeljava enkripcije na laptope...

Bi mi lahko kdo kaj svetoval kako naj se lotim te teme.

Pa prosim, brez ponizevanj, ces kaj bos delal na tem podrocju, ce se nisi nikol delal. Jbg rad bi enostavno zacel, ce se mi ze nudi priloznost, mogoce ne bom na zacetku super top uspesen, ampak scasoma bi lahko resnicno na tem podrocju napredoval, saj nimam odpora proti ucenju in delu.

Za začetek lahko na lastni infrastrukturi preveriš znane ranljivosti in jih po možnosti zakrpaš (oz. predočiš šefu, da ti da nalogo krpanja).

In vedno imej pred seboj dejstvo, da je security proces in ne produkt.

...in da postaneš precej osovražena oseba v podjetju, ki samo nekaj teži....

NAC - Network Access Control. MS reče temu NAP.

Ampak, you get the point .

Kar se Windowsov tiče, definiraš standard in ne pustriš folku inštalirat nič.

Sam ti bo direktor težil, ker mulc ne more špilat gor igric .

Red_Mamba je 11. maj 2017 ob 12:06 izjavil:

DISK encryption, sploh ce je laptop.
two factor authentication ce imaste VPN dostop in remote delo

To smo ze implementirali. Disk enkripcija pa zagotovo naslednja tema.

IT security je v prvi liniji dvotirna zadeva, na kar se kar lepo pozablja.
Prvi tir je (u)pravni, drugi pa tehnični. Redko kdo pa dejansko dobro obvlada oba tira, se pa ponavadi vsem nekaj sanja o tisti 'drugi strani'.

(U)pravni del se pogosto zanemarja in potem nenačrtno loteva tehničnega dela, kjer se nekaj po najboljši vesti in znanju krpa. Zares pošlihtat pa zadeve ne moreš, če ni poštimana tudi vsa papirologija, ki stoji zadaj za security zgodbo.

Po svoje ti šele urejena papirologija da pokritje, da lahko nekoga vzameš pod drobnogled in mu izrečeš kakšno dobronamerno opozorilo, odvzameš določene pravice.

Morda res danes na vseh koncih in krajih security nekaj pušča in se ga stihijsko krpa, ampak če nimaš v rokah 'hišnega reda' oz. na papiru definirane varnostne politike, niti nimaš nekega resnega pregleda nad tem, kaj je že narejeno in kaj te še čaka za naresti.

Tako da bi jaz začel najprej pri sestavljanju ustrezne varnostne politike. SANS institute ima na svojih spletnih straneh primer varnostne politike nekega dejanskega podjetja, ki si jo splača pogledati. Ko to zadevo enkrat vidiš, ugotoviš, da ni noben baubau in da to z lahkoto sestaviš tudi za lastno podjetje.

Skratka bolj uspešen boš, če je izza vsega skupaj neka sistematika, ne pa zgolj krpanje akutno perečih točk.

Red_Mamba je 11. maj 2017 ob 15:02 izjavil:

odvisno kak FW imas lahko omejis dostop do spletnih strani.
s tem znizas moznost okuzbe z virusi. Pac omogocis samo spletne strani, ki se potrebujejo

FW bo popolnoma v "oblaku" oziroma ne bo pod kontrolo nas lokalnih adminov. Za znizanje okuzbe z virusi je tu v prvi fazi SPAM filter, ki v prvi liniji tudi skrbi, da ne pride vsak "dami virus" k uporabniku.

Potem je tu se antivirusni program ter web appliance, kjer so definirane zadeve kaj se prepusca ter kaj ne. Seveda je tu se veliko prostora za izboljsave.

SeMiNeSanja je 11. maj 2017 ob 15:17 izjavil:

Tako da bi jaz začel najprej pri sestavljanju ustrezne varnostne politike. SANS institute ima na svojih spletnih straneh primer varnostne politike nekega dejanskega podjetja, ki si jo splača pogledati. Ko to zadevo enkrat vidiš, ugotoviš, da ni noben baubau in da to z lahkoto sestaviš tudi za lastno podjetje.

Skratka bolj uspešen boš, če je izza vsega skupaj neka sistematika, ne pa zgolj krpanje akutno perečih točk.

Se strinjam. Politika naj bi bila iz koncerna prevzeta. Nisem je se zal videl. Bom pa nadrejene povprasal po njej ter jo prebral. Pocasi bom tako tudi lahko svoje bodoce naloge tudi definiral, kar ne bi smela biti moja naloga, ampak ok pustmo to.

MIHAc27 je 11. maj 2017 ob 15:49 izjavil:

Ne vem, zakaj bi te kdo poniževal, zaradi takih vprašanj. Sploh varnost je mnogim uporabnikom manj pomembna, dokler ne pride seveda do vdora, izgub podatkov,....
Tko da je fino videti, da se pri vam na firmi kaj premika v tej smeri.

Da se premika je izkljucno moja samoiniciativa. Dejansko smo pred mesec ali dva imeli ransomware in sefe je kar svical, ko je videl da gre zares. Tisto kar me pa cudi, da ko sem uspesno in hitro reagiral ter resil zadevo, je, da ta tema ni vec aktualna...

Zato moram zal biti v podjetju tudi dober "politik" in stvari poskusati se enkrat obrazloziti, ter jim dati vedeti kaj pomeni izguba podatkov.

pazi eno stvar: ce se bos lotil zadeve si lahko 99%, da bo vsa krivda letela nate ce bo kaj narobe!
tako, da ce ze prevzemas visjo odgovornost naj se kaj tudi na placi pozna

SeMiNeSanja je 11. maj 2017 ob 18:58 izjavil:

Red_Mamba je 11. maj 2017 ob 18:02 izjavil:

pazi eno stvar: ce se bos lotil zadeve si lahko 99%, da bo vsa krivda letela nate ce bo kaj narobe!
tako, da ce ze prevzemas visjo odgovornost naj se kaj tudi na placi pozna

Zakaj pa bi bil kriv za vse? Saj policaj tudi ni kriv za prometne nesreče.

Seveda bo avtomatsko kriv za vse. Seveda bo potem brez problema dokazal, da on ni kriv.

Isto je, če si skrbnik nadzornih sistemov. Ko ti folk prileti in ti teži zakaj je njegov server rdeč. Zato, ker je crknil, IDIOT ... .

+ COBIT 5

Sem se kar spomnil na to temo med aktualnimi dogodki. Mislim, da si posredno kar pridobil na kredibilnosti:).

No.1: Kako imate porihtan backup? :)

Kaj vam pa ostane? Laptopi, desktopi, projektorji, printerji, WiFi AP, routerji... nadzorne kamere, kartica za štemplanje, ... pa internet? :)

Če delaš v multinacionalni firmi, malo zamenjaj državo ...

harmony je 15. maj 2017 ob 08:49 izjavil:

Delam v Avstriji. Glavni konzorcij je v Nemciji. Bom videl kaj se lahko izvlecem tle, potem pa iskat kaj pametnejsega.

Sam bi malo zamenjal... Greš v Nemčijo v centralo. Da vidiš še malo švabsko zaplankanost .

harmony je 14. maj 2017 ob 00:24 izjavil:

Da vidmo, ce bodo "taglavni" v moji firmi zaceli drugace razmisljati, po tem zadnjem napadu. Danes cel dan delam od doma, pofiksu stara jajca od xp-jev, pregledu vse serverje, ce je update od marca gor, restartu vse, pregledu backup..., spisal mail za ostale sodelavce, da naj bojo v ponedeljek bolj pazljivi, da pregledajo vse racunalnike, ce res povsod tece antivirusni program, ce so tudi vsi pc-ji updejtani...

Pravi sef bi me moral ze poklicati ter se mi zahvaliti, da sem sem samoiniciativno med svojim prostim casom lotil zadeve.

Sedaj moram res biti dober politik in tole zadevo izkoristiti v svojo prid tako, da koncno preselim vse v sophos oblak...prejsnji teden so kar lepo predstavili novejso generacijo svojih produktov. Bi me res veselil taksen projekt...

Imas morda kak seznam teh KBXXXXXX updatov za operacijske sisteme, ki pokrpajo to ranljivost? našel sem tole:

Windows 7 KB4012212
Windows 2012 KB4012214
Windows XP/Vista/8/2003/2008 KB4012598
Windows 10 KB4012606
Windows 8.1/2012R2 KB4012213
Windows 2016 KB4013429

Tac20 je 15. maj 2017 ob 13:29 izjavil:

harmony je 14. maj 2017 ob 00:24 izjavil:

Da vidmo, ce bodo "taglavni" v moji firmi zaceli drugace razmisljati, po tem zadnjem napadu. Danes cel dan delam od doma, pofiksu stara jajca od xp-jev, pregledu vse serverje, ce je update od marca gor, restartu vse, pregledu backup..., spisal mail za ostale sodelavce, da naj bojo v ponedeljek bolj pazljivi, da pregledajo vse racunalnike, ce res povsod tece antivirusni program, ce so tudi vsi pc-ji updejtani...

Pravi sef bi me moral ze poklicati ter se mi zahvaliti, da sem sem samoiniciativno med svojim prostim casom lotil zadeve.

Sedaj moram res biti dober politik in tole zadevo izkoristiti v svojo prid tako, da koncno preselim vse v sophos oblak...prejsnji teden so kar lepo predstavili novejso generacijo svojih produktov. Bi me res veselil taksen projekt...

Imas morda kak seznam teh KBXXXXXX updatov za operacijske sisteme, ki pokrpajo to ranljivost? našel sem tole:

Windows 7 KB4012212
Windows 2012 KB4012214
Windows XP/Vista/8/2003/2008 KB4012598
Windows 10 KB4012606
Windows 8.1/2012R2 KB4012213
Windows 2016 KB4013429

Najbolje se je po tem linku zgledovati...
https://technet.microsoft.com/en-us/lib...

Kaj je že bilo vprašanje ? Kako se lotiti varovanja ?

Poleg ostalega, kar so pobje že našteli - izobraževanje uporabnikov na to temo.
To je tisto, kar po mojih izkušnjah v podjetjih najbolj manjka. Uporabniki velikokrat pojma nimajo o IT varnosti. Niti o najosnovnejših zadevah.

HotBurek je 17. maj 2017 ob 00:02 izjavil:

Monitoring cyber napadov...

http://map.norsecorp.com/#/
https://cybermap.kaspersky.com/
https://threatmap.checkpoint.com/Threat...

Če je pa uporabno, ne vem. Zgleda pa zanimivo. Ta zadnji link bi bilo zanimivo vidit na kakem velikem ekranu v mestu ;)

Dobra ideja. Bom tega zadnjega dal na en monitor v pisarno in naj skoz tece :)

Tema se koncno malo nadaljuje. V firmi imamo trenutno blokirane USB porte. Vse vec in vec uporabnikov naprosa za uporabo le teh. Sef me je prosil, naj razmislim o tej temi in mu napisem zakaj naj bi bili USB porti disejblami, ter kaj pomeni ce USB porte odpremo (misljeno je na USB kljucke, diske...)

USB Port On:
1.) Hitrejsa kraja podatkov. Uporabniki lahko na enostaven nacin kopirajo vec Gb podatkov v parih urah. Sef seveda pravi, da je to mozno tudi preko interneta, kot so razni dropboxi, ftp-jei etc. Se strinjam, ampak v tem primeru je treba imeti management, kjer se taksen pretok podatkov spremlja. Kako ne vem, mogoce kaksen predlog?

2.) Razni cudni exe programi pridejo hitreje na racunalnik kot preko npr. download iz interneta, saj za to poskrbi web appliance. Ima to kaksen riziko ne vem...userji niso admini.

3.) USB Keylogerji

4.) Tudi ce uporabniki ne zelijo narediti skode s krajo podatkov, se lahko zgodi, da se USB kljucek ali disk nekje izgubi...

5.) Razlicni security lejerji (firewall, spam filter, web appliance, antivirus...) izgubijo potem svoj pomen, saj je npr. nevarnost direkt na kljucku in lahko se teoreticno zgodi, da je kaj z antivirusnim programom narobe ali pa da npr. sploh ni instaliran....(seveda ob ustreznem managementu) se to ne bi smelo zgoditi, ampak vseeno.

Imam prav? Ali kdo vidi stvar drugace?

Razne file sharing servise se na sodobnih požarnih pregradah dokaj uspešno blokira.
Problem pa še vedno ostane pri mailih, kjer se lahko tudi malo po malo kar precej 'odnese'. Sploh pa za 1M€ škode naresti lahko zadošča že nekaj 10kb ta pravih podatkov...
Sicer obstajajo DLP rešitve ampak te ima malo kdo implementirane. Bolje je že v osnovi preprečiti, da bi nekdo, ki mu ne moreš zaupat sploh prišel do tako pomembnih zaupnih informacij.

Drugače pa se lahko nekam (ločen VLAN, striktno filtriran promet na najnujnejšega,...) postavi en PC, ki služi izključno za 'pretakanje' podatkov z in na USB ključke in ostale naprave. če kdo ima kaj za naložiti, to potem lahko naredi na tem PC-ju, ki ga opremiš z AV in ostalimi heci. Tudi če se okuži z nevemčem, to ne bo moglo preiti na ostalo omrežje, hkrati pa na tem PC nimaš drugega, kot kakšen FTPS server (lahk je tudi Linux box?). V slednjem primeru je lahko tudi kak recikliran PC.. Samo ne vem, kako efektivni so na Linuxu AV proizvodi, ali tudi preverjajo za Windows malware, ali se bolj omejujejo na -UX malware.

Ampak po moje uporabnike danes najbolj žuli, da si na USB ne morejo filat telefonov in ostalih gadgetov (če imate fizično zaklenjene porte). Ti telefon piska, da bo zmanjkalo baterije, pa ga ne moreš enostavno priklopiti in nafilat vsaj za sproti.

Mene zanima, če si že dobil varnostno politiko "materinske" firme ...

Kar se tiče preverjanj ali imajo škatle zadnje popravke, si inštaliraj kak nadzorni sistem ala nagios/Icinga/whatever free, da ne boš tega ročno počel.

Pol se ne sekiraj .

Ne teži preveč z neko varnostjo, ampak počakaj do naslednjega sranja. Medtem pa pripravi nekaj predlogov in jih podaj šefu.

Šele ko jih bodo dobili po p***i, bo nekaj narejeno. Samo potem bodo najeli zunanjo firmo in fajn plačali.

krneki0001 je 7. jun 2017 ob 13:42 izjavil:

harmony je 14. maj 2017 ob 00:24 izjavil:

Pravi sef bi me moral ze poklicati ter se mi zahvaliti, da sem sem samoiniciativno med svojim prostim casom lotil zadeve.

Sedaj moram res biti dober politik in tole zadevo izkoristiti v svojo prid tako, da koncno preselim vse v sophos oblak...prejsnji teden so kar lepo predstavili novejso generacijo svojih produktov. Bi me res veselil taksen projekt...

Kaj od tega se je zgodilo?

1.) Ja, zahvalili so se mi.

2.) Poslal izcrpen mail, da je potrebno narediti sestanek okrog teme Sophosa. Cakam se na odgovor. Kao ni se prio 1

Tako, da...ne kaj prevec...