Kompaniya VIPlarni qanday himoya qilish kerak

Environment: small engineering company (<50 employees) and everyone is local administrator on their computer, including everyone in the management group.

Setup: Some standard security features are in place: NGFW, (N)IDS, (H)IDS, DLP, segmented network, anti malware on each client, local FW, Windows update, automated third pary software updates on each client, lock out policy, OSSEC agents on all servers.

Problem: when malware hits (and it does!) infection is much worse when user is admin.

Sought solution: protect the VIPs in the management group from malware infection (or rather: malware infecting the entire computer). Since they are in high risk of being "spear fished"

Birinchi qadam, albatta, ularni standart foydalanuvchilarga aylantirish. Hozirgacha juda yaxshi, lekin ular kerak bo'lganda (yordam panjarasisiz) admin huquqlarini talab qiladilar. Men buni operatsiyani bajarish davrida ularga berishga tayyorman, biroq u ularga mahalliy hisob qaydnomasini taqdim etishni osonlashtira olmaydi, chunki ular, ehtimol, bu hisobni har doim ishlatishadi. Men OTP echimini o'ylayapman yoki shunga o'xshash deb o'ylayman, agar ular mutlaqo administrator bo'lishlari kerak bo'lsa, ularni olish uchun katta to'siqni berishadi. Takliflar?

Men zararli dasturiy ta'minot infektsiyalari muhandislik guruhi uchun muammo bo'lishini bilaman, lekin bu kelajakdagi loyihadir.

5
Unda "VIP kompaniyani o'zlaridan himoya qilish"
qo'shib qo'ydi muallif Sridhar Iyer, manba
Men faqat boshqaruvni odamlarning mahalliy boshqaruv huquqlariga ega bo'lishiga yo'l qo'ymoqchi emasman ... Omad tilaymiz, bunga muhtoj bo'lamiz.
qo'shib qo'ydi muallif Buggabill, manba
BeyondTrust, ushbu turdagi vaziyatlarga yordam berish uchun mahsulot ishlab chiqaradi. "Windows uchun PowerBroker: imtiyoz va seansni boshqarish" ni qidiring. Yo'q, BT uchun ishlamayman.
qo'shib qo'ydi muallif Michel, manba
Mahalliy administrator huquqlariga ega bo'lgan boshqaruvchi pentester (yoki yomonroq, tajovuzkor) tushidir. Boshqarish, o'zlarining AT xavfsizligi bilan birga, yomon parollar yordamida yoki qo'shimchalarni ochmasdan oldin elektron pochta xabarlarini targ'ib qilmaslikdan iboratdir. Ular, albatta, mahalliy rahbar bo'lishi kerak emas.
qo'shib qo'ydi muallif user34513, manba
Men ularga manfaatlar to'qnashuvi deb tushuntirdim. Ularning kompyuterlari yuqori sezuvchanlik ma'lumotlariga kirish imkoniyatiga egalar. Uning kabi, maxfiy xizmatni himoya qilishni istamagan prezident.
qo'shib qo'ydi muallif Andrew Hoffman, manba
Ishlayotgan yoki ishlamagan bosh direktorlardan biri doimiy ravishda kompyuterlaridan turib, kompyuterlarni qulfdan chiqarib yuborgan. Haqiqatan ham, kirish qanchalik kuchli bo'lsa, ular o'zlarining kompslarini himoyasiz qoldirishgan.
qo'shib qo'ydi muallif Andrew Hoffman, manba

6 javoblar

Bu umumiy muammo bo'lib, yodda tutish kerak bo'lgan narsa InfoSec kompaniyaga xizmat qiladi . Sizning boshqaruv komandangiz kompaniya ishlaydi, shuning uchun ularning ehtiyojlari kompaniyaning ehtiyojlari hisoblanadi.

Sizning vazifangiz - texnik tafsilot bilan emas, balki moliyaviy ta'sir va xavf tahlili bilan ta'lim berish, o'qitish, o'qitish. Lekin, oxirida, bu ularning chaqirig'idir.

Agar ular hali ham mahalliy ma'muriy huquqlarni saqlab qolishga qaror qilsalar, unda siz buning oqibatlarini bartaraf qilish uchun reja tuzishingiz va bu reja bo'yicha xarajatlar va xavflar haqida ta'lim berishingiz kerak.

Texnik odamlar kabi, "eng yaxshi amaliyotni" va'z qilish oson bo'lishi mumkin, lekin siz unga rozi bo'lmasangiz ham, kompaniyaning manfaatlariga xizmat qilish kerak. Ta'lim berish, aloqalarni o'rnatish va zaxira rejalarini tuzish, lekin oxir-oqibat u boshqaruvning chaqiruvidir.

7
qo'shib qo'ydi
Va rahbariyat bu qarorni o'z egasiga topshirishi kerak. ya'ni siz ularga tegishli xavflarning professional xavfsizlik nuqtai nazarini berganingizni hujjatlashtirishingiz kerak va xavf jurnalining qaror uchun mas'ul direktor nomi bor.
qo'shib qo'ydi muallif Rory Alsop, manba
@RoryAlsop To'liq. Menejmentga kompaniyaga ta'sir ko'rsatadigan shaxsiy qarorlarni qabul qilishga ruxsat berilmaydi va keyinchalik ushbu qarorning javobgarligini keyinchalik amalga oshirgan xalqqa o'tkazishga urinib ko'riladi.
qo'shib qo'ydi muallif schroeder, manba

Ularga ikkita noutbuk yarating: umumiy maqsad va yuqori xavfsizlik.

Umumiy maqsadlar uchun mo'ljallangan noutbuk siz tasvirlaydigan kabi, xavfsizlik va mavjudlik o'rtasidagi muvozanatdir. Aslida, sizning xavfsizlik choralaringiz juda yaxshi, albatta, o'rtacha darajadan yaxshiroqdir. Umid qilamizki, umumiy viruslarni o'chirib qo'yishingiz mumkin, lekin siz ilgari hujum qiluvchini to'xtata olmaysiz.

Oliy himoyalangan noutbuk faqat ichki tizimlarga kirish va nozik ishni bajarish uchun. Brauzerga asoslangan veb-brauzerlar uchun ruxsat yo'q. VPN ulanishini bazaga qaytarishdan tashqari, siz butunlay xavfsizlik devorini to'ldirasiz. Faqat VIP-lar uchun bo'lgan ichki hujjatlar do'koniga kirishga ruxsat bering. Ehtimol, shifrlangan elektron pochta tizimiga ega bo'lishingiz mumkin (qo'shimcha ma'lumot olish uchun alohida savol bering).

Aslida, bu noutbukning havo almashinuvi bo'lib, garchi bu 100% havo bo'shlig'i emas. Siz buni virtual noutbukda yoki virtual mijozlar yordamida amalga oshirishingiz mumkin. Bunday joylashtirishlar kamdan-kam hollarda, lekin men ularni savdo muhitda ko'rishni boshlayman.

3
qo'shib qo'ydi

Agar siz "yo'q" deb aytganda sizni orqaga qaytarishga tayyor bo'lgan odam bilan ishlasangiz, boshqaruvni cheklashning eng yaxshi usuli. Boshqa tomondan, agar u egasi/bosh direktori talab qilsa va ulardan voz kechmasa, unda kam samarali strategiyalar talab qilinishi mumkin.

Boshqa javoblarning ko'pchiligi yaxshiroq, lekin menga aytilgan bir yaxshi yondashuvni qo'shmoqchiman.

Bosh direktor o'zlarining oddiy foydalanuvchi hisoblariga ega bo'lib, ular tizimga kirishlari mumkin va ular ham administrator hisobini va login parolini o'chirib qo'yishadi (ularni odatiy hisob sifatida ishlatishlariga yo'l qo'ymaslik uchun), lekin foydalanuvchining yuqori darajadagi nimadur.

Hisob va parollar ushbu mavzu bo'yicha o'zgarishlarga aylandi:

Username:"This is a Virus" Password:"RunVirusNow!-&FDK£)S*SJK"

Hikoyani aytib turadigan odamda, infektsiyalar bilan bog'liq muammolar, foydalanuvchilar bir daqiqada o'ylab ko'rgan narsalarni ishlatishdan oldin, yuzlari oldida bu kabi narsalarga ega bo'lishlari kerak edi.

2
qo'shib qo'ydi
Bu qiziqarli va men ushbu echimni ishlashni xohlayman. Siz ilgari tasvirlab bergan yechimni sinab ko'rdim, lekin uni ishga sololmadim. Mahalliy boshqaruv hisobini yaratdim va "Mahalliyni rad eting" belgisini qo'ydim. Lekin men buni qilganimda va ruxsatnomani kuchaytirish uchun ushbu hisobdan foydalanishga urinib ko'rganimda (masalan, dasturni o'rnatish uchun) faqatgina "tizimga kirish rad etilgan" deb aytdim. Har qanday fikr bormi?
qo'shib qo'ydi muallif Marcel, manba
Ixtirochilikka ega bo'ling. Natijada, kompyuterlar haqida hech narsa bilmagan foydalanuvchilar, kunlik narsalar uchun kirish uchun mahalliy administrator hisobidan foydalanish imkoniyatiga ega bo'lishni istaysiz. Agar ular qat'iy qaror qilsalar va nima qilayotganlarini bilsalar, ko'pchilik choralarni engillashtirishi mumkin, ammo nima qilayotganlarini bilganlar ozchilikni tashkil qiladi. ularni ishga tushiradigan boshlang'ich ssenariysi kabi oddiy bir narsa, bu kabi hisoblardan foydalanishni to'xtatadi, ammo ishonchim komil. Agar ular so'rashsa, hisobni kirish uchun ishlatilmasligini yana bir bor tushuntirib bering.
qo'shib qo'ydi muallif ProfK, manba

Boshqa javoblarning ko'pchiligida men 100 foizga rozi bo'ldim. Men ko'rgan eng yomon muammolar direktor yoki C darajali menejmentidan "Men sizni sevaman" virusini o'zlarining ishchi elektron pochta hisoblariga bosish kabi narsalarni bajarishadi.

Ya'ni, kompaniyaning ma'lumotlarini ta'minlash uchun yo'lda nozik chiziq bor, u kesishganida, rezyumeni yangilash jarayonini boshlaydi. Siz ularni tarbiyalashingiz, ularga yordam berishingiz va ishbilarmonlik cheklovlari doirasida biznes maqsadlarini hal qilishga harakat qilishingiz kerak.

Juda yaxshi, lekin agar ular yordamga muhtoj bo'lsa, ular administrator huquqlarini talab qiladilar.

Bu "kerak bo'lganda", ular (rasmiy ravishda) tez-tez bo'lishini kutadilarmi? Agar ular kamdan-kam hollarda umid qilishsa, u holda ular o'zlarining asosiy tizimiga kirishlari kerak emas. "Faqat bizning asosiy hisob-domen ma'mur huquqlarini berishni istasangiz", boshqa hech narsa uchun ishni qilish uchun siz va kompaniyangiz haqida bilishingiz kerak bo'ladi.

  • If they only need this when they're in the office, and perhaps when only one of them is available, then put a domain admin username and password in a safe, perhaps with an old-fashioned wax seal on the envelope, labelled "Break in case of administration" or whatever your company likes.
    • Audit logins for that use regularly; preferably, set up an automatic email on use.
    • Audit the envelope regularly.
    • Advanced class: Two keys required, not just one, perhaps an Apricorn encrypted thumb drive or similar.
      • You guessed it, STILL put the thumb drive in a sealed envelope.
  • If they need this remotely, and when only one of them needs it, BUT when they can contact another one (phone, email, etc.), then you have an exotic option (with other benefits)!
    • Read Is there an algorithm to securely split a message into x parts requiring at least y parts to reassemble?
    • Implement one of those algorithms, and let management decide what X and Y need to be.
      • Encourage them to make Y strictly greater than two.
      • Note that they do NOT need to contact helpdesk, but if one of them does need domain admin rights to do something, this technique requires at least Y-1 other members of the management team to approve of their access (or lose their key part, whichever).
      • In the ideal case, it also means that whoever's dealing with the critical issue has at least Y-1 other people to bounce an idea off of, or to help them out, or at least know something about what the blazes happened the next morning.
    • Audit logins for that use regularly; preferably, set up an automatic email on use.
    • Note that high end encryption products like Vormetric use this technique to split up the encryption key for their own HSM (Hardware Security Module) backups.
  • If all else fails, give them each two accounts; a normal account with the normal, probably very weak 8 character minimum password... and a domain admin account with a "more secure" 15 to 20 character password.
    • Read Dedicated password policy process for domain admin accounts
    • The goal here is simple; make it enough more annoying to use the domain admin account than their regular account that they're materially less likely to log in with their domain admin account all the time.
    • You have to drink the Kool-Aid; ALL domain admins must follow the policy
  • Mix and match.

Men "o'zimning yordamchilarim bilan aloqa qilmasdan" o'zimning talablarimning bir qismini qiziqtiraman; yordamchi ofitsiant, bir silo/fiefdom mentaliteti, shaxsiy ishqalanishmi yoki boshqa biror narsa bormi? Bunga ham urinib ko'ring.

1
qo'shib qo'ydi
Barchadan yaxshi fikrlar va maslahatlar. Rahmat. Sizga yordam berish haqida savol berasiz: Ha, afsuski, HD g'oyib bo'ladi. Ehtimol, bu eng oson echim bo'lishi mumkin.
qo'shib qo'ydi muallif Marcel, manba

Bunday vaziyatda men nima qilaman:

AD domenini yaratish, Linux ekvivalenti - Kerberos va OpenLDAP. Barcha infratuzilmani yaratish, Shuningdek, foydalanuvchilarga dasturiy ta'minotni o'rnatish va o'chirish huquqini beradi. Lekin IP-blokirovka qilingan Faervolga ega. Texnik aqlli insonlar o'zlarining kompyuterlari bilan qanday aloqada bo'lishlariga eng mos keladigan Siyosatlarni amalda qo'llash kerak, agar siz Active Directory domenini ushbu buyruq bilan qanday aloqada bo'lishingiz mumkin: http://portal.sivarajan.com/2010/04/add-workstation-to-domain-batch -file.html . Bundan tashqari, Endpoint Antivirusga ega va doimiy ravishda Stol kompyuterining zaxira nusxalarini yaratadi. Shaxsan men buni eng yaxshi va eng uzoq muddatli echim deb his qilaman;)

Numero 2ning echimi:

Virtual kompyuterlarni tarqatish (P2V ga qarang) barcha kompyuterlarga, va avtomatik ravishda Snapshots, har soatda bajaring va har qanday virus bo'lsa, orqaga qaytarilsin. Mening kamtarin fikrimcha Hyper-V uchun eng yaxshi visor.

0
qo'shib qo'ydi

Bu yerda faqat o'qish uchun mo'ljallangan, shifrlangan Linux-versiyasini o'z ichiga olgan ikkita-burilish mashinasini taklif qilaman. Bu narsalarni siz nozik narsalarga kirishingiz kerak bo'lgan hamma narsalar va to'liq administratorga kirishingiz kerak bo'lgan umumiy maqsadli oyna bo'limi, lekin sezgir narsalarga kirish imkoni yo'q.

Sensatsion bo'lim faqat o'qiladi ekan, siz qaysi virusni olish muhim emas, hech narsa shifrlangan qismga ta'sir qilmaydi.

I would suggest giving your employees this, preloaded with and a linux live OS and eventual static sensitive information (like passwords and such). http://www.apricorn.com/products/hardware-encrypted-drives/aegis-secure-key-3-0.html this USB memory can be configured to only allow read-only access unless a admin PIN is used. You can also specify timeouts and such. Then the memory will be completely invisible to the host OS unless a PIN is entered, and when PIN is entered, only read-only access is allowed. Then enter-PIN -> Start computer = boot into secure mode. Just start computer = Boot into insecure mode.

Keyin siz 100% xavfsizsiz. Hech narsa faqat o'qiladi xotiraga ta'sir qilmagani uchun, Windows bo'limlari virusga cho'mish uchun to'ldirilgan bo'lsa ham, hech narsa xavfsiz bo'lakka ta'sir qilmasligiga amin bo'lishingiz mumkin.

0
qo'shib qo'ydi