Question:
Sécuriser le bureau à domicile du responsable de la sécurité: que devons-nous faire?
user185
2010-12-20 22:34:25 UTC
view on stackexchange narkive permalink

J'ai lu un article dans le dernier magazine InfoSecurity (un chiffon de commerce infosec d'Elsevier) disant que nous, les professionnels de la sécurité, ne prenons pas nécessairement les bonnes mesures pour protéger nos propres réseaux et ordinateurs de bureau à domicile. Maintenant, en tant que consultant en sécurité qui opère à partir de mon propre bureau à domicile, je vous demande comment vous protégez votre bureau à domicile? Que devons-nous faire?

En utilisant mon propre environnement comme exemple, je me donne beaucoup de mal pour protéger le code source de mes clients (je suis dans la sécurité des applications). J'utilise également WPA2 sur le routeur et change le mot de passe de temps en temps pour éviter de renifler le réseau. J'ai un pare-feu sur chaque ordinateur, mais peut-être que je ne passe pas en revue les journaux aussi souvent que possible ... et j'ai des sauvegardes à la fois localement et hors site. Et bien sûr, le matériel lui-même est assuré.

Alors, qu'est-ce que j'ai manqué? Qu'est-ce que tu ferais? Que ne feriez-vous pas? Bien sûr, les politiques ne sont pas une si bonne solution car il n'y a qu'un seul de moi et je ne suis pas sur le point de le renvoyer ;-)

Sept réponses:
#1
+19
Rory Alsop
2010-12-21 01:21:50 UTC
view on stackexchange narkive permalink

J'ai fait un petit article à ce sujet dans le Financial Times il y a 3 ou 4 ans, mais je ne trouve pas plus que le titre. Quoi qu'il en soit, comme j'ai tendance à pratiquer ce que je prêche, ma maison est configurée avec des réseaux séparés par risque -

  • J'ai un routeur sans fil avec deux réseaux qui se connectent uniquement à Internet. Une DMZ qui utilise juste le WEP pour que mes enfants puissent utiliser leur Nintendo DS en ligne et une autre qui est pour ma communauté locale sans fil gratuit
  • Un autre routeur héberge un réseau WPA2 sécurisé (principalement pour ma Playstation 3)
  • Pour les réseaux câblés, j'ai un réseau à faible sensibilité pour le reste de la famille - qui se connecte à l'aide des machines virtuelles que j'ai construites pour eux, et un réseau à haute sensibilité pour la plupart de mes activités de recherche et non client.
  • Pour les tests de sécurité pour les clientsJ'ai un sous-réseau de sécurité plus élevé qui nécessite une authentification multifactorielle forte

Pour les plates-formes, j'ai toujours trouvé que le plus simple est d'utiliser une version renforcée pour les tests clients, qui peut être décomposée après les tests et les rapports est complet. La construction a un mot de passe BIOS et un cryptage complet du disque. Toutes les machines et tous les serveurs de tous mes réseaux ont également des pare-feu et un antivirus et sont mis à jour selon les conseils du fournisseur.

Si vous avez un agent de sécurité travaillant à domicile, vous aurez peut-être du mal à auditer le kit sur place, ce qui peut poser problème en termes de gestion du risque qui en découle. Vous n'avez généralement pas beaucoup de solutions ici, car ils ont la possession physique du kit et ne sont effectivement pas supervisés - comprenez à quel point vous avez besoin de leur faire confiance, assurez-vous que votre contrat est approprié et configurez la journalisation le cas échéant.

Je reconnais que vous avez besoin d'une sécurité physique - non seulement sur les portes, les coffres-forts et les attaches d'ordinateur, mais aussi sur la documentation papier et les archives / sauvegardes.

Les sauvegardes et les assurances sont essentielles! J'utilise des sauvegardes cryptées sur un site très peu susceptible d'être dans le rayon de l'explosion si un avion atterrit chez ma maison (cela peut arriver - je ne suis qu'à quelques kilomètres de l'approche de l'aéroport d'Édimbourg)

+1 sécurité pour les documents papier, etc. La serrure d'un classeur ne suffit pas! :)
+1 pour "pratiquez ce que vous prêchez". Maintenant, quand voulez-vous que l'un de nous soit venu pour un audit?
@Rory Quel type de matériel utilisez-vous? Utilisez-vous des routeurs sans fil du commerce? Avec la complexité de votre réseau, je serais surpris que vous puissiez tout séparer si bien. Comment avez-vous configuré un sous-réseau distinct qui nécessite une authentification multifacteur pour y accéder? Avez-vous plusieurs adresses IP de votre FAI?
@Rory, Pourquoi ne pas utiliser une base de données cloud comme Google Drive? Ainsi, vous serez non seulement à l'abri des * petits * accidents d'avion, mais aussi des très gros accidents.
@Iszi, Pas de sauvegarde multi-site (aka cloud) = échec de l'audit.
En fait, depuis que j'ai écrit ceci, j'ai maintenant ajouté une sauvegarde cloud pour mes fichiers essentiels :-)
Bob - une combinaison de kit standard (certains un peu piraté) et de choses légèrement plus haut de gamme que j'ai ramassées au fil des ans. Ce réseau est vraiment simple par rapport à ceux que j'ai configurés et gérés dans mon rôle antérieur d'administrateur de réseau, donc ce n'est vraiment pas un problème
#2
+8
Purge
2010-12-21 00:53:31 UTC
view on stackexchange narkive permalink

Sécurité du code source

En fonction de votre configuration, cela peut être faisable ou non, cependant:

  • Je stocke tout code source des clients sur un support amovible qui est conservé dans un coffre-fort à tout moment non utilisé. Cela empêche le vol physique des PC exposant le code source des clients, et empêche les attaquants distants d'avoir accès à ce code source.

  • Quand j'ai terminé avec une version d'application, je détruis le copie physique (si je ne l'ai pas, elle ne peut pas être volée.)

Sécurité / intégrité des informations

  • Gardez à l'esprit que votre bureau à domicile n'est pas le seul endroit où vous êtes responsable de la sécurité. Les informations que vous générez / livrez sont tout aussi (sinon plus) précieuses pour un attaquant.

  • Implémentez une chaîne de contrôle pour les rapports de vulnérabilité. De cette façon, il y a une documentation de toutes les personnes qui ont eu accès aux données, du secrétaire du personnel de développement au PDG de votre entreprise cliente, je remets tous les rapports lorsque cela est possible afin de réduire les risques de compromis. li>

Divers

  • Un autre petit détail que j'aime faire pour le bureau à domicile est de désactiver la diffusion SSID sur mon routeur sans fil. Cette tâche unique (et simple) dissuadera la plupart des gens de fouiner.
Espionnage? Vous ajoutez simplement de la complexité à votre propre accès en désactivant le SSID. Le réseau est toujours visible, mais pas pour les consommateurs.
Oui, cela ajoute de la complexité à l'accessibilité. Il le fait pour chaque personne, pas seulement pour moi. Cela ne rend pas ma déclaration moins exacte. Je n'écarte pas le fait qu'il soit toujours visible, et je ne dis pas non plus que cela devrait être la seule méthode utilisée pour sécuriser votre réseau.
Pardon, je ne voulais pas dire que c'était votre seul moyen de sécuriser le réseau ... ce que je voulais essentiellement dire était: est-ce que cela vaut la complexité supplémentaire?
Je trouve assez facile de me connecter à mon routeur en définissant le SSID auquel je souhaite me connecter. Je n'ai jamais eu de problème à le faire, donc je ne trouve personnellement pas cela très complexe. Cela dit, je ne peux pas répondre à votre question, car chaque personne / entreprise a une façon différente d'évaluer la valeur. Moi personnellement? Oui.
C'est suffisant... :)
Le seul argument est que les personnes qui ne vont pas fouiner b / c La diffusion SSID n'est pas activée sont probablement les mêmes qui ne sont pas une menace de toute façon et n'ont pas d'importance - elles ne peuvent même pas trouver votre ssid.
#3
+7
Steve
2010-12-20 22:48:03 UTC
view on stackexchange narkive permalink

Et la sécurité physique?

  • Disques durs chiffrés (sur tous les disques de tous les systèmes)
  • Coffre-fort ignifuge pour les sauvegardes, sur site et hors tension
  • Verrouillage adéquat des portes
@SteveSyfus - vous pouvez ajouter des notes d'édition dans la section des notes quand c'est quelque chose de mineur comme l'ajout de parenthèses.
@orokusaki: ou même quand c'est quelque chose de majeur.
@orokusaki ouais il peut mais de petits changements comme 2 parenthèses ne vous permettent pas d'enregistrer en tant que modification, trop peu de changements, donc le bit EDIT devait probablement dépasser le seuil de limite minimum
#4
+6
badcode
2010-12-27 22:02:10 UTC
view on stackexchange narkive permalink
  1. Développer chaque année & pratique votre propre plan de sécurité.

Je vois beaucoup de bonnes informations concernant la détection d'intrusion, la surveillance, etc., mais rien ne vaut un plan de sécurité complet qui peut être revu et mis en pratique à l'heure spécifiée. Savez-vous quoi faire si votre clé USB HD tombe en panne avec les données de vos clients, pourriez-vous avoir leurs données disponibles immédiatement? Dans votre tête, vous dites oui, mais avez-vous débranché votre HD, les données ont disparu, le téléphone sonne, c'est le client qui veut que les données lui soient envoyées dès que possible. Et si vos données locales étaient compromises, pourriez-vous non seulement les détecter, mais y réagir, et en plus, récupérer les données? Et si vous ne pouviez pas récupérer les données, quelles étapes sont en place avec les clients pour couvrir cela?

  1. Engagez une entreprise pour exécuter des tests de pénétration sur votre environnement.
  2. ol >

    Je vois beaucoup de spéculations sur "que dois-je sécuriser?", WEP, Data, etc. Il n'y a rien de pire que d'utiliser "l'approche fusil à pompe" quand il s'agit de sécurité. Faites semblant une seconde, vous êtes votre propre client, quelle option voudriez-vous que vous fassiez? Vous pouvez deviner les besoins sécurisés ou savoir avec certitude quels besoins sécurisés. Vous pouvez créer 25 faux SSID et toute cette discussion ci-dessus, mais c'est tout pour rien s'il y a une vulnérabilité que vous NE connaissez PAS et que vous ne corrigez PAS. Même si vous êtes un expert dans le domaine, ce sont vos affaires et vos revenus, il n'y a pas de mal à demander à quelqu'un d'autre de "vérifier" votre travail!

    Je vais arrêter le roman maintenant ... mon excuses.

#5
+5
bahamat
2010-12-26 15:21:41 UTC
view on stackexchange narkive permalink

Il y a deux parties de la sécurité des données.

  1. Garder «eux» à l'écart
  2. Détecter quand vous avez échoué à cela

Pour les empêcher d'entrer, sans connaître les spécificités de votre réseau, vos démarches semblent raisonnables. Ce n'est pas une approbation en soi, vous pouvez toujours faire plus. Bien qu'il y ait un moment où vous passez de la sécurité raisonnable à la paranoïaque (puis en progressant plus loin, vous devenez le TSA).

Pour détecter où vous avez échoué à les empêcher, vous avez besoin d'une sorte de surveillance des intrusions de l'hôte. Vous avez besoin de quelque chose qui puisse rechercher des preuves de culasse et vous les signaler de manière fiable. Le reporting fiable est la clé. Vous devez équilibrer le rapport signal / bruit. Trop d'alertes et vous commencerez à les ignorer. Trop peu et vous ne détecterez pas la culasse.

#6
  0
kagali-san
2010-12-22 05:19:21 UTC
view on stackexchange narkive permalink

Mes hotspots WiFi (chargés d'injections de virus au niveau http) autour du bloc tueront le PC de n'importe quel attaquant, lui montreront pr0n faisable afin qu'il perdra son attention (les femmes aussi) et une fois qu'il se rendra sur mes systèmes de vidéosurveillance, Je vais donner des photos du pauvre gars à son amie.

Tous les ordinateurs portables sont dans des tunnels SSH pour un proxy Web et un accès à distance aux chats (irc, jabber, écran de remerciement!). En gros, rien d'autre n'est nécessaire. De plus, je ne souhaite pas fournir aux sites Web de détails sur l'utilisation de différents systèmes d'exploitation, résolutions d'écran, etc., au moins mon espace de travail est toujours assis dans une machine virtuelle accessible via RDP sur SSH et depuis le terminal.

P.S. Je n'aime pas l'idée d'avoir un appartement d'une seule maison identifié avec plusieurs réseaux. C'est comme venir dans un bar et payer pour la sécurité au lieu d'un barista, ou écouter du reggae et fumer en réinstallant le système d'exploitation au service de police. Au lieu de cela, je diffuse beaucoup de réseaux et de faux identifiants afin de détecter d'éventuelles attaques.

#7
-2
orokusaki
2010-12-21 03:02:29 UTC
view on stackexchange narkive permalink

Il serait sage d'embaucher un responsable de la sécurité pour votre responsable de la sécurité. Le seul problème avec ceci est que vous créez une autre situation ... La maison du responsable de la sécurité pourrait être compromise. Si cela se produit, vous courez le risque que le pirate ait accès aux détails de sécurité de votre responsable de la sécurité, ce qui signifie que votre responsable de la sécurité peut être compromis, ce qui signifie que la sécurité de votre entreprise est compromise.

Donc, comme vous le pourriez Imaginez, il serait sage d'engager un agent de sécurité pour le responsable de la sécurité de votre agent de sécurité. Le seul problème avec ceci est que vous créez une autre situation ... La maison du responsable de la sécurité du responsable de la sécurité pourrait être compromise. Si cela se produit, vous courez le risque que le compromettant ait accès aux détails de sécurité de votre responsable de la sécurité, ce qui signifie que le responsable de la sécurité de votre responsable de la sécurité peut être compromis, ce qui signifie que votre responsable de la sécurité peut être compromis, ce qui signifie que la sécurité de votre entreprise est

Donc, comme vous pouvez l'imaginer, il serait sage d'engager un agent de sécurité pour le responsable de la sécurité de votre agent de sécurité. Le seul problème avec ceci est que vous créez une autre situation ... La maison du responsable de la sécurité du responsable de la sécurité pourrait être compromise. Si cela se produit, vous courez le risque que le comprometteur ait accès aux détails de sécurité du responsable de la sécurité de votre responsable de la sécurité, ce qui signifie que le responsable de la sécurité de votre responsable de la sécurité peut être compromis, ce qui signifie que le responsable de la sécurité de votre agent de sécurité peut être compromis, ce qui signifie que votre responsable de la sécurité peut être compromis, ce qui signifie que la sécurité de votre entreprise est compromise.

Si vous répétez ces étapes jusqu'à ce que vous rencontriez un débordement de pile neurale, vous serez en sécurité. Si vous ne trouvez pas de réconfort à ce stade, vous pouvez envisager une optimisation des appels ultérieurs en embauchant un assistant qui peut engager des assistants qui peuvent embaucher des assistants, etc.

À moins bien sûr que vous ne soyez le responsable de la sécurité de votre responsable de la sécurité.
@SteveSyfuhs - vous avez un bon point. La théorie n'est pas encore perfectionnée.
@Orokusaki - la réponse est longue et n'ajoute pas beaucoup de valeur. Je pense qu'il y a un moment là-dedans où vous placez votre confiance, mais vous devrez vous concentrer là-dessus.
@Rory, Je suis d'accord. Votre responsable de la sécurité doit être digne de confiance et fiable. Digne de confiance pour ne pas faire de mauvaises choses et fiable pour savoir quelle est la bonne chose à faire. Et suffisamment fiable pour connaître les domaines dans lesquels il n'est PAS un expert (par exemple, le renforcement du système d'exploitation) et compter sur quelqu'un qui l'est. (Cela dit, je trouve que le sarcasme et la boucle infinie potentielle sont légèrement amusants ...)
La question initiale était de savoir ce qu'un travailleur indépendant travaillant dans un SOHO peut faire, en plus des mesures qu'il a déjà prises, pour assurer sa propre sécurité informatique. À aucun moment, il n'a mentionné avoir engagé quelqu'un pour assurer sa sécurité à sa place, donc cela semble être tout à fait tangent. Bien que légèrement amusant, à mon humble avis, cela détourne de la question à portée de main. -1
J'ai LoL'ed ....: P
En lisant ceci, j'ai commencé à imaginer des techniques de cryptage, telles que les «rounds» d'AES. Circulaire en effet.
La solution est beaucoup plus simple: prenez un chien. Bien sûr, vous aurez alors besoin de quelqu'un pour nourrir le chien pendant que vous êtes au travail. Alors marie-toi. Bien sûr, vous devrez ensuite subvenir à vos besoins, à ceux de votre conjoint et de votre chien. Alors arrêtez de perdre du temps sur la philosophie et mettez-vous au travail!
@TildalWave - si vous pensez réellement que cette réponse était censée être sérieuse (ce n'était pas - c'était une blague), vous devrez peut-être demander de l'aide.
@orokusaki - Honnêtement! Je ne m'attendais pas à ce que quelques lignes de sagesse conventionnelle désagréable vous mordent le cul si fort. Vous ne pouvez pas vraiment penser que j'étais sérieux, n'est-ce pas?
@TildalWave - oh, désolé mon pote. Je m'assurais juste. Je pense que quelques-uns des commentateurs ont pensé que c'était une réponse sérieuse.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...