Asegurar la oficina en el hogar del encargado de la seguridad: ¿qué debemos hacer?

24

Leí un artículo en la última revista de InfoSecurity (un informador de comercio infosec de Elsevier) que dice que los profesionales de la seguridad no estamos necesariamente tomando las medidas correctas para proteger nuestras propias redes y computadoras de la oficina doméstica. Ahora, como asesor de seguridad que opera desde mi propia oficina en casa, le pregunto cómo protege su oficina en casa. ¿Qué deberíamos estar haciendo?

Utilizando mi propio entorno como ejemplo, hago todo lo posible para proteger el código fuente de mis clientes (Estoy en seguridad de la aplicación). También utilizo WPA2 en el enrutador y cambio la contraseña de vez en cuando para tratar de evitar el rastreo de la red. Tengo un firewall en cada computadora, aunque tal vez no reviso los registros con tanta frecuencia como podría ... y tengo copias de seguridad locales y externas. Y, por supuesto, el propio hardware está asegurado.

Entonces, ¿qué he perdido? ¿Qué harías? ¿Qué no harías? Por supuesto, las políticas no son una solución tan buena porque solo hay uno de mí, y no estoy dispuesto a despedirlo ;-)

    
pregunta 20.12.2010 - 17:34
fuente

7 respuestas

19

Hice un pequeño artículo sobre esto en el Financial Times de hace 3 o 4 años, pero no puedo encontrar más que el titular. De todos modos, como tiendo a practicar lo que predico, tengo mi casa configurada con redes separadas por riesgo -

  • Tengo un enrutador inalámbrico con dos redes que solo se conectan a la Internet. Una DMZ que solo usa WEP para que mis hijos usen sus Nintendo DS's online y otro que es gratis para mi comunidad local inalámbrico
  • Otro enrutador aloja un WPA2 seguro red (principalmente para mi Playstation 3)
  • Para las redes cableadas, tengo una baja Red de sensibilidad para el resto de la familia - que se conectan utilizando máquinas virtuales I han construido para ellos, y un mayor Red de sensibilidad para la mayor parte de mi Investigación y actividad ajena al cliente.
  • Para trabajo de pruebas de seguridad para clientes Tengo una subred de seguridad más alta que requiere una autenticación multifactor fuerte

Para las plataformas, siempre he encontrado que lo más sencillo es utilizar una compilación reforzada para las pruebas de los clientes, que se puede desglosar una vez que se completan las pruebas y los informes. La compilación tiene contraseña de BIOS y cifrado de disco completo. Todas las máquinas y servidores en todas mis redes también tienen firewalls y antivirus y están parcheados según la guía del vendedor.

Si tiene un empleado de seguridad que trabaja desde su hogar, puede que le resulte difícil auditar el kit en el sitio, lo que puede ser un problema en términos de administrar el riesgo. Por lo general, no tiene muchas soluciones aquí, ya que tienen la posesión física del kit y no están supervisados de manera efectiva. Comprenda cuánto necesita confiar en ellos, asegúrese de que su contrato sea adecuado y configure el registro según corresponda.

Estoy de acuerdo en que necesita seguridad física, no solo en puertas, cajas fuertes y amarres de computadoras, sino también en documentos en papel y archivos / copias de seguridad.

¡Las copias de seguridad y los seguros son esenciales! Utilizo copias de seguridad cifradas en un sitio que probablemente no esté dentro del radio de explosión si mi casa tiene un avión aterrizado en él (podría suceder, estoy a solo un par de millas del Aeropuerto de Edimburgo)

    
respondido por el Rory Alsop 20.12.2010 - 20:21
fuente
8

Seguridad del código fuente

Sin embargo, dependiendo de su configuración, esto puede o no ser factible, sin embargo:

  • Almaceno el código fuente de todos los clientes en medios extraíbles que se guardan en un lugar seguro en todo momento que no están en uso. Esto evita el robo físico de las PC que exponen el código fuente de los clientes y evita que los atacantes remotos tengan acceso a dicho código fuente.

  • Cuando termine con una versión de la aplicación, destruyo la copia física (si no la tengo, no puede ser robada)

Seguridad / integridad de la información

  • Tenga en cuenta que la oficina de su hogar no es el único lugar en el que es responsable de la seguridad. La información que genera / entrega es tan valiosa (si no más) para un atacante.

  • Implemente la cadena de custodia para los informes de vulnerabilidad. De esta manera, hay documentación de todos los que han tenido acceso a los datos, desde la secretaria del personal de desarrollo hasta el director general de la compañía de sus clientes. Cuando sea posible, entrego todos los informes para reducir la probabilidad de compromiso.

Misc

  • Otro pequeño detalle que me gusta hacer para la oficina en casa es apagar la transmisión SSID en mi enrutador inalámbrico. Esta tarea única (y simple) disuadirá a la mayoría de las personas de husmear.
respondido por el Purge 20.12.2010 - 19:53
fuente
7

¿Qué pasa con la seguridad física?

  • Discos duros cifrados (en todas las unidades en todos los sistemas)
  • Seguro a prueba de fuego para copias de seguridad, tanto en el sitio como fuera de él
  • Cerraduras adecuadas en las puertas
respondido por el Steve 20.12.2010 - 17:48
fuente
6
  1. Desarrollar & Practique anualmente su propio plan de seguridad.

Veo mucha información buena con respecto a la detección de intrusiones, monitoreo, etc., pero nada supera un plan de seguridad completo que puede revisarse y ponerse en práctica a su hora especificada. ¿Sabría qué hacer si su USB HD se bloqueara con los datos de sus clientes, podría tener sus datos disponibles de inmediato? En tu cabeza, dices que sí, pero si has desconectado tu HD, los datos se han ido, el teléfono suena, es el cliente el que quiere que los datos se les envíen lo antes posible. ¿Qué pasaría si sus datos locales se vieran comprometidos, podría no solo detectarlos, sino reaccionar ante ellos y, además, recuperar los datos? ¿Qué pasaría si no pudiera recuperar los datos, qué pasos se implementaron con los clientes para cubrir eso?

  1. Contrate una empresa para realizar pruebas de penetración en su entorno.

Veo mucha especulación en cuanto a "¿qué debo asegurar?", WEP, Datos, etc. No hay nada peor que usar el "enfoque de escopeta" cuando se trata de seguridad. Finge por un segundo, eres tu propio cliente, ¿qué opción te gustaría que hicieras? Puede adivinar cuáles son las necesidades de seguridad o puede saber con seguridad qué necesidades están protegidas. Puede crear 25 SSID falsos y toda esta conversación anterior, pero eso no sirve para nada si hay una vulnerabilidad que NO conoce y NO aborda. Incluso si usted es un experto en el campo, este es su negocio y sus ingresos, ¡no hay ningún daño en que otra persona "verifique dos veces" su trabajo!

Pararé la novela ahora ... mis disculpas.

    
respondido por el badcode 27.12.2010 - 17:02
fuente
5

Hay dos partes de la seguridad de los datos.

  1. Manteniendo a "ellos" fuera
  2. Detectar cuando fallaste en eso

Para mantenerlos fuera, sin conocer los detalles específicos de su red, sus pasos parecen razonables. Eso no es un respaldo per se, siempre se puede hacer más. Aunque hay un punto en el que pasa de ser de una seguridad razonable a paranoica (y luego progresa, se convierte en TSA).

Para detectar dónde falló en el mantenimiento de "ellos", necesita algún tipo de monitoreo de intrusión en el host. Necesita algo que pueda escanear en busca de evidencia de nalgas y que se lo informe de manera confiable. La información confiable es la clave. Es necesario equilibrar la relación señal a ruido. Demasiadas alertas y empezarás a ignorarlas. Muy pocos y no detectará la recámara.

    
respondido por el bahamat 26.12.2010 - 10:21
fuente
0

Mis hotspots de WiFi (cargados con inyecciones de virus a nivel http) alrededor del bloque matarán a la PC de cualquier atacante, le mostrarán un precio viable para que pierda atención (también a las mujeres) y una vez que se conecte a mis sistemas de CCTV, Le daré las fotos del pobre chico a su novia.

Todas las computadoras portátiles están en túneles SSH para proxy web y acceso remoto a chats (irc, jabber, ¡pantalla de agradecimiento!). Básicamente, nada más que eso es necesario. Además, no quiero proporcionar a los sitios web ningún detalle sobre el uso de diferentes sistemas operativos, resoluciones de pantalla, etc., al menos mi área de trabajo siempre está en una máquina virtual accesible a través de RDP a través de SSH y desde la terminal.

P.S. No me gusta la idea de tener un apartamento de una sola casa identificado con múltiples redes. Es como ir a un bar y pagar a la seguridad en lugar de barista, o escuchar reggae y fumar mientras se reinstala el sistema operativo en el departamento de policía. En cambio, transmito muchas redes e identificaciones falsas para detectar posibles ataques.

    
respondido por el kagali-san 22.12.2010 - 00:19
fuente
-2

Sería sabio contratar a un tipo de seguridad para tu tipo de seguridad. El único problema con esto es que creas otra situación ... La casa del tipo de seguridad del tipo de seguridad podría verse comprometida. Si esto sucede, corre el riesgo de que el comprometedor obtenga acceso a los detalles de seguridad de su responsable de seguridad, lo que significa que su responsable de seguridad puede verse comprometido, lo que significa que la seguridad de su empresa está comprometida.

Entonces, como puedes imaginar, sería prudente contratar a un tipo de seguridad para el tipo de seguridad de tu tipo de seguridad. El único problema con esto es que creas otra situación ... la casa del tipo de seguridad del tipo de seguridad del tipo de seguridad podría verse comprometida. Si esto sucede, corre el riesgo de que el comprometedor obtenga acceso a los detalles de seguridad del tipo de seguridad de su tipo de seguridad, lo que significa que el tipo de seguridad de su tipo de seguridad puede verse comprometido, lo que significa que su tipo de seguridad puede verse comprometido, lo que significa que la seguridad de su empresa es comprometido.

Entonces, como puedes imaginar, sería prudente contratar a un tipo de seguridad para el tipo de seguridad de tu tipo de seguridad. El único problema con esto es que creas otra situación ... la casa del tipo de seguridad del tipo de seguridad del tipo de seguridad del chico de seguridad podría verse comprometida. Si esto sucede, corre el riesgo de que el comprometedor obtenga acceso a los detalles de seguridad del tipo de seguridad del tipo de seguridad de su tipo de seguridad, lo que significa que el tipo de seguridad del tipo de seguridad de su tipo de seguridad puede verse comprometido, lo que significa que el tipo de seguridad de su tipo de seguridad puede verse comprometido, lo cual significa que su responsable de seguridad puede verse comprometido, lo que significa que la seguridad de su empresa está comprometida.

Si repite esos pasos hasta que experimenta un desbordamiento de la pila neuronal, estará seguro. Si no encuentra consuelo en ese punto, puede buscar la optimización de la llamada de la cola mediante la contratación de un asistente que puede contratar asistentes que pueden contratar asistentes, y así sucesivamente.

    
respondido por el orokusaki 20.12.2010 - 22:02
fuente

Lea otras preguntas en las etiquetas