¿Cuál es la mejor práctica actual para asegurar la computadora portátil de un ejecutivo?

Lo más importante que puedes hacer es entrenar a los usuarios. La mayoría de los compromisos dirigidos son el resultado de usuarios estúpidos. No importa qué tan seguro pueda hacer el sistema cuando su PHB (bastardo de pelo puntiagudo) sigue el enlace falsificado de la dirección de correo electrónico de sus amigos a un sitio porno personalizado infestado de malware y hace clic en todos los cuadros de diálogo que ven.

Si no puede darse cuenta de la seguridad y cuáles son los usos apropiados de la computadora y hacer que el ejecutivo se involucre con eso, entonces no habrá esfuerzo adicional por su parte. Si puede obtener su aceptación e inversión para mantener el sistema seguro, entonces la mayor parte de lo que describió está bien.

Otra alternativa es darle una conexión a Internet siempre y usarla como un terminal tonto para una máquina virtual alojada dentro de la red de la compañía. Eso es un poco más costoso y un poco más molesto, pero es aún más seguro, ya que no tiene que preocuparse de si la computadora portátil puede ser pirateada si se pierde porque no habrá nada en la computadora. vale la pena robar.

Haga que un técnico configure Windows en Qubes y enseñe al ejecutivo a separar actividades confiables y no confiables / personales (haga clic con el botón derecho - abrir los enlaces de "diversión" de los colegas en la VM desechable o reenviar a una dirección de correo personal antes de abrir). La configuración de Qubes puede ser bastante técnica, su uso se basa principalmente en el pegado de copias seguro y en dónde abrir / hacer accesible qué archivo, la molestia adicional es mínima. Puede obtener una frase de contraseña fácil de recordar (no una contraseña) y una bóveda con un administrador de contraseñas. Cada dominio puede incluso guardar sus contraseñas en Firefox / Chrome / lo que sea. Deje que use Java o lo que sea en una máquina virtual desechable. Si es práctico, por supuesto, dependerá, pero si sus datos son lo suficientemente valiosos, entonces será más práctico implementar esto y enseñar a su usuario que correr el mayor riesgo de perder los datos confidenciales al no hacerlo.

Siempre he tenido problemas con las "mejores prácticas", ya que la mayoría de esas "mejores prácticas" se escribieron en redes específicas, empresas y no en las mías. TODOS los negocios difieren e históricamente, vemos que las mejores prácticas no han hecho nada para frenar el compromiso. No estoy en contra de las mejores prácticas, creo que la gente no debería confiar en ellos como cualquier santo grial.

Nombró las mejores prácticas de primer nivel, por lo que señalaré lo que las personas tienden a perderse con respecto a las mejores prácticas.

FIREWALLS: Derecho. Ahora, cuántas personas implementan cosas como reglas bidireccionales o el registro de todos. Una cosa es "bloquear" el hecho de que China entre por la puerta, pero si lanza una regla de "estado", no hay nada que impida que la máquina inicie una conexión SALIDA a China. Las reglas y políticas con respecto a los firewalls deben colocarse en ambos lados de la cerca.

Piense en esto por un minuto, tiene una computadora portátil para un ejecutivo que se va de viaje de negocios. Cuáles son sus objetivos durante ese viaje. ¿Tal vez para hacer una presentación, en la que necesite conectarse con y desde la empresa para hacer una presentación o un discurso? Una regla, hacia y desde, bloquea todas las demás. No es que necesites llegar a ese extremo, pero los firewalls suelen estar mal configurados, son inútiles.

Antivirus: hace poco por los ataques de destino, ya que muchas firmas de amenazas avanzadas ni siquiera se crean. Una herramienta más efectiva sería algún tipo de notificación cuando el ejecutivo está de viaje. Por ejemplo: "Su máquina está iniciando una conexión a (REALIZAR UNA LOOKUP DE WHOIS QUE PUEDE ENTENDER) y está intentando acceder a ESTE DATO"

La actualización de todo el software no se defiende (no me gusta este término): 0 días de ataques.

El cifrado de la computadora portátil (por ejemplo, con Truecrypt) no funcionará si su ejecutivo EXIGE que su contraseña sea simple.

Hay métodos para defenderse contra los ataques de tipo APT, sin embargo, la mayoría son bandasidas. Digo esto porque la mayoría de las personas son la causa de los ataques. Abriendo correos electrónicos de phishing, visitando sitios que no deberían visitar. Reemplace Adobe Acrobat con, por ejemplo, Foxit, elimine flash, bloquee java + javascript, cámbielos a Chrome usando un proxy, y vea qué tan lejos van los ataques. Al mismo tiempo, intente lidiar con las quejas de los ejecutivos de alto nivel que quieren "abrir este momento" contra la seguridad. Resuelve ese problema y te preocuparás menos por las amenazas tipo APT.