Cómo proteger a los VIP de la empresa

5

Medio ambiente: pequeña empresa de ingeniería (< 50 empleados) y todos son administradores locales en su computadora, incluidos todos en el grupo de administración.

Configuración: Algunas características de seguridad estándar están implementadas: NGFW, (N) IDS, (H) IDS, DLP, red segmentada, antimalware en cada cliente, FW local, actualización de Windows, automatizado Tercera actualización de software en cada cliente, política de bloqueo, agentes OSSEC en todos los servidores.

Problema: cuando el malware alcanza (y lo hace!) la infección es mucho peor cuando el usuario es administrador.

Se buscó una solución: proteja a las personas VIP en el grupo de administración de una infección de malware (o más bien: malware que infecta toda la computadora). Ya que están en alto riesgo de ser "pescados con lanza"

El primer paso es, por supuesto, hacerlos usuarios estándar. Hasta ahora todo bien, pero exigen derechos de administrador en caso de que lo necesiten (sin llamar al servicio de asistencia). Estoy dispuesto a darles esto en un período de transacción, pero no puede ser tan fácil como darles una cuenta de administrador local, ya que lo más probable es que solo usen esa cuenta todo el tiempo. Estoy pensando en algún tipo de solución OTP o similar para darles un obstáculo lo suficientemente grande como para superar si es absolutamente necesario que sean administradores. Sugerencias?

Me doy cuenta de que las infecciones de malware seguirán siendo un problema para el grupo de ingeniería, pero ese es un proyecto futuro.

    
pregunta user1298720 12.01.2015 - 16:55
fuente

6 respuestas

1

Estoy de acuerdo al 100% con la mayoría de las otras respuestas que dicen que debes proteger a los VIP de ellos mismos; los peores problemas que he visto provienen del director o la gerencia de nivel C haciendo cosas como hacer clic en el virus "I Love You" en su cuenta de correo electrónico del trabajo.

Dicho esto, hay una línea muy fina en el camino para asegurar los datos de la compañía que, cuando se cruzan, activan el proceso de actualización del currículum. Debe educarlos y ayudarlos, y tratar de resolver el objetivo comercial dentro de las restricciones comerciales.

  

Hasta ahora todo bien, pero exigen derechos de administrador en caso de que lo necesiten (sin llamar al servicio de asistencia).

Este "en caso de que lo necesiten", ¿esperan (formalmente) que sea a menudo? Si esperan que sea raro, entonces no deberían necesitar su inicio de sesión principal para tenerlos, lo que le deja una variedad de opciones. Necesitará utilizar su conocimiento de ellos y de su empresa para defender cualquier otra cosa que no sea "Solo otorgue derechos de administrador de dominio a nuestras cuentas principales todo el tiempo".

  • Si solo necesitan esto cuando están en la oficina, y quizás cuando solo uno de ellos esté disponible, ponga un nombre de usuario y contraseña de administrador de dominio en una caja fuerte, tal vez con un antiguo sello de cera en el sobre, etiquetado "Interrupción en caso de administración" o lo que le guste a su empresa.
    • Audite los inicios de sesión para ese uso regularmente; preferiblemente, configure un correo electrónico automático en uso.
    • Audita el sobre regularmente.
    • Clase avanzada: se requieren dos claves, no solo una, quizás una unidad de disco encriptado Apricorn o similar.
      • Lo has adivinado, TODAVÍA coloca la memoria USB en un sobre sellado.
  • Si lo necesitan de forma remota, y cuando solo uno de ellos lo necesita, PERO cuando pueden comunicarse con otro (teléfono, correo electrónico, etc.), entonces tiene una opción exótica (con otros beneficios).
    • Lea ¿Existe un algoritmo para dividir de forma segura un mensaje en x partes que requieren al menos y partes para volver a ensamblar?
    • Implemente uno de esos algoritmos y deje que la administración decida qué deben ser X e Y.
      • Anímelos a que Y sea estrictamente mayor que dos.
      • Tenga en cuenta que NO es necesario que se pongan en contacto con el servicio de asistencia técnica, pero si uno de ellos necesita derechos de administrador para hacer algo, esta técnica requiere que al menos otros miembros del equipo de administración Y-1 aprueben su acceso (o pierdan su parte clave, cualquiera que sea).
      • En el caso ideal, también significa que quienquiera que esté lidiando con el problema crítico tiene al menos otras personas Y-1 para rechazar una idea, ayudarles o, al menos, saber algo sobre lo que sucedió el incendio. mañana siguiente.
    • Audite los inicios de sesión para ese uso regularmente; preferiblemente, configure un correo electrónico automático en uso.
    • Tenga en cuenta que los productos de cifrado de gama alta como Vormetric utilizan esta técnica para dividir la clave de cifrado para sus propias copias de seguridad de HSM (Módulo de seguridad de hardware).
  • Si todo lo demás falla, entrégueles dos cuentas; una cuenta normal con la contraseña mínima normal, probablemente muy débil de 8 caracteres ... y una cuenta de administrador de dominio con una contraseña "más segura" de 15 a 20 caracteres.
  • Mezclar y combinar.

Tengo un poco de curiosidad acerca de la parte "sin contactar al servicio de asistencia" de sus requisitos; ¿El personal de ayuda no tiene personal suficiente, existe una mentalidad de silo / feudo, fricción personal o algo más? Es posible que desee intentar abordar esto también.

    
respondido por el Anti-weakpasswords 13.01.2015 - 06:53
fuente
7

Este es un problema común, y lo único que debe tener en cuenta es que InfoSec sirve a la empresa . Su equipo de gestión dirige la empresa, por lo que sus necesidades son las necesidades de la empresa.

Su trabajo es educar, educar, educar, no solo con detalles técnicos, sino también con impacto financiero y análisis de riesgos. Pero, al final, es su decisión.

Si aún deciden mantener los derechos de administración local, entonces debe tener un plan establecido para mitigar los riesgos de que eso suceda y educarlos sobre los costos y riesgos de ese plan.

Como gente técnica, puede ser fácil predicar la "mejor práctica", pero los intereses de la compañía deben ser atendidos, incluso si no está de acuerdo con ello. Educar, construir relaciones y crear planes de respaldo, pero al final es el llamado de la administración.

    
respondido por el schroeder 12.01.2015 - 21:32
fuente
3

Emita dos computadoras portátiles: de propósito general y de alta seguridad.

La computadora portátil de propósito general es algo así como lo que usted describe, un equilibrio entre seguridad y facilidad de uso. De hecho, sus pasos de seguridad son bastante buenos, ciertamente mejores que el promedio. Con suerte, mantendrás alejados los virus comunes, pero nunca detendrás a un atacante avanzado.

La computadora portátil de alta seguridad es solo para acceder a sistemas internos y realizar trabajos delicados. No hay acceso a la navegación web, por lo que no hay margen para el malware basado en navegador. Lo corta por completo, excepto una conexión VPN a la base. Permitir el acceso a un almacén de documentos interno que es sólo para los VIP. También es posible que tenga un sistema de correo electrónico cifrado seguro (haga una pregunta por separado para obtener más detalles).

Esencialmente, este es el espacio vacío de la computadora portátil, aunque no es un espacio de 100%. Potencialmente, puede hacer esto en una sola computadora portátil, utilizando la virtualización o clientes ligeros. Tales implementaciones son raras, pero estoy empezando a verlas en entornos comerciales.

    
respondido por el paj28 12.01.2015 - 22:50
fuente
2

Si trabajas en algún lugar con alguien en la parte superior dispuesto a respaldarte cuando dices "no", las respuestas de restringir la administración son las mejores. Por otro lado, si el propietario / CEO insiste y no pueden ser disuadidos, entonces se pueden necesitar estrategias menos efectivas.

La mayoría de las otras respuestas son mejores, pero me gustaría agregar un buen enfoque del que me hablaron.

El CEO tiene sus cuentas de usuario normales con las que puede iniciar sesión y también obtienen una cuenta de administrador y una contraseña con el inicio de sesión desactivado (para evitar que lo utilicen como su cuenta normal), pero que se puede usar para cuando el usuario quiere elevar algo.

Las cuentas y contraseñas eran variaciones en este tema:

Nombre de usuario: "Esto es un virus" Contraseña: "RunVirusNow! - & FDK £) S * SJK"

En el caso de la persona que cuenta la historia, los problemas con infecciones disminuyeron drásticamente, ya que los usuarios tenían que tener esto en su cara antes de poder ejecutar cualquier cosa que, de hecho, los hizo pensar por un momento.

    
respondido por el Murphy 13.01.2015 - 12:03
fuente
0

En esta situación, lo que haría es:

Haz un dominio de AD, El equivalente de Linux es Kerberos y OpenLDAP. Hacer toda la infraestructura, y también da a los usuarios el derecho de instalar y desinstalar el software. pero tiene un Firewall que tiene bloqueo de IP. Implemente las políticas que mejor se adapten a la forma en que las personas inteligentes de Tech están con sus computadoras; por supuesto, deberá impulsar la combinación de dominios de Active Directory que podría hacer con este script: enlace . También tenga un Endpoint Antivirus y realice copias de seguridad constantes de los escritorios. Personalmente creo que esta es la mejor solución y la más a largo plazo;)

Solución Numero 2:

Implementar máquinas virtuales (ver en P2V) en todas las computadoras, y hacer instantáneas automáticas, cada hora, y retroceder si ocurre algún virus. En mi humilde opinión, el mejor visor hiperactivo para esto es Hyper-V.

    
respondido por el Ersats 12.01.2015 - 22:08
fuente
0

Le sugeriría una máquina de arranque dual aquí, donde una partición de Linux en vivo y cifrada contiene todo lo que necesita para acceder a elementos confidenciales, y una partición de Windows de propósito general en la que tiene acceso total de administrador, pero no acceso a cosas.

Dado que la partición sensible es de solo lectura, no importa qué virus reciba, nada puede afectar a la partición cifrada.

Sugeriría darles a sus empleados esto, precargado con un sistema operativo Linux en vivo y eventualmente información sensible estática (como contraseñas y demás). enlace esta memoria USB se puede configurar para permitir solo el acceso de solo lectura a menos que se use un PIN de administrador. También puede especificar tiempos de espera y tal. Entonces, la memoria será completamente invisible para el sistema operativo host a menos que se ingrese un PIN, y cuando se ingresa el PIN, solo se permite el acceso de solo lectura. Luego ingrese-PIN - > Iniciar computadora = arrancar en modo seguro. Simplemente inicie computer = Boot en modo inseguro.

Entonces estás 100% seguro. Como nada puede afectar a la memoria de solo lectura, puede estar seguro de que incluso si la partición de Windows está llena de virus, nada puede afectar a la partición segura.

    
respondido por el sebastian nielsen 13.01.2015 - 05:18
fuente

Lea otras preguntas en las etiquetas