Vraag:
Wat kan een bedrijf doen tegen insiders die schurken gaan plegen en een negatieve invloed hebben op essentiële infrastructuur?
Nzall
2016-07-28 17:08:26 UTC
view on stackexchange narkive permalink

In 2013 kreeg een Citibank-medewerker een slechte prestatiebeoordeling die hem afvinkte. De resultaten waren verwoestend:

Specifiek om ongeveer 18:03 uur. Die avond stuurde Brown willens en wetens een code en een commando naar 10 kernrouters van het Citibank Global Control Center en door die code te verzenden, wist hij de actieve configuratiebestanden in negen van de routers, wat resulteerde in een verlies van connectiviteit met ongeveer 90 procent van alle Citibank-netwerken in Noord-Amerika.

Nu is er een vraag over het beveiligen van een netwerk tegen aanvallen van binnenuit, maar die vraag sluit expliciet uit dat insiders schurken gaan plegen. Er is ook een vraag over het beschermen van een database tegen insiders, maar dat betreft problemen op hoog niveau.

Ik lees ook Wat is de procedure die moet worden gevolgd tegen een inbreuk op de beveiliging ?, maar de meeste antwoorden daarop zijn gebaseerd op het feit dat de insider een werknemer is die is ontslagen. Ik vraag naar iemand die nog niet is ontslagen. Ze hebben mogelijk een slechte prestatiebeoordeling gehad, maar zijn nog niet beëindigd. Ze zijn misschien gewoon ontevreden over iets dat hun partner heeft gedaan, of ze zijn misschien ergens van streek geraakt.

Het probleem dat ik hier beschrijf, is een groot bedrijf waar een gebruiker die niet tevreden is over zijn baan, een bepaalde dag en geeft systeembrekende commando's uit die ze de volledige rechten hebben om uit te geven. Dingen als het wissen van machines, het fysiek beschadigen van essentiële infrastructuur, ... puur technische storing, niets zoals het lekken van e-mails of geheimen. Het doel is om zoveel mogelijk schade aan te richten aan de infrastructuur om er met een knal op uit te trekken.

Het artikel geeft een paar vluchtige vermeldingen van dingen die gedaan moeten worden, maar niets concreets. Welke dingen kunnen worden gedaan om te voorkomen dat plotselinge malafide insiders een negatieve invloed hebben op essentiële infrastructuur met behulp van technieken die ze mogen gebruiken?

Een goede behandeling van uw werknemers kan een van de strategieën zijn.Het geld dat u uitgeeft om ze gelukkig te maken, zal veel minder zijn dan het bedrag dat u aan disaster recovery uitgeeft als ze ongelukkig zijn.
Relevant: http://serverfault.com/questions/753268/linux-productive-sysadmins-without-root-securing-intellectual-property/753419#753419
Heeft u een [grote 5] (https://www.youtube.com/watch?v=y4GB_NDU43Q)?
Quis custodiet ipsos custodes?Het kunnen helemaal geen schildpadden zijn.
@JaredSmith De tweemansregel vereist nog maar één schildpad.Hoewel het een * schildpad * vereist, en die misschien niet snel genoeg gaan voor uw bedrijf
@Tyrsius het echte probleem is, zoals Gowenfawr liet doorschemeren, dat mensen die slim genoeg zijn om technische schade aan te richten, worden verondersteld slim genoeg te zijn om geen gemakkelijk traceerbare misdrijven te plegen waardoor ze worden vervolgd en gevangen gezet, waardoor de tweemansregering onnodig zwaar wordt.En over het algemeen zijn ze dat ook.Maar jongen hoe de uitzonderingen ...
Indoctrinatie?
Arme kerel ... hij kon zijn gevangenisachtige baan niet tolereren, nu krijgt hij er een die * echt * gevangenisachtig is.
We hadden een soortgelijke ervaring met onze eerste webhost in 2000. Een ontevreden werknemer haalde hun switch-routeringstabellen door elkaar (zoals mij werd verteld) en ze konden het dagenlang niet oplossen.Het zette hen failliet!We konden onze bestanden alleen ophalen toen ik de host overtuigde om onze server aan te sluiten op hun ADSL-lijn.
Een eenvoudige manier is om willekeurige chaostests van uw live systemen uit te voeren of te ontwerpen.Als een team tijd besteedt aan het zoeken naar alle manieren waarop uw systeem (en) niet geschikt zijn voor catastrofale faalpunten, zult u waarschijnlijk faalpunten zoals deze identificeren.Geef sommige mensen een, ah, missie om manieren te vinden waarop het bedrijf wordt gesloten en ik wed dat u enkele goede procedures / beleidsupdates vindt.
@AndréBorie Ik vind dat een beetje een naïeve uitspraak om te maken.Zelfs als je ze "goed behandelt" in een bedrijf als Citibank dat zo'n 250.000 mensen in dienst neemt, heb je vast en zeker veel rotte appels die denken dat ze hoe dan ook mishandeld worden.
@DavidGrinberg is waar, maar dat betekent niet dat u ze niet goed moet behandelen om op zijn minst het risico te verkleinen dat iemand uw bedrijf verpest.Uiteraard moeten technische maatregelen om malafide werknemers te voorkomen ook worden gebruikt, maar met mate, zodat ze het werknemers niet te moeilijk maken om hun legitieme werk te doen.
Ik zou een gedeeltelijke netwerkstoring niet verwoestend noemen.Ik zou dat woord reserveren voor ergere incidenten, zoals gevallen waarin gegevens onherstelbaar verloren of beschadigd zijn geraakt.Gezien de zeldzaamheid van dergelijke gebeurtenissen, de aanzienlijke kosten om ertegen te beschermen en de beperkte schade - zou ik zeggen dat het waarschijnlijk niet de moeite waard is om ertegen te beschermen.Zolang u beschermd bent tegen blijvend verlies (of corruptie) van gegevens, bent u waarschijnlijk zover gegaan als redelijkerwijs verwacht mag worden.
Vind mensen met integriteit.
@AndréBorie Ik ben het ermee eens dat goed behandelde werknemers minder fouten maken en zouden kunnen rapporteren als er iets niet klopt, maar is het voldoende bescherming tegen schurken?
@aitchnyu moeten waar mogelijk ook technische oplossingen worden gebruikt, maar soms zouden deze oplossingen hun productiviteit zo sterk verminderen dat het meer aan verloren tijd kost om dat beleid te implementeren dan om het risico te nemen (en misschien heeft een dergelijk incidentelke 10 jaar).
Negen antwoorden:
gowenfawr
2016-07-28 17:49:55 UTC
view on stackexchange narkive permalink

Welke dingen kunnen worden gedaan om te voorkomen dat plotselinge malafide insiders een negatieve invloed hebben op essentiële infrastructuur met behulp van technieken die ze mogen gebruiken?

In de praktijk heel weinig . Maar om uit te leggen waarom, laat me het hebben over wat u kunt doen.

Het probleem hier is dat de gebruiker "geprivilegieerd" is - ze hebben de macht legitiem gekregen.

Er zijn enkele dingen die kunnen worden gedaan om de macht die aan legitieme gebruikers wordt gegeven te beperken, zelfs aan bevoorrechte beheerders:

  • Controle over beschikbare commando's met zoiets als sudo of PowerBroker.
  • Dubbele controle (de "twee-man regel" @ paj28 beschrijft
  • Workflow-controles (wat vaak een vorm van dubbele controle is)

Nu worden deze controles veel minder gebruikt dan ze zouden kunnen zijn. Waarom? Omdat bevoorrechte gebruikers per definitie worden vertrouwd . Dus ik zeg heel weinig , niet omdat er geen controles zijn, maar omdat de kosten-batenverhouding van dergelijke controles bij toepassing op vertrouwd personeel niet voldoende is om het te rechtvaardigen.

Merk ook op dat de aanvalsvector hier 'in het sanitair' was - als Citibank dubbele bediening heeft, zijn ze waarschijnlijk concentreerde zich op zaken als overboekingen, terwijl deze aanval op de knieën kwam en het onderliggende netwerk gewoon platlegde. Deze essentiële maar stille systemen hebben vaak kleinere kringen van bevoorrechte gebruikers en minder buitensporige controles.

De echte mislukking hier was niet dat er geen technische controles waren, maar dat de personeelscontrole jammerlijk faalde. Het is standaardpraktijk om de toegang van bevoorrechte werknemers in te trekken voordat ze worden beëindigd. Degene die besloot dat een dergelijke voorzorgsmaatregel niet nodig was bij het introduceren van een conflict met een bevoorrechte werknemer, gebruikte een slecht beoordelingsvermogen.

(Het bedrijf paste ook bestraffende controles toe - de aanvaller is nu veroordeeld tot bijna 2 jaar gevangenisstraf en moet bijna $ 80.000 betalen. Zoals het artikel aangeeft, lossen die dingen dit allemaal niet op.)

Ik denk niet dat de personeelscontrole hier is mislukt.Nergens staat dat de werknemer is ontslagen.het was gewoon een slechte prestatiebeoordeling.
Personeelsbeheer van @Nzall moet gedrag, beoordelingen, berisping en beëindiging omvatten - het is een mislukking als er alleen maar aan wordt gedacht met betrekking tot beëindigingen.Vertrouwen van mensen zou niet een binair (ja-of-nee) ding moeten zijn.
Ik ben het ermee eens dat personeelsmanagement meer is dan alleen ontslagen, maar de persoon was nog steeds in dienst, dus hij had die privileges nodig om zijn werk te doen.Hij was nog niet ontslagen, dus het intrekken van zijn privileges kan eigenlijk worden gezien als een belemmering voor zijn vermogen om zijn werk te doen.
@Nzall die tijdelijk zijn privileges intrekt en hem voor het weekend naar huis stuurt om te overwegen dat zijn recensie hem de afkoelingsperiode zou hebben gegeven om te vermijden wat er uiteindelijk zou gebeuren ... vertrouwen is relatief;als je de man met drie slechte recensies net zo vertrouwt als de man met drie lovende recensies, wat heeft het dan voor zin om recensies te hebben?
De man met drie lovende recensies kan allemaal hetzelfde kraken als de man met drie slechte recensies.Vertrouwen afhankelijk maken van hoe iemand presteert, klinkt gevaarlijk en kan in sommige gevallen overkomen als vriendjespolitiek.
-1 Om net te doen alsof de werknemer is ontslagen.De werknemer kreeg alleen een recensie.Ik ben het eens met de opmerkingen van @Nzall.Uw tweede opmerking is een mogelijk antwoord, maar hoe beslist u dan wanneer u privileges wilt intrekken?Doe je het bij elke negatieve recensie of bij de tweede of derde?En hoe vermijd je de bitterheid en de giftige omgeving die de werkgever zelf langzaamaan kan creëren?
Wat gebeurt er als ik een volkomen goedbedoelende werknemer ben die om de een of andere reden een slechte recensie krijgt ... en dan worden mijn privileges ingetrokken omdat de werkgever me eerder vertrouwde, maar niet meer.Zonder zo'n "degradatie" heb ik misschien geprobeerd erachter te komen wat er mis was met mijn prestatie en heb ik harder gewerkt om het op te lossen.Maar nu voel ik me een beetje bitter en wrok en nu wil ik misschien terug naar het grote kwaadaardige bedrijf."Dit zou kunnen resulteren in een self-fulfilling prophecy" is mijn punt.
Dit is het antwoord.Er is echt niet veel dat je kunt doen, ongeacht wat er ooit iemand is die over de juiste machtigingen beschikt om een dergelijke zet te doen.Er is geen echte manier omheen.
Vrijwel zeker dacht de gebruiker in dit geval dat het systeem was mislukt en dat hij vond dat hij beter had moeten worden en dat hij zich waarschijnlijk uitgekozen voelde.Misschien was toezicht op beoordelingen een goed idee geweest.Als een beoordeling aan de manager van de manager moet worden beschreven voordat deze invloed heeft op de werknemer, is uitkiezen moeilijker en lijkt het moeilijker.Dit veronderstelt dat de werknemer op zijn minst enigszins mentaal stabiel was, een medisch paranoïde persoon zou waarschijnlijk niet alle netwerken moeten beheren.Achtergrondcontroles en gezondheidsonderzoeken zouden daarbij moeten helpen.
@gowenfawr - Wat suggereert u dat ze doen?De dag voordat prestatiebeoordelingen worden vrijgegeven, de machtigingen van iedereen verduisteren?En hoe lang laat het verduisterd?En waarmee kan worden voorkomen dat een werknemer die een slechte beoordeling heeft gekregen, gewoon wacht tot de black-out is afgelopen voordat hij wraak neemt?Ik denk dat het erop neerkomt dat als je niet vertrouwt dat je werknemer (s) _niet_ wraak nemen op een slechte prestatiebeoordeling, het tijd is om te stoppen;en als het geen tijd is om te beëindigen, dan is het ook geen tijd om willekeurig hun privileges, tijdelijk of anderszins, in te trekken.
Met betrekking tot de hele "ontslagen werknemers zouden toegang moeten hebben ingetrokken [..] 'maar hij was niet beëindigd'", merkt het artikel op dat de man zei: "ze waren me aan het ontslaan."Dus misschien is een van de problemen de bedrijfscultuur die ervoor zorgde dat de werknemer dacht dat hij zou worden ontslagen (bijvoorbeeld als het bedrijf de reputatie had mensen met slechte prestatiebeoordelingen te ontslaan).Een alternatieve interpretatie is dat als het bedrijf hem zou ontslaan, ze dat onmiddellijk hadden moeten doen in plaats van hem een waarschuwing te geven waarvan hij misschien niet meer kon herstellen (raad hier).
paj28
2016-07-28 17:25:24 UTC
view on stackexchange narkive permalink

Twee-man regel - configureer uw systemen zodat voor alle geprivilegieerde toegang twee mensen nodig zijn.

Dit kan een fysieke controle zijn - geprivilegieerde toegang kan alleen komen van het NOC, en binnen het NOC handhaven mensen de regel fysiek.

Praktischer zou een scriptsysteem zijn. Sys-admins hebben niet rechtstreeks root-toegang, maar ze kunnen scripts indienen om als root te worden uitgevoerd. Ze worden alleen uitgevoerd nadat een afzonderlijke persoon het script heeft beoordeeld en goedgekeurd. Er zou nog steeds een methode moeten zijn voor SSH-toegang in geval van nood - en de tweemansregel zou in dat geval kunnen worden gehandhaafd met behulp van fysieke controles.

De NSA heeft dit geïmplementeerd na de Snowden lekt. Ik heb nog nooit een volledig tweemansysteem gezien in een van de commerciële of overheidssystemen die ik heb gecontroleerd - hoewel ik verschillende deelpogingen heb gezien.

Update - er is meer informatie over hoe u dit kunt implementeren op een afzonderlijke vraag.

Maar houd er rekening mee dat (robuuste) 2-man controle EXTREEM een hoge overhead op productiviteit heeft.We rekenden op ongeveer een factor 10, gezien de respectievelijke onderbrekingen die een behoorlijke SA gedurende een bepaalde dag zal verwerken.
@Sobrique - Ik weet het niet zeker over 10x, maar ik ben het ermee eens dat de overhead hoog is - althans in een naïeve opstelling.Als we echt slim waren in dingen, zou je de overhead naar beneden kunnen halen.bijv.alleen-lezen toegang tot logboeken is ok voor een enkele sys-admin tot initiële diagnostiek, ze hebben alleen een tweede paar ogen nodig om commando's te geven.
Het grootste probleem met een tweepersoonssysteem is dat het de overhead verhoogt.Laten we niet aannemen dat het maar 2 keer is.Over een periode van 5 jaar is het beter om het inkomensverlies voor de kleine storing te nemen dan om een tweede persoon te betalen.En dat gaat ervan uit dat het maar 2x zo duur is.Ik denk dat 10x in veel omstandigheden een beetje conservatief is.
@coteyr - Het Snowden-lek was meer dan een kleine storing, dus voor de NSA is de overhead de moeite waard.Ik denk echt dat je de mogelijkheid onderschat om op een slimme manier tweeman te doen en dat een goed ontworpen systeem meer als 25% overhead zou hebben.Ik vraag me af of ik hierover een aparte vraag moet stellen.
@paj28 Het zou een vraag zijn waarin ik geïnteresseerd zou zijn.
* Maar houd er rekening mee dat (robuuste) 2-man controle EXTREEM hoog is voor de productiviteit.We rekenden op ongeveer een factor 10, gezien de respectievelijke onderbrekingen die een behoorlijke SA op een bepaalde dag zal verwerken. * - ja.Beveiliging heeft kosten en die kosten moeten in evenwicht worden gebracht;verstoring / vertraging van de dagelijkse workflow wanneer er niets "misgaat" tegen het potentiële risico dat iemand bedrieger wordt.
Bedrijven die ik heb gezien, gebruiken de 2-man-besturing niet, in plaats daarvan is er een enorm labyrint van systemen waar iedereen maar een klein deel ervan onder controle heeft.Slechts enkelen hebben controle over grote onderdelen, en waarschijnlijk niemand in het algemeen.-> Het maakt niet uit, wie gaat schurken, hij kan niet al te grote problemen veroorzaken.Deze slechte bedrieger in het artikel veroorzaakte slechts een klein probleem, de routerconfiguraties zijn waarschijnlijk hersteld vanaf back-ups.Hij had waarschijnlijk geen invloed op de back-ups.En de mensen die de back-ups maakten, konden niets aan de routers doen.
@Sobrique Niet alleen hoge overheadkosten, maar zonder toezicht / controle van de auditor, ook vrij gemakkelijk en verleidelijk voor hen om te beslissen "Ik zal gewoon een script implementeren om automatisch alle ingediende scripts goed te keuren".En mogelijk nog steeds niet zo moeilijk voor een slimme aanvaller om te ondermijnen, bijvoorbeeld door een versluierde kwaadaardige opdracht te verbergen in een anders routinematig script.
Het scheiden van zorgen kan veel beter werken.Scheid vooral de 'back-up'-verantwoordelijkheid af en maak er iemands taak van om ervoor te zorgen dat ze in' goede staat 'zijn.
Daniel Darabos
2016-07-28 22:07:43 UTC
view on stackexchange narkive permalink

Een van de manieren is om te accepteren dat malafide acties niet kunnen worden voorkomen en ervoor te zorgen dat de schade kan worden hersteld. Zorg er bijvoorbeeld voor dat de routers een apart besturingsvlak hebben waarmee ze weer online kunnen worden gebracht. Zorg ervoor dat je alleen-lezen back-ups hebt (bijv. Off-site tapes), dus als iemand alle harde schijven wist, kun je de gegevens herstellen. Zorg ervoor dat gegevens en code snel kunnen worden teruggedraaid naar een bekende goede staat.

Deze voorzorgsmaatregelen zullen ook veel helpen in het geval van onopzettelijke fouten.

Ik denk ook dat lagen van redundantie de oplossing zijn.Vooral omdat ze ook veel * andere mogelijke problemen * oplossen.
Dit is het beste antwoord.U kunt een vertrouwde gebruiker er niet van weerhouden iets slechts te doen.Maar je kunt er vrij snel van herstellen.
@coteyr: dit antwoord maakt niet expliciet dat de geprivilegieerde gebruiker ook geen invloed kan hebben op het overtollige deel (koppel het besturingsvlak los, wis de back-ups uit).Het is iets dat benadrukt moet worden, want zonder ...
"alleen-lezen back-ups (bijv. off-site tapes)" Ik heb nog nooit een admin gezien die geweldig genoeg was om naar de off-site back-ups te teleporteren en die ook te vernietigen.
@coteyr - dus je hebt Mr Robot niet gezien?
Colin Cassidy
2016-07-28 18:28:42 UTC
view on stackexchange narkive permalink

Audit. In het bijzonder netwerkverkeer en uitgevoerde acties / bewerkingen op bepaalde machines. U wilt wie deed wat , wanneer ze het deden en van waar . Hoewel dit een aanval niet zal voorkomen, zal het helpen om dergelijke acties af te schrikken als de insider denkt dat ze zullen worden geïdentificeerd en gepakt.

Dan moet je ingaan op de kwestie van fraudebestendige controlemechanismen.

Als iemand echt kwaadaardige handelingen wil verrichten, zal de wetenschap dat ze gepakt zullen worden, vaak niet stoppen.Als mensen echt zouden worden tegengehouden door goede audits, zou het een veel besproken onderwerp zijn in het infosec-arsenaal.
Nee, het houdt hen niet tegen (en dat heb ik al zo vaak gezegd), maar als je wist dat je acties veilig werden geregistreerd, en op zo'n manier dat het gebruikt zou kunnen worden in een rechtszaak tegen je, zou je in ieder geval twee keer kunnen nadenken.Als je echt op de hoogte bent, zou je acties kunnen ontdekken die, hoewel niet kwaadaardig, maar acties kunnen zijn die 'het water testen' en weten wie die persoon was, en dat ze 'een slechte prestatiebeoordeling hadden', je kunt er vroeg bij zijnen mogelijk de genoemde kwaadaardige actie voorkomen
Dit geeft geen antwoord op de vraag, die specifiek gaat over het voorkomen van aanvallen van iemand die plotseling "snauwt".De persoon in kwestie is van plan betrapt te worden om een verklaring af te leggen.
Waarom hebben we bewakingscamera's?Waarom hebben we politie op straat?Geen van beide houdt de misdaad rechtstreeks tegen, noch zal het de vastberaden crimineel stoppen.En toch vermindert hun introductie de criminaliteit.Deze maatregelen zijn gewoon een ander hulpmiddel in een hele reeks hulpmiddelen om te helpen.Evenzo is het controleren van acties en operaties een ander hulpmiddel naast de andere die in deze vraag worden genoemd.
Het geeft echter NOG STEEDS geen antwoord op de vraag of het een nuttig hulpmiddel is of niet, je antwoord gaat over opruimen, zijn vraag gaat over preventie.
Afschrikking is een soort preventie
Ik denk dat het vrij duidelijk is dat de man in kwestie er niet aan dacht of hij gepakt zou worden, of dat het hem niets kon schelen.Hoe dan ook, meer audits zouden niet helpen.(Er zijn situaties die het kunnen helpen, maar ik vermoed dat het veel nuttiger is voor externe inbreuken.)
devSparkle
2016-08-01 01:07:58 UTC
view on stackexchange narkive permalink

De kwestie van het beschermen van een systeem of netwerk tegen een insider, in het bijzonder tegen de mensen wiens eigen taakomschrijving het creëren en beheren van een dergelijk systeem omvat, is altijd een lastige geweest.

Ten eerste, wat je moet begrijpen is dat het uiteindelijk volledig onmogelijk is om alle soorten aanvallen op een infrastructuur van binnenuit te voorkomen, omdat dat zou betekenen dat elk contact met de infrastructuur wordt beperkt, waardoor het bijzonder nutteloos wordt.

Er zijn echter manieren waarop we schade aan het systeem kunnen voorkomen en minimaliseren. Persoonlijk erken ik voor dit proces dat er drie fasen zijn:

  1. De tweemansregel
  2. De verantwoordingsregel
  3. Arbeidsverdeling

Deze processen vullen elkaar aan om elk systeem te beschermen tegen indringers die van binnenuit werken.

The Two-Man Rule

Laten we beginnen met de meest voor de hand liggende regel, de tweemansregel. Een belangrijk onderdeel van IT- en infrastructuurbeveiliging is ervoor te zorgen dat al het gedrag binnen het systeem identificeerbaar en gewenst is. Dit impliceert dat elke actie die binnen het systeem wordt ondernomen trusted is.

Als ik een voorbeeld hiervan laat zien, is mijn favoriete manier van uitleggen het Git-systeem van Forking and Pulling. In Git kan iedereen met toegang tot de repository (in dit geval The Infrastructure) een kopie maken. Vervolgens kunnen mensen met toegang een verzoek indienen om hun code in de repository op te halen. Om dit echter te laten gebeuren, moet de getrokken code worden geanalyseerd, gemarkeerd als compatibel en vervolgens geautoriseerd door iemand anders.

Hetzelfde kan worden gezegd en gedaan voor een beveiligde infrastructuur. Alle managementpersoneel kan de code wijzigen, maar om de wijzigingen in productie te laten gaan, moeten ze worden goedgekeurd door een of meer personeelsleden.

The Accountability Rule

Een ander veelvoorkomend probleem met bepaalde typen systemen en netwerken is dat er één beheeraccount is waarvan het wachtwoord bekend is bij alle leden met toegang. Het eerste probleem met verantwoording wordt hier aan de orde gesteld. Veel bedrijven vertrouwen in situaties waarin malafide leden ongeautoriseerde wijzigingen in de server aanbrengen, op primitieve methoden, zoals het controleren van het IP-adres van de machine, om te achterhalen wie mogelijk wijzigingen in het systeem heeft gepubliceerd. Dit kan eenvoudig worden opgelost door ervoor te zorgen dat iedereen zijn eigen account heeft en hen ervan bewust te maken dat hun wijzigingen worden gelogd.

Zoals vermeld in de laatste paragraaf, is loggen het tweede probleem. In dit geval komt de kwestie van vertrouwen weer aan de oppervlakte. Aangezien het lid vertrouwd is om bepaalde wijzigingen aan het systeem aan te brengen, registreert het systeem in de meeste gevallen de acties van de gebruiker niet goed.

Deze situatie is het perfecte punt om actie-verantwoording te implementeren . De beheergebruiker moet zich ervan bewust zijn dat niet alleen zijn / haar acties te allen tijde worden gevolgd tijdens het aanpassen van de infrastructuur, maar dat ze ook contractgebonden verantwoordelijkheden en sancties zullen hebben voor opzettelijke acties.

Arbeidsverdeling

Dit is een ander over het hoofd gezien concept in de meeste managementfuncties voor IT-infrastructuur. IT-teams hebben de neiging om hun taken te verdelen, maar het is niet ongebruikelijk dat de meeste gebruikers toegang hebben om elke taak uit te voeren.

De beste manier om dit te voorkomen is door specifieke systeembeheertaken toegewezen aan slechts twee personen (om gevallen te voorkomen waarin één persoon niet beschikbaar is). Terwijl andere gebruikers nog steeds wijzigingen kunnen verifiëren en goedkeuren, met behulp van de tweemansregel , kan slechts een handvol gebruikers die wijzigingen daadwerkelijk starten.

Persoonlijke suggestie

Een persoonlijke favoriete manier om systeembrede beveiliging te implementeren, vooral in grote zakelijke omgevingen, is het gebruik van 3 serversets. Alpha, Beta en Production, de eerste twee zijn een kloon van de laatste. Iedereen kan wijzigingen naar Alpha verplaatsen, we gebruiken dit systeem om te testen hoe het zou reageren in Productie. Beta is voor wijzigingen die zijn getest en klaar zijn om te worden geïmplementeerd. Om dit stadium te bereiken, moeten verschillende leden (~ 5) van de IT-afdeling de wijziging goedkeuren. In deze fase documenteert de IT-afdeling ook de wijzigingen en stuurt deze naar het management en als memo naar IT. Om Production te bereiken, moeten 3 vooraanstaande managementleden de wijziging goedkeuren met hun eigen accounts, die niet toegankelijk zijn voor de IT-afdeling.

Laatste opmerking

Zoals je misschien hebt opgemerkt, is dit geen gemakkelijk proces. Het implementeren van veel van deze ideeën zal de productie vertragen. Dit is een van de wezenlijke vragen van beveiliging. Hoe veiliger een systeem is, hoe moeilijker het wordt om te veranderen en aan te passen. Om uw bedrijf productief te maken, moet u een balans vinden tussen Beveiliging en Vertrouwen .

sebastian nielsen
2016-07-29 22:05:33 UTC
view on stackexchange narkive permalink

Door ervoor te zorgen dat commando's die de infrastructuur op zo'n manier negatief beïnvloeden, niet op afstand kunnen worden benaderd, kunnen alleen lokaal worden uitgevoerd.

Dit kan op meerdere manieren worden bereikt. Bijvoorbeeld de opdracht afsluiten niet toestaan. Een andere manier is om een ​​watchdog te hebben (hardwareapparaat dat verandering in beschikbaarheid detecteert) die de genoemde infrastructuur herstart of een herstelprocedure uitvoert als de infrastructuur onbereikbaar wordt.

Een derde manier is om externe toegang te verzekeren, door bijvoorbeeld bijvoorbeeld door KVM-Over-IP-oplossingen te gebruiken en deze bronnen vervolgens te koppelen aan besturingselementen die alleen ter plaatse kunnen worden gemanipuleerd. Dus als de infrastructuur plat ligt, kan deze gemakkelijk op afstand worden hersteld.

Natuurlijk is het belangrijk om back-ups te hebben van configuratiebestanden, belangrijke systemen en dergelijke. Aangezien configuratiebestanden zelden worden gewijzigd, zou ik zeggen dat een back-up van configuratiebestanden goed zou zijn om te doen na elke configuratiewijziging waarvan wordt besloten dat deze moet worden vastgelegd.

In het geval dat de infrastructuur moet worden losgekoppeld vanwege kritieke beveiligingsgebeurtenissen kan een noodsysteem worden gebruikt, dat de infrastructuur op een zodanige manier ontkoppelt dat het gemakkelijk door het management kan worden hersteld, zonder dat een bezoek ter plaatse nodig is.

Het probleem hier was echt niet die malafide medewerker. Wat als die werknemer precies hetzelfde deed, maar dan als een fout. Laten we zeggen dat het zijn bedoeling was om een ​​defect netwerkapparaat te repareren, zich niet realiserend dat de apparatuur offline zal worden gehaald na het wissen van een configuratie, en doet dat specifieke code &-commando dat in de vraag wordt genoemd, met de bedoeling om het configuratiebestand opnieuw te maken nadat het is gewist. gewist, maar na het uitvoeren van het commando, realiserend "oeps, kan geen verbinding meer maken met het apparaat".

En dus dezelfde soort schade veroorzaakt? Geloof me, ik heb dezelfde fout gemaakt, meestal met mijn eigen systemen, waarvoor ik toen de fysieke locatie van de apparatuur moest bezoeken. (maar in dat geval waren de dingen niet kritiek, maar als de systemen kritiek zijn, zou je er iets aan moeten doen)

Daarom moeten er beveiligingen bestaan, dus het is onmogelijk om dat soort schade op afstand te veroorzaken , opzettelijk of niet.

CBHacking
2016-07-30 04:38:52 UTC
view on stackexchange narkive permalink

Veel goede antwoorden hier, maar een die lijkt te ontbreken, is het Principle of Least Privilege (PoLP) omarmen. Als er geen legitiem gebruik is om de configuratiebestanden van de router te wissen, geef dan niemand toegang om dat te doen. Als er een legitieme use-case is, maar deze niet relevant is voor de dagelijkse activiteiten, moet u een goedkeuringsproces vereisen (en controleren) om dat privilege te verkrijgen (dit is in feite een variatie op de twee-man-regel die alleen van toepassing is op vooral gevoelige operaties).

Er zijn ook back-ups en fail-safes. Om het oorspronkelijke voorbeeld te nemen: als de configuratie van een router wordt gewist, moet deze terugkeren naar een niet-verwijderbare, failsafe-configuratie (en alarm slaan). Dit moet ook gebeuren als het een interne gezondheidscontrole niet doorstaat. Als alternatief, als u gezondheidscontroles heeft, kunt u het systeem laten terugkeren naar een "laatst bekende goede" -configuratie, in wezen zichzelf herstellen vanaf een back-up als er iets misgaat. Schrijftoegang tot deze failsafe / back-ups / gezondheidscontroles moet onder extreem strenge beveiliging staan ​​- niemand zou dagelijkse privileges voor hen moeten hebben, of dergelijke privileges gemakkelijk kunnen krijgen - zodat zelfs de meesten zeer vertrouwde insider kan ze niet eenzijdig omzeilen of overschrijven.

Uiteraard zullen al deze oplossingen kosten met zich meebrengen. Er is bijna altijd een afweging tussen beveiliging en het besteden van middelen (meestal omschreven als "gemak", maar de middelen kunnen ook tijd en / of geld zijn). Echt goede PoLP betekent dat niemand echte root (god-level) toegang krijgt tot iets, bijvoorbeeld, wat dingen vertraagt ​​voor mensen die waarschijnlijk kunnen worden vertrouwd met zoveel toegang (je kunt nooit echt weten ). Failsafe-code is moeilijker te schrijven dan code die alleen maar vertrouwt op alle commando's die worden ingevoerd vanuit een "betrouwbare" bron, zelfs als dat commando HCF is. Paranoia heeft zijn prijs ... maar die prijs kan wel eens lager zijn dan wat hij kost als je 90% van je netwerkconnectiviteit verliest.

Micheal Johnson
2016-07-30 22:59:37 UTC
view on stackexchange narkive permalink

Een enkele werknemer mag nooit de macht hebben om dergelijke wijdverspreide schade aan te richten. Dergelijke administratieve handelingen moeten altijd authenticatie door twee of meer afzonderlijke beheerders vereisen, waarbij het authenticatiesysteem alleen kan worden uitgeschakeld door de beheerders op het hoogste niveau.

In het geval dat het al is gebeurd, zou de werkgever elk recht om de werknemer te ontslaan.

peterh - Reinstate Monica
2016-07-31 07:04:56 UTC
view on stackexchange narkive permalink

In elk bedrijf dat ik heb gezien, waren er ook zeer strikte interne beveiligingsregels. We konden niets zien van andere projecten, alleen onze eigenlijke taken.

Als we tussen projecten / afdelingen verhuisden, werden onze rechten altijd nauwkeurig afgesteld.

Slechts een beperkt aantal van de sysadmins hadden toegang tot grote delen van de infrastructuur, ze werkten daar allemaal minimaal 5-10 jaar. Waarschijnlijk had niemand toegang tot het hele netwerk.

iets verbinden met het bedrijfsnetwerk zonder expliciete toestemming (het was zelfs hopeloos om dat te vragen) was altijd strikt verboden. Nadat ik mijn smartphone op de usb-poort had aangesloten (alleen om hem te laden), werd ik binnen 5 minuten door mijn collega gevraagd wat ik aan het doen was.

Onze computers / laptops werden aan ons gegeven, vooraf geïnstalleerd met de bedrijfscertificaten. Nadat we het bedrijf hadden verlaten, hebben we ze teruggegeven.

Er waren regelmatig veiligheidscontroles, deze werden gedaan door een extern bedrijf (-> niemand wist wat en hoe ze het deden). Ook onze software die we produceerden, werd door hen onderzocht.

Wat we hebben gedaan op het bedrijfsnetwerk, werd waarschijnlijk geregistreerd en geback-upt tot de etherniteit.

Als we dat hadden gedaan twijfelachtig, wisten we niet, hoe zullen logboeken worden opgeslagen en onderzocht. Nadat we het bedrijf hadden verlaten, werden onze computers ook op veiligheid gecontroleerd door het externe bedrijf, en waarschijnlijk werd er een back-up op sectorniveau gemaakt voor het geval van een later opkomend "probleem", om als bewijs te dienen.



Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...