Prezi logo
Entrar
Cargando…

Säkerhet ITC

Button to report this contentButton to embed this content on another site
Crea la tuya con IA
AA

Andreas Ahrens

Transcripción
  • Informationen är mer värd än datorn
  • Om backup ej finns, förloras arbete

Lösningen är Full hårddiskkryptering och Offline folders.

  • Större virusrisk och risk för medveten nedsmittning som lokal admin
  • Keyloggerrisk, cached credentials
  • Vid intrång i DMZ kan man komma vidare

  • Ingen bör vara admin med sitt vanliga konto
  • Separata administratörskonton för Servers och Klienter
  • Minst 15 tecken för serveradmins
  • Samma regler gäller servicekonton
  • Olika lösenord internt och i DMZ
  • Om en okänd dator ansluter, vet vi då om det?
  • Kan de komma åt nätverket?

  • Enkla, specialiserade lösningar till komplexa IPS-lösningar
  • Domain isolation och IPsec spärrar alla ute från domänen
  • En server med många roller har många attackvektorer

  • Varje server ska idealt ha en roll
  • Varje servertyp i eget OU, group policys appliceras automatiskt som härdar servern
  • Är information säkerhetsklassad? Vet vi vad det är vi ska skydda?
  • Vilka har tillgång till konfidentiell och hemlig information?
  • Kan avskedade fortfarande nå denna information?

  • Principen om minimala rättigheter
  • Separata servicekonton för varje tjänst
  • Rutin för omedelbar nedstängning
  • Korta lösenord är lätta att knäcka
  • I förlängningen är lösenord ej tillräckligt
  • (I nuläget begränsas vi till max 10 tecken pga AS/400)

  • 8 tecken ger 1300 gånger större keyspace än 6 tecken
  • Med WS2008, olika lösenordsregler för olika grupper
  • Keepass safe för lösenordshantering
  • Smarta kort med tvåfaktorsautentisering

Loggning

Nätverksscanning

  • Vid angrepp, kommer vi märka det?
  • Kan vi säkra bevis?
  • Vi bör ha separat loggserver, utanför domän, med SQL-server
  • Restriktiv tillgång
  • Separat konto i SQL för läsning av huvuddatabasen, kan skapa vyer i separat DB
  • Rapporter som meddelar IT-avdelningen när något inträffar
  • Söker av öppna portar
  • Upptäcker sårbarheter

Statistik

Diskussionspunkter

Vinster med nedlåsning

  • Vilka sårbarheter har varje koncernbolag?

  • Hur minskar vi beroendet av varandra och bristerna som kommer med sammankoppling?

  • Vilka förbättringar kan göras direkt?

  • Var vill vi vara om 1 år?

Inget nätverk är starkare än svagaste länken

Nedlåsta datorer säkrar inte bara upp företaget. Det ger dessutom ekonomiska besparingar. Enligt Gartner kostar en öppen dator 33 100 i totala ägarkostnader över livstiden, medan en tungt nedlåst dator kostar 20 500.

Besparingen finns främst i slutanvändarkostnad (utbildning, felsökning och nedtid) men även administration och support

SRP och Applocker

  • Borttappad laptop
  • Software Restriction Policy 2003 & 2008
  • Applocker 2008 R2 + Windows 7 Enterprise
  • Båda produkterna hindrar program från att köras, utom de man specificerar som tillåtna
  • Applocker är kraftfullare, kan styra version
  • USB-stickor
  • Känslig information på borttappade stickor
  • Eventuella trojaner på upphittade stickor

  • Krypterade USB-stickor, centralt hanterade
  • Filter för vilka stickor som kan anslutas
  • Brandvägg
  • Uppdaterade?
  • Default allow?
  • För öppet mellan koncernbolag?
  • Tillåts verkligen bara det som behövs?

  • Default Deny, gäller allt från brandvägg och behörigheter till USB-stickor och vilka program som får köras
  • Via dubbla brandväggar
  • Penetrationstest, internt och externt
  • WSUS för Windows och övriga Microsoftprodukter
  • Secunia söker av samtliga program
  • Applikationsvirtualisering bättre än lokal patchhantering
  • Opatchade datorer

Säkerhetspresentation IT-chefsmöte

  • Administratörsrättigheter
  • Okända datorer i nätverket
  • Servers med många roller
  • För stora behörigheter
  • Svaga lösenord
  • Klartext
  • Enkelt att avlyssna med ARP-Poisoning
  • Använd nätverks-autentisering
  • Okrypterad RDP
  • Fysisk säkerhet
  • Anonyma besökare
  • Många ansikten att komma ihåg
  • Kameraövervakning vid entréer?
  • ID-kort för besökare?

Shoulder surfing

Dumpster diving

Lättillgängliga lösenord

Konsekvenserna av bristande säkerhet

  • 20% av de vars kunduppgifter stulits från ett företag slutar handla hos företaget (IDG)

  • Dataintrång kostar 55 miljoner, merparten är förlorade affärer. Slarv är orsaken i 88% av fallen (IDG, Ponemon)

  • Dataläckor kostar 615-2086 kr/kund. (Upptäckt, information, förlorad produktivitet, förlorade kunder, böter) (Forrester)

Drive by download på Expressen

Drive by download

Två iframes som laddar goodtraff.biz och x-traffic-biz

2009-03-20 upptäcktes skadlig kod på Expressens vädersajt. Inget vet hur länge den hade legat där.

Koden använde en gammal trojan vid namn downloader som använder en lucka i Adobe Reader

Alla som hade gammal AR och XP eller lägre drabbades

Expressen hade sålt annonsplats till en förmedlare som hade sålt vidare till ett företag som lade in det skadliga javascriptet

Av alla sajter som sprider skadlig kod är 80% fullt legitima sidor som blivit hackade, enligt Niklas Eklöv på McAfee

Bara genom att besöka sajten infekteras man med ett antal olika trojaner

–Email-Worm.Win32.Agent.l,Rootkit.Win32.Agent.dw, Rootkit.Win32.Agent.ey, Trojan-Downloader.Win32.Agent.cnh, Trojan-Downloader.Win32.Small.ddy, Trojan-Proxy.Win32.Agent.nu, Trojan-Proxy.Win32.Wopla.ag, Trojan.Win32.Agent.awz, Trojan-Proxy.Win32.Xorpix.Fam, Trojan-Downloader.Win32.Agent.ceo, Trojan-Downloader.Win32.Tibs.mt, Trojan-Downloader.Win32.Agent.boy, Trojan-Proxy.Win32.Wopla.ah, Trojan-Proxy.Win32.Wopla.ag, Rootkit.Win32.Agent.ea, Trojan.Pandex, Goldun.Fam, Backdoor.Rustock, Trojan.SpamThru, Trojan.Win32.Agent.alt, Trojan.Srizbi, Trojan.Win32.Agent.awzEmail-Worm.Win32.Agent.q, Trojan-Proxy.Win32.Agent.Rrbot, Trojan-Proxy.Win32.Cimuz.G, SPY_AGENT.AAVG, Trojan.Netview