Artikelkommentarer

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även poänglösa datorkrigsinlägg tas bort.

OBS! Läs dessa regler som gäller vid postning av inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även datorkrigsinlägg och inlägg som är utanför ämnet, kan tas bort.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla till redaktören, carl.grape@idg.se.

Läs mer om vår policy i diskussionsforum

Kommentarer till:

Lär dig tänka som hackern
- så skyddar du dig från intrång

Utmärkt artikel

2012-08-08 16:19

Fjollorna som envisas med byod och tillåts det av en svag IT-säkerhetspolicy är verkligen högrisk för företaget.

Speciellt smarta mobiler är farliga, där finns ju knappt säkerhetspatchning, antivirus och brandväggar, men massor med okända appar.

EN av mina kunder vägrar alla inklusive konsulter att plugga in externa maskiner i deras nät.

Christian Nissen

Utmärkt artikel

2012-08-08 17:44

Problemet är väl som vanligt med Windows. Det är satans svårt att konfa det korrekt. Alla virus fungerar som standard och sedan måste man sitta och lista ut vad man ska stänga av för att blocka det. På Home-editions är man dessutom körd hur som.

LordUnited

Utmärkt artikel

2012-08-08 17:55

Vi tillåter inget i vårat nätverk som inte är företagsstandard och att släppa in kunder eller konsulter med egna laptops händer inte, dom får hålla sig till WIFI för gäster som är helt separerat från företagsnätet.

Det är förvånande att inte fler har koll på vad som ansluts i nätverket, Sverige ligger ändå ganska långt fram när det gäller basic säkerhet på arbetsplatser.

debbians

Utmärkt artikel

2012-08-08 18:40

Absolut, men jag tror att kunskapen finns. Det handlar nog mer om pengar. Man har en mindre IT-avdelning och ger anställda lite fria tyglar.

LordUnited

Utmärkt artikel

2012-08-08 17:52

Fast kommer du in på deras nät om du pluggar in dig då eller befinner du dig accessnätsmässigt på utsidan?

Fast enkel grundregel är ju att lita så lite som möjligt på allt och alla i varje enhet.

Gillade artikeln tills finnen implicit sa att alla linuxbaserade hemmaprylar var osäkra och alla baserat på något annat var säkra.

aluser

Utmärkt artikel

2012-08-08 17:55

Det egentliga problemet är som redan sagt att någon bara tagit ett gäng komponenter och satt ihop det, och fick det att fungera. Sen skiter man i hur det fungerar eller om det är vidöppet. Man kanske till och med inte ens har lämnat kvar standardbrandväggen i Linux (iptables) i prylen!

Natanael L

Utmärkt artikel

2012-08-08 21:15

Även om iptables är med så är det ju oftast management gränssnitten som är buggiga och vägen in.

Neptune

Utmärkt artikel

2012-08-10 11:10

Min invändning handlade inte om huruvida hemenheter var mer sårbara eller inte för jag håller med om din analys utan det var det faktum att han specifikt pekade på just Linuxbaserade enheter. Dom problemen du beskriver är snarare generella för den typen av utrustning även om den idag ofta är linuxbaserad.

aluser

Utmärkt artikel

2012-08-08 21:21

"Fast kommer du in på deras nät om du pluggar in dig då eller befinner du dig accessnätsmässigt på utsidan?"

Kör man med ipsec baserad SDI (Server and Domain Isolation) och NAP (Network Access Protection) och byggt ditt nät efter gängse regler så har du en mycket starkt begränsad tillgång när du kopplar in dig i ett uttag.

Neptune

Konstig hackare

2012-08-08 19:54

Det var en ny variant av hackare på bilden. Vanligtvis brukar de avbildas med luva eller rånarluva. :)

DanielDuVet

Konstig hackare

2012-08-08 22:01

ganska många hackare föds nog ur ett bong moln.

GeorGess

Det går att säkra upp även access via BYOD

2012-08-08 21:36

BYOD går att säkra upp det också. Man kan till exempel, som en del pratat om, separera nätverken.

Att bara lägga publika nätverksportarna/gästnätet ute på WAN eller liknande är inte så lämpligt i säkerhetssynpunkt. Om din brandvägg inte klarar att separera mer än LAN/WAN så köper man en ny brandvägg och slänger den andra i elektronikåtervinningen.
Brandväggen bör klara minst 4 distinkta nät med egna policys, gärna fler. Dvs brandväggsburken bör ha minst 4 separata RJ45-portar som inte är förbundna med en intern switch.

Vad gör du när hackerluffe laddat ner 1tb med piratmaterial från TPB och spåren leder till företaget?

Därför bör man lägga publika nät på ett nät som har lägre säkerhetsnivå än DMZ & LAN men högre säkerhetsnivå än WAN.
Dvs gärna ingress filtrering på det. Allt förutom 80/443 bör blockeras. 443 bör begränsas så att det bara går att komma åt pålitliga sajter, alternativt någon SSL-MITM-lösning såsom BlueCoat som även kan scanna SSL-trafik med "förfalskat" CA-rootcertifikat.

Tillämpa strikt need-to-know. En anställd bör naturligtvis inte ha mer access än nödvändligt. Om inte den anställde kollaborerar så behöver inte denne ha tillgång till de gemensamma utdelade mapparna alls, man ger altså inte access till dem bara för att "alla dem andra i teamet har access ändå".


Viktigast av allt: Tillämpa autensitering både baserat på användare och position. Tex avdelningschefen som normalt har access till avdelningens bokföring/redovisning, bör inte komma åt denna om denne sitter på receptionistdatorn.

Då gör det inget om någon kommer över avdelningschefens lösenord/token/autensitering/whatsoever. Du måste också komma åt "rätt" dator för att öht ha någon access. Och denna dator finns då normalt långt inne på företaget där man måste passera flera låsta dörrar.


Ett tips är att man kan använda sig av smartkort/RFID för inloggning, där smartkortet/brickan måste sitta i (eller ligga på en avläsningsplatta), tar man ut/plockar bort det så loggas sessionen ut.
Gör då så smartkortet/brickan krävs i hela byggnaden. Även för att gå på personaltoa, och för att komma in i fikarummet/personalrummet. Då blir det automatiskt att man alltid plockar med sig smartkortet/brickan när man lämnar sin arbetsplats för utan kortet kommer man ingen vart. Då slipper man problemet att det/den blir liggande vid datorn (och datorn är inloggad) när man inte är på plats.

sebastian nielsen

Det går att säkra upp även access via BYOD

2012-08-09 15:49

Problemet är fortfarande att du inte kan ha koll på health status och processer hos klient datorn. Det spelar ju ingen större roll om det ligger en crawler tjänst på BYOD datorn som plockar ner allt det som användaren har access till. Kör med enheter som du har kontroll över och se till att de inte ges access förrän de klarat av dina NAP policies.

Neptune

Neptune: man inte ger större access till BYOD

2012-08-10 07:36

Därför du inte ger access till BYOD-datorerna mer än nödvändligt.

Som jag sa där, tex avdelningschefen behöver inte ha tillgång till avdelningens redovisning från sin egna laptop.

Däremot kan man ge tillgång till mindre känslig info via BYOD, tex några arbetsscheman eller en telefonbok med internnummer eller liknande.

Det finns ingen anledning att stänga ute BYOD-datorer helt med NAP och kräva att dem kör antivirus/brandvägg lokalt. Det är ingen risk att ge dem access till internet (WAN) sålänge som du kör ett centralt ingress-skydd, som skyddar mot att saker kommer via företagets internetanslutning ner till BYOD-datorn.

För du kommer ju fortfarande inte åt risken med att skyddet kan stängas av när datorn befinner sig utanför NAP-zonen och att datorn då blir sårbar på det sättet.

Visst, skyddet måste slås på sedan, men ska du upptäcka skit som kommit in efteråt så måste man på något sätt kräva en scanning precis efter att datorn anslutits till NAP-zonen och en sådan scanning kan ta över en timme.

Dessutom kan känslig info sparas ner på datorn (räcker med ett webinterface så ligger det känslig info i cachen) och sedan komma på avvägar när datorn befinner sig utanför NAP-zonen.

Eftersom när det gäller BYOD förutsätts det att det är ägaren av datorn som har admin och inte IT-chefen på företaget.

Som sagt, den enklaste lösningen - spärra access till känslig info från opålitliga datorer. Oavsett användarkonto som används.
Alla datorer som inte finns bakom låsta dörrar 24/7 bör anses vara opålitliga.

Finns ingen anledning till att ha tillgång till känslig info från sin egen dator. Eller om man över huvud taget ska ha access till infon alls. (Tillämpa strikt need-to-know)

Om det är ett företag där BYOD är centralt, så kan man ha en fast terminal där känsliga aktiviteter utförs.
Exempel:
Du jobbar på ett fraktbolag för företag.
I det här fallet så säger vi att dina kunders dörrkoder är den känsligaste infon du har. Det anses också känsligt att utfärda fakturor pga risken för bluffakturor.

Då kan man göra så att varje anställd från sin BYOD-dator har tillgång till allt som den anställde behöver, förutom fakturaprogrammet och dörrkoder_kunder.pdf

Vill man nu göra något i fakturaprogrammet eller komma in i dörrkoder_kunder.pdf så måste man gå till en "stå-terminal" vid företaget och logga in på sitt konto där. "stå-terminalen" ägs ju givetvis av företaget.


Helt enkelt, behörighetsinställningen på varje fil eller tjänst i nätverket som kräver åtkomst, ska basera sig på både användarID och datorID. Både datorn och användaren måste ha behörighet för att access ska ges.

sebastian nielsen

Certifieringar

2012-08-16 20:44

Håller med om att detta är en utmärkt artikel. Det jag dock hängde upp mig på var dessa herrars kommentar om certifieringar!

Det vore ytterst interessant att få veta vad dessa självlärda herrar har emot certifieringar!? Kan det vara så att de är självlärda högstadie-ingenjörer?

Mittcert

Comments powered by Disqus

Fler nyheter

- TechWorld:

hackarnas verktygslåda

Hackarens verktygslåda: Insticksprogram


- TechWorld:

"Det finns inget som är NSA-proof"


- TechWorld:

grön it

Grön it - snällt eller bara snålt?


- TechWorld:

moderkort

Moderkort genom tiderna


- TechWorld:

kodsnack

Kodsnack: Att bygga in kunskap i system

- TechWorld:

kali linux

Hackarens verktygslåda: Kali Linux


- TechWorld:

koppar

Teknikens byggstenar del 10: Ni, Cu och Zn


- TechWorld:

Premiär för Jörgen Städjes makalösa tv-program!


- TechWorld:

vmworld

VMware lägger om kursen mot molnet


- TechWorld:

ios 8 utveckling

IOS 8 - utvecklarpusslet växer

- TechWorld:

Daniel Åhlin

"Android mer robust än någonsin"


- TechWorld:

Jörgen Städje

Blå lysdioder - värda ett nobelpris?


- TechWorld:

soghoian

"It-säkerhet bara för de som har råd"


- TechWorld:

radera data

Så fungerar rätten att bli raderad


- TechWorld:

kambi

De sparar storkovan på att spola Splunk

- TechWorld:

Kodsnack: Guldålder för appsäljare?


- TechWorld:

avbrott i molnet

Molnet - mogna tjänster eller dyra krascher?

Har din tillit till molntjänster ökat eller minskat under 2014?

- TechWorld:

shellshock

Avancerat malware sprids genom Shellshock

Har du vidtagit åtgärder för att skydda dig mot Shellshock?

- TechWorld:

tomtebloss

Teknikens byggstenar del 9: Mn, Fe och Co


- TechWorld:

datortidningar

Datortidningar som dunstade

Whitepapers, webcasts, kompendier och partnermaterial Fler utvalda whitepapers

Flasha med närminnet
Drifta själv eller välja molnet?
Illusion att flash är dyrare
Mainframe makeover
Gratis nyhetsbrev
Välj ett nyhetsbrev:
Weekly - Security -
Open Source Update





Please don't insert text in the box below!
Kontakta oss
Postadressen är:
TechWorld, Karlbergsvägen 77, 106 78 Stockholm

För prenumerationsärenden:
Logga in här eller ring 08-799 62 39.




Copyright © 1996-2013 International Data Group
Sök efter artiklar och produkter: