Frage:
Was kann ein Unternehmen gegen Insider tun, die Schurken werden und die wesentliche Infrastruktur negativ beeinflussen?
Nzall
2016-07-28 17:08:26 UTC
view on stackexchange narkive permalink

2013 hatte ein Citibank-Mitarbeiter eine schlechte Leistungsbeurteilung, die ihn verärgerte. Die Ergebnisse waren verheerend:

Insbesondere um ca. 18:03 Uhr. An diesem Abend übertrug Brown wissentlich einen Code und einen Befehl an 10 zentrale Citibank Global Control Center-Router. Durch die Übertragung dieses Codes wurden die laufenden Konfigurationsdateien in neun Routern gelöscht, was zu einem Verbindungsverlust zu ungefähr 90 Prozent aller Citibank-Netzwerke führte in ganz Nordamerika.

Nun gibt es eine Frage zur Sicherung eines Netzwerks gegen Angriffe von innen, aber diese Frage schließt ausdrücklich aus, dass Insider Schurken werden. Es gibt auch eine Frage zum Schutz einer Datenbank vor Insidern, die sich jedoch auf hochrangige Probleme bezieht.

Ich habe auch gelesen. Wie ist gegen eine Sicherheitsverletzung vorzugehen? ?, aber die meisten Antworten darauf basieren darauf, dass der Insider ein Mitarbeiter ist, der entlassen wurde. Ich frage nach jemandem, der noch nicht gefeuert wurde. Sie hatten möglicherweise eine schlechte Leistungsbeurteilung, wurden aber noch nicht beendet. Sie sind möglicherweise nur unglücklich über etwas, das ihr Partner getan hat, oder sie haben sich über etwas aufgeregt.

Das Problem, das ich hier beschreibe, ist ein großes Unternehmen, in dem ein Benutzer, der über seinen Job unglücklich ist, ein Problem löst bestimmte Tage und gibt systembrechende Befehle aus, für die sie die vollen Berechtigungen haben. Dinge wie das Abwischen von Maschinen, die physische Beschädigung der wesentlichen Infrastruktur, ... rein technische Störungen, nichts wie das Durchsickern von E-Mails oder Geheimnissen. Das Ziel ist nur, der Infrastruktur so viel Schaden wie möglich zuzufügen, um mit einem Knall auszugehen.

Der Artikel enthält einige flüchtige Erwähnungen von Dingen, die zu tun sind, aber nichts wirklich Konkretes. Welche Maßnahmen können ergriffen werden, um zu verhindern, dass plötzliche Schurken-Insider mithilfe von Techniken, für die sie das Privileg haben, die wesentliche Infrastruktur negativ beeinflussen?

Ein guter Umgang mit Ihren Mitarbeitern könnte eine Strategie sein.Das Geld, das Sie ausgeben, um sie glücklich zu machen, ist viel geringer als der Betrag, den Sie für die Notfallwiederherstellung ausgeben, wenn sie unglücklich sind.
Relevant: http://serverfault.com/questions/753268/linux-productive-sysadmins-without-root-securing-intellectual-property/753419#753419
Hast du eine [große 5] (https://www.youtube.com/watch?v=y4GB_NDU43Q)?
Quis custodiet ipsos custodes?Es können keine Schildkröten sein.
@JaredSmith Die Zwei-Mann-Regel erfordert nur noch eine Schildkröte.Obwohl es eine * Schildkröte * erfordert, bewegen sich diese möglicherweise nicht schnell genug für Ihr Unternehmen
@Tyrsius Das eigentliche Problem ist, wie Gowenfawr angedeutet hat, dass Menschen, die klug genug sind, um technischen Schaden zu verursachen, als klug genug angesehen werden, um keine leicht nachvollziehbaren Verbrechen zu begehen, die sie verklagen und inhaftieren, was die Zwei-Mann-Herrschaft unnötig belastend macht.Und im Allgemeinen sind sie.Aber Junge, grüß dich die Ausnahmen ...
Indoktrination?
Armer Kerl ... er konnte seinen gefängnisähnlichen Job nicht tolerieren, jetzt bekommt er einen, der * wirklich * gefängnisähnlich ist.
Wir hatten eine ähnliche Erfahrung mit unserem ersten Webhost im Jahr 2000. Ein verärgerter Mitarbeiter hat seine Switch-Routing-Tabellen verschlüsselt (wie mir gesagt wurde) und konnte sie tagelang nicht lösen.Es brachte sie aus dem Geschäft!Wir konnten unsere Dateien nur abrufen, als ich den Host davon überzeugte, unseren Server an seine ADSL-Leitung anzuschließen.
Eine einfache Möglichkeit besteht darin, zufällige Chaostests Ihrer Live-Systeme durchzuführen oder zu entwerfen.Wenn Sie ein Team haben, das Zeit damit verbringt, herauszufinden, wie Ihre Systeme katastrophale Fehlerpunkte nicht abdecken, werden Sie wahrscheinlich Fehlerpunkte wie diesen identifizieren.Geben Sie einigen Leuten die Aufgabe, Wege zu finden, wie das Unternehmen geschlossen werden kann, und ich wette, Sie finden einige gute Verfahren / Richtlinienaktualisierungen.
@AndréBorie Ich denke, das ist eine naive Aussage.Selbst wenn Sie sie in einem Unternehmen wie Citibank, das ~ 250.000 Mitarbeiter anstellt, "gut behandeln", werden Sie mit Sicherheit viele schlechte Äpfel haben, die glauben, dass sie auf jeden Fall misshandelt werden.
@DavidGrinberg stimmt, aber das bedeutet nicht, dass Sie sie nicht gut behandeln sollten, um zumindest das Risiko zu verringern, dass jemand Ihr Unternehmen ruiniert.Natürlich sollten auch technische Maßnahmen ergriffen werden, um betrügerische Mitarbeiter zu verhindern, jedoch in Maßen, damit sie es den Mitarbeitern nicht zu schwer machen, ihre legitime Arbeit zu erledigen.
Ich würde einen teilweisen Netzwerkausfall nicht als verheerend bezeichnen.Ich würde dieses Wort für schlimmere Vorfälle reservieren, beispielsweise für Fälle, in denen Daten unwiederbringlich verloren gingen oder beschädigt wurden.Angesichts der Seltenheit solcher Ereignisse, der erheblichen Kosten für den Schutz davor und des begrenzten Schadens - ich würde sagen, es lohnt sich wahrscheinlich nicht, sich dagegen zu schützen.Solange Sie vor dauerhaftem Verlust (oder Beschädigung) von Daten geschützt sind, sind Sie wahrscheinlich so weit gegangen, wie es vernünftigerweise zu erwarten ist.
Finden Sie Menschen mit Integrität.
@AndréBorie Ich bin damit einverstanden, dass gut behandelte Mitarbeiter weniger Fehler machen und melden können, wenn etwas nicht stimmt, aber ist es ein ausreichender Schutz gegen Schurken?
@aitchnyu, wann immer möglich, sollten auch technische Lösungen verwendet werden, aber manchmal reduzieren diese Lösungen ihre Produktivität so sehr, dass es in verlorener Zeit mehr kostet, diese Richtlinien zu implementieren, als das Risiko einzugehen (und möglicherweise einen solchen Vorfall zu haben)alle 10 Jahre).
Neun antworten:
gowenfawr
2016-07-28 17:49:55 UTC
view on stackexchange narkive permalink

Welche Maßnahmen können ergriffen werden, um zu verhindern, dass plötzliche betrügerische Insider mithilfe von Techniken, für die sie das Privileg haben, die wesentliche Infrastruktur negativ beeinflussen?

In der Praxis sehr wenig . Aber um zu erklären, warum, lassen Sie mich darüber sprechen, was Sie tun können.

Hier geht es darum, dass der Benutzer "privilegiert" ist - ihm wurde die Berechtigung zu Recht erteilt.

Es gibt Einige Dinge, die getan werden können, um die Leistung legitimer Benutzer und sogar privilegierter Administratoren zu begrenzen:

  • Kontrolle über verfügbare Befehle mit etwas wie sudo oder PowerBroker.
  • Doppelte Kontrolle (die "Zwei-Mann-Regel" @ paj28 beschreibt
  • Workflow-Kontrollen (häufig eine Form der doppelten Kontrolle)

Diese Steuerelemente werden jetzt weitaus weniger verwendet, als sie sein könnten. Warum? Weil privilegierten Benutzern per Definition vertraut wird Ich sage also sehr wenig nicht, weil es keine Kontrollen gibt, sondern weil das Kosten-Nutzen-Verhältnis solcher Kontrollen bei vertrauenswürdigem Personal nicht ausreicht, um dies zu rechtfertigen.

Beachten Sie auch, dass der Angriffsvektor hier "in der Installation" war - wenn die Citibank über doppelte Kontrollen verfügt, sind dies wahrscheinlich konzentrierte sich auf Dinge wie Geldtransfers, während dieser Angriff auf die Knie ging und nur das zugrunde liegende Netzwerk herunterfuhr. Diese lebenswichtigen, aber leisen Systeme haben häufig kleinere Kreise privilegierter Benutzer und weniger übermäßige Kontrollen.

Der eigentliche Fehler bestand hier nicht darin, dass es keine technischen Kontrollen gab, sondern dass die Personalkontrollen kläglich fehlschlugen. Es ist üblich, privilegierten Mitarbeitern den Zugriff zu entziehen, bevor sie gekündigt werden. Wer bei der Einführung eines Konflikts mit einem privilegierten Mitarbeiter entschieden hat, dass keine solche Vorsichtsmaßnahme erforderlich ist, hat ein schlechtes Urteilsvermögen.

(Das Unternehmen setzte auch Strafkontrollen ein - der Angreifer wird jetzt zu fast zwei Jahren Gefängnis verurteilt und muss fast 80.000 US-Dollar zahlen. Wie der Artikel hervorhebt, beheben diese Dinge nichts davon.)

Ich glaube nicht, dass die Personalkontrollen hier versagt haben.Nirgends heißt es, dass der Mitarbeiter gekündigt wurde.Es war nur eine schlechte Leistungsbeurteilung.
Das Personalmanagement von @Nzall sollte Verhalten, Überprüfungen, Verweise und Kündigungen umfassen - es ist ein Fehler, wenn es nur in Bezug auf Kündigungen in Betracht gezogen wird.Vertrauen von Menschen sollte keine binäre Sache (Ja oder Nein) sein.
Ich bin damit einverstanden, dass Personalmanagement mehr als nur Kündigungen ist, aber die Person war immer noch beschäftigt, daher brauchte sie diese Privilegien, um ihre Arbeit zu erledigen.Er war noch nicht gekündigt, so dass der Widerruf seiner Privilegien tatsächlich als Beeinträchtigung der Fähigkeit für ihn angesehen werden konnte, seine Arbeit zu erledigen.
@Nzall, das vorübergehend seine Privilegien widerruft und ihn für das Wochenende nach Hause schickt, um über seine Überprüfung nachzudenken, hätte ihm die Bedenkzeit gegeben, um zu vermeiden, dass etwas passiert ... Vertrauen ist relativ;Wenn Sie dem Mann mit drei schlechten Bewertungen genauso vertrauen wie dem Mann mit drei leuchtenden Bewertungen, was bringt es dann, Bewertungen zu haben?
Der Typ mit drei leuchtenden Bewertungen kann genauso gut knacken wie der Typ mit drei schlechten Bewertungen.Vertrauen von der Leistung eines Menschen abhängig zu machen, klingt gefährlich und kann in einigen Fällen als Vetternwirtschaft erscheinen.
-1 Nur so zu tun, als wäre der Mitarbeiter gekündigt worden.Der Mitarbeiter erhielt nur eine Bewertung.Ich stimme den Kommentaren von @Nzall zu.Ihr zweiter Kommentar ist eine mögliche Antwort, aber wie entscheiden Sie dann, wann Sie Berechtigungen widerrufen?Tun Sie das bei jeder negativen Bewertung oder bei der zweiten oder dritten?Und wie vermeiden Sie die Bitterkeit und die giftige Umgebung, die der Arbeitgeber selbst langsam schafft?
Was passiert, wenn ich ein Mitarbeiter mit guten Absichten bin, der aus irgendeinem Grund eine schlechte Bewertung erhält ... und dann meine Privilegien widerrufen werden, weil der Arbeitgeber mir zuvor vertraut hat, aber nicht mehr.Ohne eine solche "Herabstufung" habe ich möglicherweise versucht, herauszufinden, was mit meiner Leistung nicht stimmte, und härter daran gearbeitet, sie zu beheben.Aber jetzt fühle ich mich ein wenig bitter und ärgerlich und jetzt möchte ich vielleicht zu dem großen bösen Unternehmen zurückkehren."Dies könnte zu einer sich selbst erfüllenden Prophezeiung führen" ist mein Punkt.
Das ist die Antwort.Es gibt wirklich nicht viel, was Sie tun können, egal, irgendwann gibt es eine Person, die über die richtigen Berechtigungen verfügt, um einen solchen Schritt auszuführen.Es gibt keinen wirklichen Weg daran vorbei.
Mit ziemlicher Sicherheit dachte der Benutzer in diesem Fall, das System sei ausgefallen und er hätte besser werden sollen und fühlte sich wahrscheinlich herausgehoben.Vielleicht wäre es eine gute Idee gewesen, die Bewertungen zu übersehen.Wenn eine Überprüfung dem Manager des Managers beschrieben werden muss, bevor der Mitarbeiter betroffen ist, ist das Herausgreifen schwieriger und erscheint schwieriger.Dies setzt voraus, dass der Mitarbeiter zumindest geistig etwas stabil war, eine medizinisch paranoide Person sollte wahrscheinlich nicht alle Netzwerke verwalten.Hintergrundüberprüfungen und Gesundheitsuntersuchungen sollten dort helfen.
@gowenfawr - Was schlagen Sie vor, dass sie tun?Alle Berechtigungen am Tag vor der Veröffentlichung von Leistungsbeurteilungen verdunkeln?Und wie lange verdunkeln lassen?Und womit kann verhindert werden, dass ein Mitarbeiter, der eine schlechte Bewertung erhalten hat, einfach auf das Ende des Stromausfalls wartet, bevor er sich rächt?Ich denke, das Fazit ist, dass es Zeit ist, zu kündigen, wenn Sie Ihren Mitarbeitern nicht vertrauen, dass sie sich nicht an einer schlechten Leistungsbeurteilung rächen.und wenn es nicht Zeit ist zu kündigen, ist es auch nicht Zeit, ihre Privilegien vorübergehend oder auf andere Weise willkürlich zu widerrufen.
In Bezug auf die gesamte Diskussion "entlassene Mitarbeiter sollten den Zugriff widerrufen haben [..]", aber er wurde nicht gekündigt ", heißt es in dem Artikel, dass der Typ sagte:" Sie haben mich gefeuert. "Vielleicht ist ein Problem die Unternehmenskultur, die den Mitarbeiter zu der Annahme veranlasste, dass er entlassen werden würde (z. B. wenn das Unternehmen den Ruf hatte, diejenigen zu entlassen, die schlechte Leistungsbeurteilungen hatten).Eine alternative Interpretation ist, dass die Firma, wenn sie ihn entlassen würde, dies sofort hätte tun sollen, anstatt ihm eine Warnung zu geben, von der er sich vielleicht nicht erholen konnte (hier raten).
paj28
2016-07-28 17:25:24 UTC
view on stackexchange narkive permalink

Zwei-Mann-Regel - Konfigurieren Sie Ihre Systeme so, dass für jeden privilegierten Zugriff zwei Personen erforderlich sind.

Dies kann eine physische Kontrolle sein. Der privilegierte Zugriff kann nur vom NOC aus erfolgen. und innerhalb des NOC setzen die Leute die Regel physisch durch.

Praktischer wäre ein Skriptsystem. Sys-Administratoren haben keinen direkten Root-Zugriff, können jedoch Skripte senden, die als Root ausgeführt werden sollen. Sie werden erst ausgeführt, nachdem eine separate Person das Skript überprüft und genehmigt hat. Im Notfall müsste es noch eine Methode für den SSH-Zugriff geben - und die Zwei-Mann-Regel könnte in diesem Fall mithilfe physischer Kontrollen beibehalten werden.

Die NSA implementierte dies danach Der Snowden leckt. Ich habe in keinem der von mir geprüften kommerziellen oder staatlichen Systeme ein vollständiges Zwei-Mann-System gesehen - obwohl ich verschiedene Teilversuche gesehen habe.

Update - es gibt weitere Informationen zu Wie wird dies in einer separaten Frage implementiert?

Bedenken Sie jedoch, dass die (robuste) 2-Mann-Steuerung einen EXTREM hohen Produktivitätsaufwand bedeutet.Wir haben mit einem Faktor von 10 gerechnet, da angesichts der jeweiligen Interrupts an einem bestimmten Tag eine anständige SA verarbeitet wird.
@Sobrique - Ich bin mir über 10x nicht sicher, aber ich stimme zu, dass der Overhead hoch ist - zumindest in einem naiven Setup.Wenn wir wirklich klug in Sachen wären, könnten Sie den Overhead senken.z.B.Der schreibgeschützte Zugriff auf Protokolle ist für einzelne Systemadministratoren für die Erstdiagnose in Ordnung. Sie benötigen nur ein zweites Paar Augen, um Befehle auszugeben.
Das größte Problem bei einem Zwei-Mann-System besteht darin, dass es den Overhead erhöht.Nehmen wir nicht an, dass es nur 2 Mal ist.Im Laufe eines Zeitraums von 5 Jahren ist es besser, den Einkommensverlust für den kleinen Ausfall in Kauf zu nehmen, als eine zweite Person zu bezahlen.Und das setzt voraus, dass es nur das Zweifache der Kosten ist.Ich denke, 10x ist unter vielen Umständen etwas konservativ.
@coteyr - Das Snowden-Leck war mehr als ein kleiner Ausfall, daher lohnt sich der Overhead für die NSA.Ich denke, Sie unterschätzen die Möglichkeit, Zwei-Mann auf intelligente Weise zu betreiben, und dass ein gut gestaltetes System eher einen Overhead von 25% hätte.Ich frage mich, ob ich dazu eine separate Frage stellen soll.
@paj28 Es wäre eine Frage, die mich interessieren würde.
* Bedenken Sie jedoch, dass die (robuste) 2-Mann-Steuerung einen EXTREM hohen Produktivitätsaufwand bedeutet.Wir haben mit einem Faktor von 10 gerechnet, da angesichts der jeweiligen Interrupts an einem bestimmten Tag eine anständige SA verarbeitet wird. * - Ja.Sicherheit hat Kosten und diese Kosten müssen ausgeglichen werden.Unterbrechung / Verzögerung des täglichen Arbeitsablaufs, wenn nichts gegen das potenzielle Risiko eines Schurken "schief geht".
Unternehmen, die ich gesehen habe, verwenden die 2-Mann-Steuerung nicht, stattdessen gibt es ein riesiges Labyrinth von Systemen, in denen jeder nur einen kleinen Teil davon steuern kann.Nur sehr wenige haben die Kontrolle über große Teile und wahrscheinlich niemand im Großen und Ganzen.-> Es ist egal, wer Schurke wird, er kann nicht zu große Probleme verursachen.Dieser arme Schurke in dem Artikel verursachte nur ein kleines Problem, die Router-Konfigurationen wurden wahrscheinlich aus Backups wiederhergestellt.Er hatte wahrscheinlich keinen Einfluss auf die Backups.Und die Leute, die die Backups machen, konnten nichts mit den Routern anfangen.
@Sobrique Nicht nur ein hoher Overhead, sondern auch ohne Aufsicht / Prüfung des Prüfers, auch ziemlich einfach und verlockend für ihn, zu entscheiden, "Ich implementiere nur ein Skript, um alle eingereichten Skripte automatisch zu genehmigen".Und möglicherweise ist es für einen versierten Angreifer immer noch nicht so schwierig, dies zu untergraben, indem er beispielsweise einen verschleierten böswilligen Befehl in einem ansonsten routinemäßigen Skript versteckt.
Die Trennung von Bedenken kann viel besser funktionieren.Trennen Sie insbesondere die "Backup" -Verantwortung und machen Sie es sich zur Aufgabe, sicherzustellen, dass jemand in "gutem Zustand" ist.
Daniel Darabos
2016-07-28 22:07:43 UTC
view on stackexchange narkive permalink

Ein Ansatz besteht darin, zu akzeptieren, dass Schurkenaktionen nicht verhindert werden können, und sich darauf zu konzentrieren, dass der Schaden repariert werden kann. Stellen Sie beispielsweise sicher, dass die Router über eine separate Steuerebene verfügen, über die sie wieder online geschaltet werden können. Stellen Sie sicher, dass Sie über schreibgeschützte Sicherungen verfügen (z. B. externe Bänder). Wenn also jemand alle Festplatten löscht, können Sie die Daten wiederherstellen. Stellen Sie sicher, dass Daten und Code schnell auf einen bekannten guten Zustand zurückgesetzt werden können.

Diese Schutzmaßnahmen helfen auch bei unbeabsichtigten Fehlern erheblich.

Ich denke auch, dass Redundanzschichten die Lösung sind.Zumal sie auch viele * andere mögliche Probleme * lösen.
Dies ist die beste Antwort.Sie können einen vertrauenswürdigen Benutzer nicht davon abhalten, etwas Schlechtes zu tun.Aber Sie können sich ziemlich schnell davon erholen.
@coteyr: Diese Antwort bedeutet nicht, dass der privilegierte Benutzer nicht auch den redundanten Teil beeinflussen kann (Stecken Sie die Steuerebene aus, löschen Sie die Sicherungen).Es ist etwas, das betont werden muss, denn ohne es ...
"Nur-Lese-Backups (z. B. Off-Site-Bänder)" Ich habe noch nie einen Administrator gesehen, der großartig genug ist, um sich zu den Off-Site-Backups zu teleportieren und diese ebenfalls zu zerstören.
@coteyr - Sie haben Mr Robot also nicht gesehen?
Colin Cassidy
2016-07-28 18:28:42 UTC
view on stackexchange narkive permalink

Audit. Insbesondere Netzwerkverkehr und durchgeführte Aktionen / Operationen auf bestimmten Maschinen. Sie möchten erfassen, wer was getan hat, wann sie es getan haben und von wo . Dies verhindert zwar keinen Angriff, hilft jedoch dabei, solche Aktionen zu verhindern, wenn der Insider glaubt, dass sie identifiziert und abgefangen werden.

Dann müssen Sie sich mit manipulationssicheren Überwachungsmechanismen befassen

Wenn jemand wirklich böswillige Handlungen ausführen möchte, wird das Wissen, dass er häufig gefasst wird, ihn nicht aufhalten.Wenn die Leute wirklich durch eine ordnungsgemäße Prüfung gestoppt würden, wäre dies ein viel diskutierteres Thema im Infosec-Arsenal.
Nein, es hält sie nicht auf (und das habe ich auch gesagt), aber wenn Sie wüssten, dass Ihre Handlungen sicher protokolliert wurden und so, dass sie in einer gerichtlichen Klage gegen Sie verwendet werden könnten, könnten Sie zumindest zweimal überlegen.Wenn Sie wirklich am Ball sind, können Sie Aktionen erkennen, die zwar nicht böswillig sind, aber Aktionen, die das Wasser testen und wissen, wer diese Person war, und die eine schlechte Leistungsbeurteilung hatten. Sie können frühzeitig eingreifenund möglicherweise die böswillige Handlung verhindern
Dies beantwortet nicht die Frage, bei der es speziell darum geht, Angriffe von jemandem zu verhindern, der plötzlich "schnappt".Die betreffende Person plant, erwischt zu werden, um eine Erklärung abzugeben.
Warum haben wir Überwachungskameras?Warum haben wir Polizei auf den Straßen?Weder stoppen diese direkt das Verbrechen, noch wird es den entschlossenen Verbrecher stoppen.Und doch reduziert ihre Einführung die Kriminalität.Diese Maßnahmen sind einfach ein weiteres Hilfsmittel in einer ganzen Reihe von Hilfsmitteln.Ebenso ist die Prüfung von Aktionen und Operationen neben den anderen in dieser Frage genannten ein weiteres Instrument.
Es beantwortet die Frage immer noch nicht, ob es sich um ein nützliches Werkzeug handelt oder nicht. Bei Ihrer Antwort geht es um Aufräumen, bei seiner Frage um Prävention.
Abschreckung ist eine Art Prävention
Ich denke, es ist ziemlich klar, dass der fragliche Typ entweder nicht darüber nachdachte, ob er erwischt werden würde, oder es ihm egal war.In jedem Fall würden mehr Audits nicht helfen.(Es gibt Situationen, in denen es helfen könnte - aber ich vermute, dass es für externe Verstöße viel nützlicher ist.)
devSparkle
2016-08-01 01:07:58 UTC
view on stackexchange narkive permalink

Die Frage des Schutzes eines Systems oder Netzwerks vor einem Insider, insbesondere vor Personen, deren eigene Stellenbeschreibung das Erstellen und Verwalten eines solchen Systems umfasst, war schon immer schwierig.

Zunächst muss man verstehen, was man verstehen muss ist, dass es letztendlich unmöglich ist, alle Arten von Angriffen auf eine Infrastruktur von innen zu verhindern, da dies bedeuten würde, den Kontakt mit der Infrastruktur einzuschränken und sie besonders nutzlos zu machen.

Es gibt jedoch Möglichkeiten, Schäden am System zu verhindern und zu minimieren. Ich persönlich erkenne, dass es drei Phasen gibt:

  1. Die Zwei-Mann-Regel
  2. Die Rechenschaftsregel
  3. Arbeitsteilung
    4. ol>

    Diese Prozesse ergänzen sich gegenseitig und tragen dazu bei, dass jedes System vor Eindringlingen geschützt bleibt, die von innen arbeiten.

    Die Zwei-Mann-Regel

    Beginnen wir mit der offensichtlichsten, der Zwei-Mann-Regel. Ein wichtiger Bestandteil der IT- und Infrastruktursicherheit besteht darin, sicherzustellen, dass das gesamte Verhalten im System identifizierbar und erwünscht ist. Dies bedeutet, dass alle im System ergriffenen Maßnahmen vertrauenswürdig sind.

    Wenn ich ein Beispiel dafür zeige, ist das Git-System des Forkens und Ziehens meine bevorzugte Erklärungsmethode. In Git kann jeder, der Zugriff auf das Repository hat (in diesem Fall The Infrastructure), eine Kopie erstellen. Personen mit Zugriff können dann anfordern, ihren Code in das Repository zu ziehen. Dazu muss der abgerufene Code jedoch analysiert, als kompatibel markiert und dann von einer anderen Person autorisiert werden.

    Dasselbe gilt für eine sichere Infrastruktur. Alle Führungskräfte können den Code ändern. Damit die Änderungen jedoch in Produktion gehen können, müssen sie von einem oder mehreren Mitarbeitern genehmigt werden.

    Die Rechenschaftsregel

    Ein weiteres häufiges Problem bei bestimmten Arten von Systemen und Netzwerken besteht darin, dass es ein Verwaltungskonto gibt, dessen Kennwort allen Mitgliedern mit Zugriff bekannt ist. Das erste Problem mit der Rechenschaftspflicht wird hier angesprochen. Viele Unternehmen verlassen sich in Situationen, in denen betrügerische Mitglieder nicht autorisierte Änderungen am Server vornehmen, auf primitive Methoden wie das Überprüfen der IP-Adresse des Computers, um festzustellen, wer möglicherweise Änderungen am System veröffentlicht hat. Dies kann einfach behoben werden, indem sichergestellt wird, dass jeder über ein eigenes Konto verfügt und dass die Änderungen protokolliert werden.

    Wie im letzten Absatz erwähnt, ist die Protokollierung das zweite Problem. In diesem Fall taucht das Thema Vertrauen wieder auf. Da dem Mitglied vertraut bestimmte Änderungen am System vorgenommen werden, protokolliert das System in den meisten Fällen die Aktionen des Benutzers nicht ordnungsgemäß.

    Diese Situation ist der perfekte Punkt, um die Verantwortlichkeit für Aktionen zu implementieren . Der Verwaltungsbenutzer muss sich darüber im Klaren sein, dass seine Aktionen nicht nur jederzeit nachverfolgt werden, während die Infrastruktur geändert wird, sondern auch vertraglich gebundene Verantwortlichkeiten und Strafen für absichtliche Aktionen haben.

    Arbeitsteilung

    Dies ist ein weiteres übersehenes Konzept in den meisten Führungspositionen der IT-Infrastruktur. IT-Teams haben die Tendenz, ihre Aufgaben aufzuteilen. Es ist jedoch nicht ungewöhnlich, dass die meisten Benutzer Zugriff auf beliebige Aufgaben haben.

    Der beste Weg, dies zu verhindern, besteht darin, dies zu tun Spezifische Systemverwaltungsaufgaben, die nur zwei Personen zugewiesen sind (um Fälle zu vermeiden, in denen eine Person nicht verfügbar ist). Während andere Benutzer Änderungen mithilfe der Zwei-Mann-Regel weiterhin überprüfen und genehmigen können, können nur eine Handvoll Benutzer diese Änderungen tatsächlich starten.

    Persönlicher Vorschlag

    Eine persönliche bevorzugte Methode zur Implementierung systemweiter Sicherheit, insbesondere in großen Geschäftsumgebungen, sind 3 Serversätze. Alpha, Beta und Produktion, wobei die ersten beiden ein Klon der letzteren sind. Jeder kann Änderungen an Alpha verschieben. Wir verwenden dieses System, um zu testen, wie es in der Produktion reagieren würde. Beta ist für Änderungen gedacht, die getestet wurden und bereit sind, bereitgestellt zu werden. Um dieses Stadium zu erreichen, müssen mehrere Mitglieder (~ 5) der IT-Abteilung die Änderung genehmigen. In dieser Phase dokumentiert die IT-Abteilung auch die Änderungen und sendet sie an das Management und als Memo an die IT. Um die Produktion zu erreichen, müssen 3 hochrangige Managementmitglieder die Änderung mithilfe ihrer eigenen Konten genehmigen, auf die die IT-Abteilung nicht zugreifen kann.

    Letzte Anmerkung stark>

    Wie Sie vielleicht bemerkt haben, ist dies kein einfacher Prozess. Die Umsetzung vieler dieser Ideen wird die Produktion verlangsamen. Dies ist eine der wesentlichen Fragen der Sicherheit. Je sicherer ein System ist, desto schwieriger wird es, Änderungen und Modifikationen vorzunehmen. Um Ihr Unternehmen produktiv zu machen, müssen Sie Sicherheit und Vertrauen in Einklang bringen.

sebastian nielsen
2016-07-29 22:05:33 UTC
view on stackexchange narkive permalink

Indem sichergestellt wird, dass Befehle, die die Infrastruktur so negativ beeinflussen, dass nicht remote auf sie zugegriffen werden kann, nur lokal ausgeführt werden können.

Dies kann auf verschiedene Arten erreicht werden. Zum Beispiel den Befehl zum Herunterfahren nicht zulassen. Eine andere Möglichkeit besteht darin, einen Watchdog (ein Hardwaregerät, das Änderungen der Verfügbarkeit erkennt) zu haben, der die Infrastruktur neu startet oder eine Wiederherstellungsprozedur ausführt, wenn die Infrastruktur nicht mehr erreichbar ist.

Eine dritte Möglichkeit besteht darin, den Remotezugriff durch z Beispiel: Verwenden Sie KVM-Over-IP-Lösungen und binden Sie diese Ressourcen an Steuerelemente, die nur vor Ort bearbeitet werden können. Wenn die Infrastruktur heruntergefahren wird, kann sie problemlos remote wiederhergestellt werden.

Natürlich ist es wichtig, Sicherungskopien von Konfigurationsdateien, wichtigen Systemen usw. zu erstellen. Da Konfigurationsdateien selten geändert werden, würde ich sagen, dass eine Sicherung der Konfigurationsdateien nach jeder Konfigurationsänderung, die festgeschrieben werden soll, sinnvoll ist.

Falls die Infrastruktur aufgrund kritischer Probleme getrennt werden muss Bei Sicherheitsereignissen kann ein Notfallsystem verwendet werden, das die Infrastruktur so trennt, dass sie vom Management leicht wiederhergestellt werden kann, ohne dass ein Besuch vor Ort erforderlich ist.

Das Problem hier war wirklich nicht dieser betrügerische Mitarbeiter. Was wäre, wenn dieser Mitarbeiter genau das Gleiche tun würde, aber als Fehler. Nehmen wir an, er wollte ein fehlerhaftes Netzwerkgerät reparieren, ohne zu bemerken, dass das Gerät nach einem Löschen der Konfiguration offline geschaltet wird, und führt den in der Frage erwähnten bestimmten Code-Befehl & aus, um die Konfigurationsdatei danach neu zu erstellen gelöscht, aber nachdem der Befehl ausgeführt wurde, wird erkannt, dass "Ups, kann keine Verbindung mehr zum Gerät herstellen".

Und verursacht damit die gleiche Art von Schaden? Vertrauen Sie mir, ich habe den gleichen Fehler gemacht, hauptsächlich mit meinen eigenen Systemen, bei denen ich dann den physischen Standort der Geräte aufsuchen musste. (Aber in diesem Fall waren die Dinge nicht kritisch, aber wenn die Systeme kritisch sind, sollten Sie etwas dagegen tun.)

Deshalb müssen Sicherheitsvorkehrungen getroffen werden, sodass es unmöglich ist, diese Art von Schaden aus der Ferne zu verursachen absichtlich oder nicht.

CBHacking
2016-07-30 04:38:52 UTC
view on stackexchange narkive permalink

Viele gute Antworten hier, aber eine, die zu fehlen scheint, ist, das Prinzip des geringsten Privilegs (PoLP) zu akzeptieren. Wenn es keinen legitimen Anwendungsfall zum Löschen der Router-Konfigurationsdateien gibt, geben Sie niemandem Zugriff dazu. Wenn es einen legitimen Anwendungsfall gibt, der jedoch für den täglichen Betrieb nicht relevant ist, benötigen Sie einen Genehmigungsprozess (und prüfen Sie ihn), um dieses Privileg zu erhalten (dies ist praktisch eine Variation der Zwei-Mann-Regel, die nur für gilt besonders sensible Vorgänge).

Es gibt auch Backups und Fail-Safes. Um das ursprüngliche Beispiel zu nehmen: Wenn die Konfiguration eines Routers gelöscht wird, sollte sie auf eine nicht entfernbare ausfallsichere Konfiguration zurückgesetzt werden (und einen Alarm auslösen). Dies sollte auch passieren, wenn eine interne Integritätsprüfung fehlschlägt. Wenn Sie Integritätsprüfungen durchführen, können Sie das System alternativ auf eine "zuletzt bekannte gute" Konfiguration zurücksetzen und sich im Wesentlichen aus einer Sicherung wiederherstellen, wenn etwas schief geht. Der Schreibzugriff auf diese ausfallsicheren / Backups / Integritätsprüfungen sollte äußerst streng sicher sein - niemand sollte über alltägliche Berechtigungen verfügen oder in der Lage sein, solche Berechtigungen problemlos zu erhalten - so dass selbst die meisten Hoch vertrauenswürdige Insider können sie nicht einseitig umgehen oder überschreiben.

Offensichtlich sind alle diese Lösungen kostenpflichtig. Es gibt fast immer einen Kompromiss zwischen Sicherheit und Ressourcenverbrauch (normalerweise als "Bequemlichkeit" bezeichnet, aber die Ressourcen können auch Zeit und / oder Geld sein). Wirklich gutes PoLP bedeutet zum Beispiel, dass niemand einen echten Root-Zugriff (auf Gott-Ebene) auf irgendetwas erhält, was die Dinge für Leute verlangsamt, denen wahrscheinlich so viel Zugriff anvertraut werden kann (man kann es nie wirklich wissen ). Ausfallsicherer Code ist schwieriger zu schreiben als Code, der nur den Befehlen vertraut, die von einer "vertrauenswürdigen" Quelle eingegeben wurden, selbst wenn dieser Befehl HCF ist. Paranoia hat seinen Preis ... aber dieser Preis kann durchaus unter dem liegen, was er kostet, wenn Sie 90% Ihrer Netzwerkkonnektivität verlieren.

Micheal Johnson
2016-07-30 22:59:37 UTC
view on stackexchange narkive permalink

Ein einzelner Mitarbeiter sollte niemals die Befugnis haben, solch weit verbreitete Schäden zu verursachen. Solche administrativen Aktionen sollten immer eine Authentifizierung durch zwei oder mehr separate Administratoren erfordern, wobei das Authentifizierungssystem nur von den Administratoren der obersten Ebene deaktiviert werden kann.

Falls dies bereits geschehen ist, hätte der Arbeitgeber dies getan jedes Recht, den Mitarbeiter zu entlassen.

peterh - Reinstate Monica
2016-07-31 07:04:56 UTC
view on stackexchange narkive permalink

In jedem Unternehmen, das ich gesehen habe, gab es auch sehr strenge interne Sicherheitsregeln. Wir konnten nichts von anderen Projekten sehen, nur unsere eigentlichen Aufgaben.

Wenn wir zwischen Projekten / Abteilungen wechselten, waren unsere Berechtigungen immer genau abgestimmt.

Nur ein enger Satz der Sysadmins hatten Zugang zu großen Teilen der Infrastruktur, alle arbeiteten mindestens 5-10 Jahre dort. Wahrscheinlich hatte niemand Zugriff auf das gesamte Netzwerk.

Das Verbinden von irgendetwas mit dem Unternehmensnetzwerk ohne ausdrückliche Erlaubnis (es war hoffnungslos, auch nur danach zu fragen) war immer strengstens verboten. Nachdem ich mein Smartphone an den USB-Anschluss angeschlossen hatte (nur um es zu laden), wurde ich in 5 Minuten von meinem Kollegen gefragt, was ich tue.

Unsere Computer / Laptops wurden uns vorinstalliert mit dem Firmenzertifikate. Nachdem wir das Unternehmen verlassen hatten, gaben wir sie zurück.

Es gab regelmäßige Sicherheitskontrollen, die von einem externen Unternehmen durchgeführt wurden (-> niemand wusste, was und wie sie tun). Auch unsere Software, die wir produziert haben, wurde von ihnen untersucht.

Was wir im Unternehmensnetzwerk getan haben, wurde wahrscheinlich bis zur Ewigkeit protokolliert und gesichert.

Wenn wir es getan hätten Zweifel hatten wir nicht gewusst, wie Protokolle gespeichert und geprüft werden. Nach dem Verlassen des Unternehmens wurden unsere Computer auch von einem externen Unternehmen auf Sicherheit geprüft und wahrscheinlich auf Sektorebene für den Fall eines später auftretenden "Problems" gesichert, um als Beweismittel zu dienen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...