Jaa


10 Immutable Laws of Security

En del diskusjoner og spørsmål jeg har fått rundt sikkerhet i det siste som gjør at jeg tenkte det er på tide å nevne disse lovene igjen. Ta en kikk på på Technet artikkelen om dem for mer grundig gjennomgang av allle sammen.

  • Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore
  • Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore
  • Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
  • Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more
  • Law #5: Weak passwords trump strong security
  • Law #6: A computer is only as secure as the administrator is trustworthy
  • Law #7: Encrypted data is only as secure as the decryption key
  • Law #8: An out of date virus scanner is only marginally better than no virus scanner at all
  • Law #9: Absolute anonymity isn't practical, in real life or on the Web
  • Law #10: Technology is not a panacea

 

Noen kommentarer

#2 og #3

Disse to henger i stor grad sammen når det gjelder hvilke angrep som er mulig. Inneholder data'en sensitiv informasjon av noe slag og du ikke kan sikre den godt nok fysisk, sørg for harddiskkryptering og implementer den løsning helt etter Best-Practise for gjeldende produkt. Dette gjelder også spesielt Domain Controllere (og andre servere) ute på mindre kontorer, ofte er ikke disse sikret særlig godt fysisk og det er dessverre mange kreative plasseringer av serverne her, under pulter eller i skap osv.

To andre ting å tenke på med laptoper: 

1) En del firmaer har en lokal admin med samme passord på alle sine maskiner. De mer avanserte endrer dette jevnlig, men likevel er det likt på alle maskiner. Hva da når du en laptop blir borte? Potensielt har da personen med laptopen nå godt tid på seg til å cracke passordet til den felles admin brukeren og kan benytte dette på alle andre maskiner i nettet ditt.

2) Hvis en laptop er borte, er du sikker på at en domain admin eller bruker med ekstra rettigheter i domenet aldri har logget på den? Hvis de har det kan personen som nå har maskinen potensielt få ut passord hashen til denne brukeren og ta seg god tid til å cracke den. Eller bruke en gratis online tjeneste som gjør det relativt raskt selv med lengre og komplekse passord.  (God serverkapasitet og store rainbox tabeller fikser det)

#10

Denne syns jeg er utrolig viktig. Det er lett å lene seg på gode tekniske løsninger og la teknikken sørge for sikkerheten. Og teknologien har absolutt en rolle å spille i å tilby gode sikkerhetsløsninger, men alene er ikke dette godt nok. Det trengs regler for brukerne og ikke minst IT-avdelingen relatert til sikkerhet og alle må vite om disse. Det trengs rutiner for å håndtere avvik og sikkerhetsproblemer.

Og sist men ikke minst, opplæring av brukere er utrolig viktig! En bruker som har et minstemål av forståelsen for sikkerhetsproblematikk relatert til IT-løsninger er en langt sikrere bruker. Og mennesker som forstår litt mer av bakgrunnen for regler (IT-sikkerhetsreglementet) er langt mer troende til å faktisk følge det.

 

Litt på tvers av alle reglene

Jeg får ofte et spørsmål relatert til ønske om å låse ned maskinen mest mulig, slik at brukeren ikke kan endre ting osv. Og det er i seg selv ikke vanskelig, men altfor ofte er dette i en sammenheng der brukerene er lokal administrator. Jeg vet det ikke er like lett alltid å få til en generell løsning der brukerne er standard brukere, men disse to elementene "låse ned" og "bruker som er lokal admin" er to selvmotsigelser. Heldigvis er det blitt lettere å få til standard brukere på Windows Vista og om man tar i bruk Group Policy er det også lett å sentralisere styring av unntakene, de som må være lokal admin.

Comments

  • Anonymous
    January 01, 2003
    Da er Teched IT-Professionals i gang her i Barcelona. Det hele begynte idag med Brad Anderson (General