it-swarm-es.com

Asegurar la oficina en casa del tipo de seguridad: ¿qué debemos hacer?

Leí un artículo en la última revista InfoSecurity (un trapo comercial de seguridad de información de Elsevier) que dice que nosotros, los profesionales de la seguridad, no necesariamente estamos tomando las medidas correctas para proteger nuestras propias redes y computadoras de oficina en casa. Ahora, como consultor de seguridad que opera desde mi propia oficina en casa, le pregunto cómo protege su oficina en casa. ¿Qué deberíamos estar haciendo?

Usando mi propio entorno como ejemplo, hago todo lo posible para proteger el código fuente de mis clientes (estoy en seguridad de aplicaciones). También utilizo WPA2 en el enrutador y cambio la contraseña de vez en cuando para tratar de evitar el rastreo de la red. Tengo un firewall en cada computadora, aunque tal vez no reviso los registros con tanta frecuencia como podría ... y tengo copias de seguridad tanto localmente como fuera del sitio. Y, por supuesto, el hardware en sí está asegurado.

Entonces, ¿qué me he perdido? ¿Qué harías? ¿Qué no harías tú? Por supuesto, las políticas no son una buena solución porque solo soy uno, y no estoy dispuesto a despedirlo ;-)

24
user185

Hice un pequeño artículo sobre esto en el Financial Times hace 3 o 4 años, pero no puedo encontrar más que el titular. De todos modos, como suelo practicar lo que predico, tengo mi casa configurada con redes separadas por riesgo.

  • Tengo un enrutador inalámbrico con dos redes que solo se conectan a Internet. Una DMZ que solo usa WEP para que mis hijos usen sus Nintendo DS en línea y otra que es para mi comunidad local inalámbrica gratuita
  • Otro enrutador aloja una red WPA2 segura (principalmente para mi PlayStation 3)
  • Para las redes cableadas, tengo una red de baja sensibilidad para el resto de la familia, que se conecta mediante máquinas virtuales que he creado para ellos, y una red de mayor sensibilidad para la mayor parte de mi investigación y actividad no relacionada con el cliente.
  • Para el trabajo de prueba de seguridad para los clientes, tengo una subred de mayor seguridad que requiere una autenticación multifactor fuerte

Para las plataformas, siempre he encontrado que lo más simple es usar una compilación reforzada para las pruebas del cliente, que se puede desglosar una vez que se completan las pruebas y los informes. La compilación tiene contraseña de BIOS y cifrado de disco completo. Todas las máquinas y servidores en todas mis redes también tienen firewalls y antivirus y están actualizados según las instrucciones del proveedor.

Si tiene un encargado de seguridad trabajando desde casa, puede resultarle difícil auditar el kit en el sitio, lo que puede ser un problema en términos de administrar el riesgo de ellos. Por lo general, no tiene muchas soluciones aquí, ya que tienen posesión física del kit y no están supervisadas de manera efectiva: comprenda cuánto necesita confiar en ellas, asegúrese de que su contrato sea apropiado y configure el registro según corresponda.

Estoy de acuerdo en que necesita seguridad física, no solo en las puertas, cajas fuertes y ataduras de computadoras, sino también en la documentación en papel y los archivos/copias de seguridad.

¡Las copias de seguridad y el seguro son esenciales! Utilizo copias de seguridad encriptadas en un sitio que es muy poco probable que esté dentro del radio de la explosión si mi casa tiene un avión aterrizando en él (podría suceder, estoy a solo un par de millas del acceso al aeropuerto de Edimburgo)

19
Rory Alsop

Seguridad del código fuente

Dependiendo de su configuración, esto puede o no ser factible, sin embargo:

  • Guardo el código fuente de todos los clientes en medios extraíbles que se guardan en una caja fuerte en todo momento que no se utilicen. Esto evita el robo físico de las PC que exponen el código fuente de los clientes, así como también evita que los atacantes remotos tengan acceso a dicho código fuente.

  • Cuando termino con una versión de la aplicación, destruyo la copia física (si no la tengo, no puede ser robada).

Seguridad de la información/Integridad

  • Tenga en cuenta que su oficina en casa no es el único lugar donde es responsable de la seguridad. La información que genera/entrega es igual (si no más) valiosa para un atacante.

  • Implementar cadena de custodia para informes de vulnerabilidad. De esta forma se tiene documentación de todas las personas que han tenido acceso a los datos, desde la secretaria del personal de desarrollo, hasta el director general de la empresa de su cliente. Entrego personalmente todos los informes cuando es posible para reducir la probabilidad de compromiso.

Misc

  • Otro pequeño detalle que me gusta hacer para la oficina en casa es apagar la transmisión SSID en mi enrutador inalámbrico. Esta única (y sencilla) tarea disuadirá a la mayoría de la gente de husmear.
8
Purge

¿Qué pasa con la seguridad física?

  • Discos duros cifrados (en todos los discos de todos los sistemas)
  • Caja fuerte a prueba de fuego para copias de seguridad, tanto en el sitio como fuera
  • Cerraduras adecuadas en las puertas
7
Steve
  1. Desarrolle y practique anualmente su propio plan de seguridad.

Veo mucha buena información con respecto a la detección de intrusiones, monitoreo, etc., pero nada supera a un plan de seguridad completo que se puede revisar y practicar en el momento especificado. ¿Sabría qué hacer si su USB HD fallara con los datos de sus clientes, podría tener sus datos disponibles de inmediato? En tu cabeza estás diciendo que sí, pero has desconectado tu HD, los datos se han ido, el teléfono suena, es el cliente el que quiere que se le envíen los datos lo antes posible. ¿Qué pasa si sus datos locales se vean comprometidos, no solo podría detectarlos, sino reaccionar ante ellos y, además, recuperar los datos? ¿Qué pasa si no puede recuperar los datos, qué pasos se han implementado con los clientes para cubrir eso?

  1. Contrate una empresa para realizar pruebas de penetración en su entorno.

Veo mucha especulación sobre "¿qué debo asegurar?", WEP, datos, etc. No hay nada peor que usar el "enfoque de escopeta" cuando se trata de seguridad. Imagina por un segundo que eres tu propio cliente, ¿qué opción te gustaría que hicieras? Puede adivinar qué necesidades se aseguran o puede saber con certeza qué necesidades se aseguran. Puede crear 25 SSID falsos y toda esta charla anterior, pero eso es todo en vano si hay una vulnerabilidad de la que NO es consciente y NO aborda. Incluso si eres un experto en el campo, este es tu negocio y tus ingresos, ¡no hay nada de malo en que otra persona "verifique" tu trabajo!

Dejaré la novela ahora ... mis disculpas.

6
badcode

Hay dos partes de la seguridad de los datos.

  1. Manteniéndolos fuera
  2. Detectando cuando fallaste en eso

Para mantenerlos fuera, sin conocer los detalles de su red, sus pasos parecen razonables. Eso no es un respaldo per se, siempre puedes hacer más. Aunque hay un punto en el que pasas de una seguridad razonable a un paranoico (luego progresando más te conviertes en la TSA).

Para detectar dónde falló al mantenerlos fuera, necesita algún tipo de monitoreo de intrusión en el Host. Necesita algo que pueda escanear en busca de evidencia de nalgas e informarle de manera confiable. Informarlo de forma fiable es la clave. Necesita equilibrar la relación señal/ruido. Demasiadas alertas y empezarás a ignorarlas. Demasiados pocos y no detectará la recámara.

5
bahamat

Mis puntos de acceso WiFi (cargados con inyecciones de virus a nivel http) alrededor de la cuadra matarán la PC de cualquier atacante, le mostrarán una pr0n factible para que pierda la atención (las mujeres también) y una vez que llegue a mis sistemas de CCTV, yo ' Le daré fotos al pobre chico a su novia.

Todas las computadoras portátiles están en túneles SSH para proxy web y acceso remoto a chats (irc, Jabber, ¡pantalla de agradecimiento!). Básicamente, no se necesita nada más. Además, no quiero proporcionar a los sitios web ningún detalle sobre el uso de diferentes sistemas operativos, resoluciones de pantalla, etc., al menos mi espacio de trabajo siempre está en una máquina virtual accesible a través de RDP sobre SSH y desde la terminal.

PD No me gusta la idea de tener un apartamento de una sola casa identificado con múltiples redes. Es como ir a un bar y pagar a seguridad en lugar de barista, o escuchar reggae y fumar mientras se reinstala el sistema operativo en el departamento de policía. En cambio, transmito muchas redes e identificaciones falsas para detectar posibles ataques.

0
kagali-san