Køb ikke sikkerhedsappliances

I skal ihvertfald ikke gøre det med hovedet under armen.

I min morgens nyheder, dvs twitter, stødte jeg på:
A decisionmaker's guide to buying security appliances and gateways

og jeg kan kun tilslutte mig det han fortæller.

Vi ser igen og igen at de enheder som placeres direkte på internet eller med direkte feed fra internet er usikre og har Remote Code Execution RCE-type exploits, WTF?!

Det drejer sig om enheder som er BEREGENET, DESIGNET til at modtage en brandslange af spam, virus, emails, websider, flash, activeX, Java, zip filer, you-name-it

Så skynd jer at læse artiklen og tænk så på at dygtige programmører som Wietse Venema (Postfix m.fl.) og PHK også laver mange fejl - måske i omegnen af en sikkerhedsmæssigt relevant fejl pr 1000 linier kode. Hvor mange fejl er det så? Svært at sige, men jeg fandt en dejlig grafik via Google http://www.informationisbeautiful.net/visualizations/million-lines-of-code/

Så husk de råd fra guiden ovenfor, når og HVIS I køber sikkerhedsappliances.

PS NU ved I også hvorfor jeg ikke selv bruger anti-virus, det øger ofte angrebsfladen mens det sløver maskinen til det ubrugelige.

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Bøgelund

Køb ikke sikkerhedsappliances
I skal ihvertfald ikke gøre det med hovedet under armen.

"Security is a mindset, not a product" - stadig sandt.

PS NU ved I også hvorfor jeg ikke selv bruger anti-virus, det øger ofte angrebsfladen mens det sløver maskinen til det ubrugelige.

Hvad bruger du så? Sund fornuft er som bekendt ikke uniformt fordelt blandt slutbrugere...

  • 4
  • 0
Henrik Kramshøj Blogger

Primært bruger jeg backup, backup og backup. For nyligt fandt (genfandt) jeg beskrivelsen 3-2-1 backup.

Den kan man eksempelvis finde på: http://blog.trendmicro.com/trendlabs-security-intelligence/world-backup-...

The accepted rule for backup best practices is the three-two-one rule. It can be summarized as: if you’re backing something up, you should have:

  • At least three copies,
  • In two different formats,
  • with one of those copies off-site.

Så har vi klaret en KÆMPE STOR DEL af vores sikkerhedsproblemer. Nogen har trykket på ransomware, shite! Rens og indlæs backup. Nogen har fået virus, SHIIIT, Rens og genindlæs backup - tager et par timer selv for en idiot som mig der smadrede min mac for nyligt med seneste opdatering til El Capitan og skulle restore 300Gb.

Hvis man kun har få resourcer er god backup DEN bedste sikkerhedsmæssige ting at gøre, IMHO.

Dernæst så klarer backup jo "kun" Integrity og Availability fra vores CIA triad of confidentiality, integrity, and availability, ikke Confidentiality.

Så for at sikre confidentiality er mine råd typisk. Begræns funktionalitet mest muligt, isoler data, isoler applikationer. Det er mangesidet, og ikke nået der lige kan stå i et svar her. Eksempler:

  • Brug flere browsere, da NemID krævede Java - brug en Safari browser og brug så Chrome/Firefox til resten af internet
  • Brug altid NoScript Firefox/ScriptBlock Chrome, Click to play - kun Chrome flash og den slags. Afinstaller Flash og Java osv.
  • Brug flere computere, en til arbejde og køb så en til privat brug - en lille laptop med dine data, som IT-afdelingen IKKE styrer. Jeg bruger selv to telefoner af samme årsag.
  • Kig på Qubes OS - det er lidt ekstremt, men faktisk viser test over lidt tid at det er MEGET brugbart. Lidt ligesom Linux tidligere, lidt bøvlet at komme igang med, men sjovt.

osv.

  • 5
  • 0
Carsten Gehling

Et punkt mere:

Stol kun på dit OS(*) - ikke 3. parts software. Både Windows, OSX og Linux har efterhånden gode centraliserede rutiner for patching af sårbarheder og automatisk opdatering af din computer.

  • tilliden skal selvfølgelig kun strække sig til evnen til at lukke sårbarheder og ikke til f.eks. om OS'et værner om dit privatliv...
  • 2
  • 0
Peter Christiansen

Jeg bruger selv rsync til backup, til flere forskellige servere,
hvor jeg ruller mellem 7 forskellige fulde backups, så jeg også
har mulighed for at gå op til 7 dage tilbage hvis der skulle ske
noget uventet der kræver at man går tilbage til en tidligere backup.

  • 1
  • 0
Brian Hansen

100% enig med Henrik mht. til backup.
Det er ca. det eneste jeg konsekvent vil sige at jeg smider alt andet hvad jeg har mellem hænderne, hvis backup jobbene rasler ned. Backup er ubetinget den vigtigste funktion af IT afdelingen, alt andet kommer i 2. række.
Selv min gamerspand derhjemme kører backup dagligt:
Fra de primære SSD'er over til lager diskene, derfra mirror til min homelab server, som så smider det op til backblaze.
Overkill? På igen måde.

  • 3
  • 0
Claus Waldersdorff Knudsen

Så skynd jer at læse artiklen og tænk så på at dygtige programmører som Wietse Venema (Postfix m.fl.) og PHK også laver mange fejl - måske i omegnen af en sikkerhedsmæssigt relevant fejl pr 1000 linier kode. Hvor mange fejl er det så? Svært at sige, men jeg fandt en dejlig grafik via Google http://www.informationisbeautiful.net/visualizations/million-lines-of-code/

Det er da så rart at vide at der kun er ca 100.000 fejl i en moderne "high end" bils software.
Og her gik jeg og troede at det var værre ;-)

  • 2
  • 0
Mike Mikjær Blogger

Jeg kan anbefale http://backuppc.sourceforge.net/ kombineret med en server hos Hetzner, du kan snildt få 2-3 TB for under 500kr/mdr, den sørger for deduplication, komprimering, og den har virkelig mange muligheder ifht. opsætning - og derudover er den super nem at hacke videre på.

Backupen er også min nr. 1 indenfor sikkerhed ... nummer to er at jeg til enhver tid antager at mine closed-source maskiner er kompromiteret ... dvs håndtering af fortrolige informationer foregår ikke på den slags maskiner.

Det er så lidt udfordrende fordi jeg passer en del servere der benytter VMWare og ZenServer så jeg er nødt til at have en Windows PC med for at kunne administrere dem og en Linux PC med hvor jeg bruger PGP og SSH fra, det er selvfølgelig lidt ubelejligt ... om det er mine kompetencer på Windows der ikke er gode nok til at holde den ren eller om det er Windows der er for kompliceret skal jeg ikke gøre mig klog på ... men jeg har det bedst med at skille de to ting ad :)

  • 1
  • 0
Brian Hansen

Hvis du antager at alt closed source er kompromitteret, så er det da sjovt du gemmer det hele hos Hetzner :)
Iøvrigt det mest lyssky hosting firma på den her side af Atlanterhavet, måske Cyberbunker undtaget...

Hvis det er firmadata, så ud til bånd IMO.
Det er hurtigere end online, meget billigere og med offsite backup til f.eks. en bankboks så er dine data godt sikre.
16TB hver weekend, tager ca. 2 dage at køre ud. Incrementals hver 2. time mellem 8 og 16 til hverdag, så er du ret godt dækket ind :)

  • 0
  • 0
Martin Jensen

Jeg er selv tilhænger af 3-2-1 reglen. Jeg kan bare godt lide at tilføje et 'nul'; 3-2-1-0 - samme som ovenstående, men det skal kræve 0 menneskelig indblanden at holde det kørende. Ellers sørger katastrofe-nisserne for, at den dag det menneskelige glippede, skulle du have brugt det der glippede. Det er træls at være ham der glemte at skifte det bånd, eller glemte at tage harddisken med hjem, eller glemte at klikke 'upload', eller glemte at bestille kurér til afhentning, eller, eller.

Kun monitoreringen og verifikationen skal være suppleret af menneskelig kontrol og restore verifikation (og resten af den disciplin), og det på struktureret vis. :-)

Fokus børe være på at have 100% styr på restore-disciplinen. Det er det det handler om. Backup er sådan en afledt ting, man så bliver nødt til at tage sig af. :-)

  • 0
  • 0
Peter Christiansen

Hvis du antager at alt closed source er kompromitteret, så er det da sjovt du gemmer det hele hos Hetzner :)
Iøvrigt det mest lyssky hosting firma på den her side af Atlanterhavet,

Hvorfor mener du at Hetzner er det mest lyssky hosting firma?
Jeg har selv benyttet dem i 10+ år og deres service er fantastisk,
10 minutter fra ticket oprettese til disk er skiftet også i weekenden.

Man kan selv vælge om man ønsker windows eller linux som platform,
så jeg forstår heller ikke din bemærkning ang. kompromittering.

Man får naturligvis hvad man betaler for hos Hetzner, så det er klart
at man selv skal stå for det hele hvis man får problemer (på sw siden),
så for nogen kan det være frustrerende hvis de ikke yder hjælp på
"insæt spørgsmål om o/s problemer".

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize