Jesper Ravn

Vi kan på samme måde påstå at der er censur i vesten når hjemmesider blokeres på baggrund af en lov i et vestligt land.

Det retfærdiggøre på ingen måde denne sag i Rusland. Two wrongs don't make a right.

@PHK, det du beskriver i din blog, kan koges ned til rendyrket censur. Det er også censur, når Putin lukker aviser og uafhængige medier, når de ikke vil udlevere deres kilder eller skriver noget, der går mod regimet.

Du har godt nok en dårlig sag, når du benytter diktaturstaten Rusland, som løftestang for at fremme dine argumenter mod Cloud/IT Tech giganterne/IT-liberalisterne.

Hvad er i øvrigt definitionen på en IT-liberalist?

Bortset fra det, så mener jeg at det er skingert og patetisk at blive ved med at tale om WannaCry og NotPetya som cyberkrig, da der mere er tale om at folk selv ligger som de har redt, i deres inkompetente leflen for en usikker monokultu

Er du stadigvæk sur over, at 2017 ikke blev ”The year of the Linux desktop”?

I følge højesteret og ombudsmanden kan man ikke skjule eller undskylde sin egen faglige inkompetence under den såkaldte tavshedspligt.

Citat: Højesterets dom og Folketingets Ombudsmands udtalelse understreger, at offentligt ansatte har en vidtgående ret – og undertiden pligt – til at ytre sig om forhold på arbejdspladsen, som de finder kritisable.http://www.horten.dk/Viden/Artikel%202016/Ny-praksis-om-offentligt-ansattes-ytringsfrihed

Derudover burde diverse uduelige it-direktører og mellemledere hældes ud på røv og albuer.

Hmm, er det ensbetydende med at der ikke er nogen log, eller kontrol med hvem der søger efter hvad, hvornår og hvorfor.?
Hvis det er tilfældet synes jeg at det virker meget lidt betryggende, da det dermed er et rent tag-selv bord af oplysninger som de enkelte betjente tilsyneladende kan misbruge lige så meget de lyster (Jeg forestiller mig at der nok skal være enkelte personer som kunne finde på at bruge disse oplysninger til at "spionere" mod partnere, ekskærester, hende den søde nede fra bageren osv.)!

Det må være fedt for dig, at kunne sole sig på Version2 med dine populistiske kommentarer og holdninger. Jeg er ret sikker på, at du var kommet op på 50 likes, hvis du have nævnt masseovervågning, glidebane og demokratiske frihedsrettigheder. Heldigvis kører den virkelige verden videre udenfor Version2 aktivist boble og politiet får de nødvendige efterforskningsressourcer.

Der er et flertal i folketinget for at ANPG data kan lagers i op til 30 dage eller længere. Der er udarbejdet bekendtgørelse for udvidet anvendelsesområder for ANPG. Der er udarbejdet bekendtgørelse til brug af POL-INTEL (intelligence-led policing)

De ligger jo bare som de har redt.

Stop lige dig selv, please!! Det var MeDoc's servere der i første omgang blev hacket og som kører Ubuntu/Linux.

Når man som Mærsk har 89000 ansatte, så er der næsten garanti for at det sker hele tiden.

Glemte lige nedenstående, i forbindelse med snakken om store netværk :-)

Introducing Windows AutoPilot deploymenthttps://www.youtube.com/watch?v=4K4hC5NchbE

Accenture to upgrade over 400,000 employees to Windows 10 by 2018https://blogs.windows.com/business/2017/06/28/accenture-upgrade-400000-employees-windows-10-2018/

Det er alt sammen fine og gode ting. Det virker fint hvis man har et lille netværk.
Problemet er bare at det er en tilgang som forventer at man kan kontrollere alt hvad der sker på ens netværk. Det er en tilgang som fungerer fint, lige indtil noget slipper ind. Lige indtil nogen kobler en uautoriseret maskine, access point, etc. på trods af alle de fine sikkerhedsforanstaltninger det netop skulle forhindre dette. Eller hvis de kører noget autoriseret eller uautoriseret software. Mulighederne er uendelige. Når man som Mærsk har 89000 ansatte, så er der næsten garanti for at det sker hele tiden.
Det vigtigste er at designer sit netværk og IT systemer med en forventning om at noget slipper ind. Man skal forvente at man ikke har kontrol over alt hvad der sker. At nogle af ens computere, servere, switche og routere bliver angrebet og at man ikke længere kan stole på dem.

Nej, de virker også helt perfekt til store netværk.

De ting du nævner, er præcis det jeg snakker om. Måske var jeg ikke tydelig nok. Microsoft tænker nu Assume Breach ind i alle deres IT-sikkerhedsservices. Deres services udgør således et flow med Protect-Detect-Respond. Et par centrale services er f.eks.

Microsoft Advanced Threat Analytics:https://www.youtube.com/watch?v=g07w3qzT7-ohttps://www.youtube.com/watch?v=RAS-TI6PUrg

Diverse pentester er også ved, at blive opmærksomme på denne fanatiske service. En række af disse bypass er allerede rettet i ATA 1.8https://www.blackhat.com/us-17/briefings/schedule/index.html#evading-microsoft-ata-for-active-directory-domination-6251

Windows Defender Advanced Threat Protection – Office 365 ATP:https://www.youtube.com/watch?v=qxeGa3pxIwghttps://www.youtube.com/watch?v=IvZySDNfNpo&feature=youtu.behttps://www.youtube.com/watch?v=HkQZR9RBbPE

Alle Microsoft IT-sikkerhedsservices bliver bundet sammen af Intelligent Security Graph.https://www.youtube.com/watch?v=uj-S6w-HzYY&feature=youtu.be

Så ja, jeg mener stadigvæk, at man skal få implementeret Windows 10, med ovenstående services og kigge på alt andet bagefter.

Helt korrekt at det vigtigste vi kan gøre for at reducere effekten af et succesfuldt angreb er at segmentere vores netværk i meget små segmenter.

Nej, det vigtigste, er at beskytte brugens Identitet og Endpoint.

Kort fortalt: Fjern Local Admin Fjern angrebsvektoren Pass the hash /Impersonation Kom væk fra Windows 7 platformen

Udliciter centrale dele af din IT sikkerhed til cloud services som f.eks: MS ATA MS Office 365 ATP MS Windows Defender ATP MS MFA MS EMS

Så kan du lave dine 200 VLANs bagefter, hvis man kan overskue det og det giver mening.

Det man skal vide er, at det ikke er IT-faget der tilhører de 'herskende klasser'. IT-faget hører til sammen med VVS'eren, Tømreren, Mureren nede i håndværkerklassen, som bare skal gøre, hvad der blive sagt, og så ellers holde deres kæft.

Hvis det er tilfældet i en given organisation, så mener jeg, at vi skal kikke indad og selv komme op i gear, kæmpe og gøre en forskel. Kort fortalt: Udfordrer dine nærmeste kollegaer/chefer/ledelsen på hvorfor Windows 7 og traditionel perimeter sikkerhed er håbløst forældet. Spot de inkompetente IT drift/IT-sikkerheds kollegaer, som forsat er imod cloud teknologi og få dem omvendt eller kør uden om dem.

Man er simpelt hen nødt til, at tage IT mere seriøst. Igen husk på udbredelsen af IT verdenens svar på krydsermissiler, hellfire bevæbnede droner og SAM's ikke er begrænset til Nationer.

Helt enig. For mit eget vedkomne, fokuserer jeg meget på effektiv endpoint-beskyttelse. Men udover Protection, er det lige så vigtigt, at have fokus på Detection og Respond via assume breach tankegang.

Teknikken bag Petya er i øvrigt ikke ny. Vi har set samme type angreb fra 2016.https://blogs.technet.microsoft.com/mmpc/2016/03/17/no-mas-samas-whats-in-this-ransomwares-modus-operandi/

En ting man kan gøre, hvis man kører Windows 10, er at slå Credentials Guard til, hvor ved LSASS kører i en separat container, og derfor ikke kan tilgås fra Mimikatz.
Kræver dog rimelig ny hardware for at bruge (kræver en TPM 2.0 chip)

Vi kører Windows 10 med Secure Boot og Credential Guard på 5 år gamle Lenovo laptops (T530). Credential Guard er også supporteret med TPM 1.2.

</p>
<pre><code> Så et helt konstruktivt spørgsmål: Hvordan kan vi (udover at minimere rettighederne) beskytte mod sådan en vektor, som vel må fungere på tværs af software- og hardwareplatforme?

Kort svar: Det kan vi ikke! Hvis OS'et ikke er i stand til at beskytte vores credentials så kan intet beskytte systemet. PHK kan sandsynligvis fortælle om det er muligt at kode et system som kan beskytte credentials, det har jeg ikke ekspertise i.
</code></pre>
<p>

Med Windows 10, kan du på en effektiv og nem måde, beskytte dig mod såkaldt credential theft/impersonation, som længe har været benyttet af hackere/malware. Denne angrebsvektor kan lynhurtigt elimineres, ved at implementere nedenstående tiltag, via de velkendte Group Policy.

Least-Privilege Administrative Models:https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

Local Administrator Password Solution (LAPS):https://www.microsoft.com/en-us/download/details.aspx?id=46899

Credential Guard:https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard

Hej Morten

Det er en rigtig god og spændende analyse, som giver stof til eftertanke. Ingen tvivl om at Device Guard med AppLocker giver en rigtig effektiv endpoint sikkerhed. Jeg har selv været stor tilhænger af SRP og AppLocker og har også tidligere testet det en del.

Problemet er bare, at det tager sindssygt lang tid at implementere, hvis du ikke har et 100% homogent IT miljø. Som jeg ser det, skal du identificere samtlige applikationer og deres afhængigheder, drivere, scripts, code libraries.

For mellemstore og store virksomheder, skal det så gøres for land/lokation/afdeling/speciel medarbejder/udvikler.

Efterfølgende skal du også konstant vedligeholde policies, hver gang der kommer nye applikationer til og hver gang der kommer opdateringer, der ikke overholder trust policy.

Ud fra en Cost-Benefit Analyse, er det partisk talt umuligt, at få til at hænge sammen, som jeg ser det.

Det kunne være spændende at høre, hvor lang tid du bruger på at implementere DG/AppLocker hos større kunder og hvor mange ressourcer/mennesker der er dedikeret til et sådanne projekt.

Jeg har selv set lyset i at benytte de Microsoft services, som benytter Microsoft Intelligent Security Graph.https://www.microsoft.com/en-us/security/intelligence

Med disse får man et holistisk workflow med assume breach tankegang og med enkle parameter som: Protect – Detect – Respond

Ovenstående mener jeg på mange måder, har overhalet de IT-sikkerhedsteknologier vi kender i dag. Det gælder også whitelist teknologi. Ved at kigge på de typiske angrebsvektorer vi kender i dag, vil man som virksomhed, være rigtig godt kørende, ved at implementere nedenstående services. Man lejer disse services og de er forholdsvis simple og hurtige at komme i gang med.

Windows 10http://blog.jravn.dk/?p=2401http://blog.jravn.dk/?p=2541

Windows Defender med AMSI Windows Defender Advanced Threat Protection (WDATP) Office 365 Advanced Threat Protection (O365 ATA) Enterprise Mobility + Security + Azure AD Identity Protection (EMS) Azure Security Center Advanced Threat Analytics (ATA) – on-premises Operations Management Suite (OMS)

Jeg er enig med dig, at PowerShell er blevet en stadig større angrebsvektor med fileless/in-memory malware. Microsoft er 100% opmærksom på dette og opdatere løbende deres Windows Defender, WDATP og O365 ATA for at beskytte deres kunder.

Jeg tænker på, at implementere PSLockDownPolicy med værdien 4 = Constrained Language Mode. Dette kan sættes op uden Device Guard og AppLocker. Men jeg ved ikke hvor nemt, det er, at bypasse. Det må jeg få læst op på.

Jeg er 100% enig i dine betragtninger og antagelser og ser det samme.

Men også flot af Lise, der med hendes erfaring, belyser og gør os klogere på offentlig IT og er med til at skabe den nødvendige debat, hvordan det kan gøres bedre. Jeg er også meget enig de betragtninger der indgår under punkt planen, Hvis nu..

Uanset om en eller anden ny model måtte virker, vil jeg fastholde at en institution til uafhængig uvildig undersøgelse af havarerede projekter med krav om fuldstændig fremlæggelse til fremtidig læring er et godt og på nuværende tidspunkt helt nødvendigt tiltag. Omfanget og konsekvenserne af katastroferne er helt astronomiske.

Ok, her er vi så bare uenige. Jeg mener kommende tiltag, skal ske med forebyggelse via en radikal kulturændring i det offentlige, hvor man opsætter nye simple succes kriterier til arbejdsgange, IT-projekter og systemer i staten. Når alt føles som kaos omkring en, er der intet der slår en lavpraktisk brianstorm :-) Det kunne være følgende:

Få de nødvendige interne ressourcer og spidskompetencer tilbage i offentlig IT. Hvordan gør man så det?

Ændre kulturen, så man får værdier tilbage som f.eks. arbejdsglæde, ansvarsfølelse og faglig stolthed. Hvordan gør man så det?

Ledelsen, projektledere og mellemledere skal alle gå foran og vise medarbejderne at de tager ansvar og støtter deres kollegaer også i svære tider.

Ledelsen skal lære sige fra overfor politiske målsætninger og højtflyende visioner. Det kunne f.eks. være at sige, dette kan ikke lade sig gøre på en forsvarlig måde. Vi anbefaler derfor at lovgivningen forenkles og laves om.

Medarbejderne skal kunne sige fra over ledelsen med tilsvarende argumenter. Ledelsen eller de ansvarlige projekt-chefer skal kunne mærke konsekvensen, at være ansvarlig for et-hoved-under-armen-projekt eller system. Her tænker jeg på 10 kolde bagi.

Juster lønninger, så man kan fastholde erfaringen og et højt kompetence niveau. Giv bonusløn til alle medarbejdere på projekter der overholder deadlines og virker efter hensigten.

Alle projekter og systemer skal igennem en standard vurdering og startes op via en PoC i miniskala med korte deadlines. Hvordan gør man så det?

Findes der tilsvarende standard systemer rundt omkring verden vi kan benytte eller starte op fra. Findes der tilsvarende leverandører, der har prøvet dette før og kan hjælpe os godt på vej og ikke kun vælge den leverandør der er billigst. Erkend at man i disse projekter og systemer ikke kan tilgodese og opfylde alle parters krav og ønsker. Alle projekter og systemer, skal have del-leverancer, så det ikke bliver overskueligt og man bevarer fokus. Alle systemer skal først laves som en PoC og virke i miniskala med en kort deadline. Dette skal startes op ud fra en punktplan og skal være meget kortfattet. Alt det andet blah, blah dokumentation skal der først bruges tid på bagefter, hvis PoC’en er vellykket og godkendt. o.s.v….

</p>
<pre><code> Vil du være sød at svare på og forholde dig til den praktiske udførelse af ITHK

Håndtering som f.eks. havarikommissionerne for jernbane og luftfart, se: http://www.havarikommissionen.dk/index.php?lang=da
</code></pre>
<p>

Æv Niels. Jeg havde håbet, at du ville nuancere dine synspunkter noget mere til debatten. Vi kan ikke diskutere videre, når du ikke vil forholde dig til de kritik punkter af ITHK, jeg og andre har skrevet tilbage på.

Nej, det er explicit ikke ITHKs opgave at fastslå skyld eller foretage ansvarsplacering. Se @phk's oprindelige post her: <a href="https://www.version2.dk/blog/it-haverikommission-nu-51199">https://www…;.

Jeg har læst den. Vil du være sød at svare på og forholde dig til den praktiske udførelse af ITHK og effekten af denne, som Jesper F, Michael C og jeg har svaret tilbage på.

Jeg skriver lige mine modargumenter igen.

Praktisk udførelse af ITHK, leder mine tanker hen på McCarthy og USA i 1950’erne.

kæmpe root-cause analyser, som skal forhøre og udstille alle de involverede projektmedarbejdere og som mens det står på, vil nedfryse/lamme organisationerne mfl.

ITHK vil give lav lærings-og videns effekt, da politiske målsætninger, visioner, teknologisk udvikling og kravspec til nye projekter, konstant vil ændre sig.

Vi skal forbygge og starte med at erkende, at den offentlige organisatoriske struktur som vi ser den i dag, ikke er gearet til, at kunne favne disse monster projekter.

Det har jeg forholdt mig til. Om den konkrete årsag ligger forud for projekt, under projektet, om det er ledelsen, teknikken, kontrakten, kulturen, projektmodellen, leverandøren, teknikken, love / regler eller et eller andet er ikke centrale. Årsagen skal findes og dokumenteres til fremtidig læring.

Ja, jeg har forstået, at du vil have kæmpe root-cause analyser, som skal forhøre og udstille alle de involverede projektmedarbejdere og som mens det står på, vil nedfryse/lamme organisationerne mfl.

Hvad med at forbygge og starte med at erkende, at den offentlige organisatoriske struktur som vi ser den i dag, ikke er gearet til, at kunne favne disse monster projekter.

Du skriver ”Årsagen skal findes og dokumenteres til fremtidig læring” Jeg spørger så, hvad vil du bruge dette til, når politiske målsætninger, visioner, teknologisk udvikling og kravspec til nye projekter, konstant vil ændre sig?

Vi lærer tilsyneladende heller ikke af vores fejl, hvis vi ser på området indenfor IT-sikkerhed. Du ved, det er noget bøvlet noget og vores fokus er på visioner og form og ikke indhold.

Vi er på den anden side af hvor tro, drømme,”klare opfattelser” og ”bange for” er en rimelig præmis at fortsætte på. Vi må have viden og skabe læring.

Ja vi må have viden, men først og fremmest må vi have en ledelsesstruktur der fungerer, leder og tager ansvar. Forhold dig så også lige til resten af mit indlæg og det jeg skrev omkring ITHK.

Resten af dit bullshit, fremmer ikke min forståelse overfor dine argumenter.