Predložite mi software/opremu za unapređenje sistema/sigurnosti firme

[Shwele]

Dobili smo ponudu za neki projekat gde dobijamo resurse da poboljšamo overall sigurnost firme/računara/opreme.

Treba mi predlog za šta sve neki od vas (ili vaše firme) ulažu kada je sigurnost u pitanju. Licence su više nego dobrodošle, kao i određena softverska rešenja.

Meni stvari koji padaju na pamet:

• Jači laptopovi koji imaju dobre hard diskove i specifikacije da rade sa enkriptovanim fajlovima (specifično za moj IT team).
• Kupovina softwera za proveru sigurnosti mailova (godisnji paketi u pitanju) - mail-tester.com i G-lock Software mozda
• Kamera ispred kancelarije
• Unajmljivanje Linux eksperta za dodatno analiziranje strukture, konkretnije osoba fokusirana za mailove a i ostalo

Bacite misao i sugestiju, ove nedelje treba da napravimo neku listu i pošaljemo dalje, pa je svaka dobrodošla. (bonus: wordpress plugins i drupal ekstenzije vezano za sigurnost koje su preporučljive da se kupe, high demand na ovo!!!)

A i ako okasni, možda uguram kasnije u proposal, svakako pišite!

 

[Commander]

Sigurnost kreće od ISO27001 standarda i načina na koji skladištite poverljive podatke. Imaš na internetu korake za pristupanje i prilagođavanje ovom ISO standardu pa na osnovu toga možeš sam da zaključiš koji su vam najveći sigurnosni propusti.

Ja sam dosta literature iščitao na tu temu i dosta mi je pomogla bar da shvatim u čemu grešimo kolektivno, tek tada krene da te hvata panika jer uočiš da si u velikoj većini stvari nemoćan u trenutnom sistemu da kontrolišeš. Što je veći sistem to je teže vršiti kontrolu pristupa.

Najveći problem nisu ljudi spolja, već ljudi iznutra i od toga krećeš, zapamti to.

Nivoi pristupa i sigurnosti se ne postavljaju jačim laptopovima već procedurama koje sektori moraju da ispunjavaju, internet protokolima kojima smeju da pristupaju na webu, polisama, dozvolama, NDA ugovorima, SSL sertifikatima, VPN nadzoru itd itd.

Da bi se stvari oko sigurnosti jasno definisale moraš da razdvojiš termine Firewall/Security ili sigurnost podataka. U jednom kontekstu pišeš o enkriptovanim diskovima a u drugom delu o drupal pluginovima.

Pluginovima ne štitiš podatke, podatke štitiš kao što sam rekao jasnim pravilima o pravima pristupa, kontroli pristupa i kontroli upravljanja podacima. Kada se ispune ovi uslovi tek tada unapređuješ te podatke sa raznim slojevima aplikativne zaštite u vidu firewall-a i sličnih mehanizama odbrane od upada ili od neželjnog curenja informacija kako spolja tako i iznutra.

Tako da ako pričamo o sigurnosti kompanije/firme, to ti niko ne može u 5 rečenica reći ili opisati kako bi ti to predstavio svojim nadređenima jer to radi samo onaj ko ima potpunu kontrolu svega u firmi i upoznat je sa tehnologijama koje firma koristi, navikama zaposlenih i toku kojim firma ide dalje.

Ja mogu (ali neću jer imam NDA ugovor) da ti kažem šta moja firma koristi, ali i da ti kažem tebi to apsolutno neće ništa pomoći jer iako su moja i tvoja IT firme razlikuju se dijametralno, različiti budžeti, različiti zahtevi, tako da naš sistem sigurnosti koji broji “dosta nula na računu” tebi može da bude potpuno bezvredan jer ne koristiš tu tehnologiju niti stvari koje mi koristimo a nama završavaju posao. Isto tako je i obratno, ono što bi ti koristio nama bi bili bezvredno.

 

[Branimir_Maksimovic]

U kom smislu sigurnost? Enkripcija pomaze da se zastitis
od fizicke provale, recimo. No od hakerskih upada…

 

[Shwele]

U kom smislu sigurnost? Enkripcija pomaze da se zastitis
od fizicke provale, recimo. No od hakerskih upada…

Tako je, zato sam naveo kao primer i fizicki i softwerska resenja, buduci da je sveobuhvatan projekt za NGO sektor i sve sto je vezano za poboljšanje sigurnosti dolazi u obzir.

 

[Shwele]

Prva 3 pasusa noted down, već se vodim istim pravilom i polazim uvek od tih stvari hajde da vidimo kako je do nas pa do drugih onda tek.

Nivoi pristupa i sigurnosti se ne postavljaju jačim laptopovima već procedurama koje sektori moraju da ispunjavaju, internet protokolima kojima smeju da pristupaju na webu, polisama, dozvolama, NDA ugovorima, SSL sertifikatima, VPN nadzoru itd itd.

Pod jačim mislim dovoljno resource heavy, to nam je više poluga, kojom bi pokušali da obezbedimo resurse za laptopove. Ostalo razumem, baš iz tog razloga bi na tim računarima koji koriste baš te stvari stavili enkripciju primera radi.

Da bi se stvari oko sigurnosti jasno definisale moraš da razdvojiš termine Firewall/Security ili sigurnost podataka. U jednom kontekstu pišeš o enkriptovanim diskovima a u drugom delu o drupal pluginovima.

I jesu razdvojeni svesno, koristimo FW već regulisan za pojedine portove (mada recimo nemamo neku moguću kupljenu predefined varijantu koja je automatizovana).
Za plugins konkretno, imali smo problem sa jednim sajtom gde su botovi pokušali nešto, pa sam više naveo kao mogućnost isto, budući da sam video da postoje sa premium paketima koji nude mahom više opcija.

Tako da ako pričamo o sigurnosti kompanije/firme, to ti niko ne može u 5 rečenica reći ili opisati kako bi ti to predstavio svojim nadređenima jer to radi samo onaj ko ima potpunu kontrolu svega u firmi i upoznat je sa tehnologijama koje firma koristi, navikama zaposlenih i toku kojim firma ide dalje.

Naravno, to je nešto čega sam svestan ja i moj tim, da je jako subjektivna stvar. Mada, postoje i objektivne stvari uvek, kao i primeri koji mogu uvek sugerisati?

Poslednji pasus sam i kontao da sledi dok sam ti odgovarao, kontekst mi je dobro sugerisao. Naravno, osoba sam koja drži do sebe isto i poštuje, ipak nam je u prirodi posla da se ne priča o tim stvarima.

Više sam mislio dobra javna rešenja koja imaš na umu, sugetistje i slično.

 

[Commander]

Pod jačim mislim dovoljno resource heavy, to nam je više poluga, kojom bi pokušali da obezbedimo resurse za laptopove. Ostalo razumem, baš iz tog razloga bi na tim računarima koji koriste baš te stvari stavili enkripciju primera radi.

Postoji rešenje za ove stvari, mnoge kompanije rade tako pa i mi.

Laptop služi samo da se poveže na udaljeni server i sa njega se radi ceo posao. Na serveru podesiš i kreiraš pojedinačne naloge, podesiš mu rolu da odbije sve IP i MAC adrese i propustiš preko nekog levog porta samo IP adresu firme i stvar rešena.

Ako rade od kuće, kreiraš VPN na serveru razdeliš sertifikate, oni upucaju sertifikate na laptopove i rade.

Jeftinije je da kupiš jedan jači server koji će da nosi sve to nego da kupuješ gomilu lapotpova sa nekim jačim resursima samo da bi imao brzu enkripciju.

Dodatno na serveru možeš fino da kontrolišeš sve, ko je zakačen, ko koliko i kako radi…

 

[webad]

Tesko sta moze ovde da se doda
ssl, vpn, enkripcije, firewall-ovi, … su samo nacini da se zastiti od nezeljenih ociju/usiju, u slucaju kradje, itd. moglo bi se reci “must have” od starta.
veci je problem (kao sto je spomenuto) uvesti zaposlenima osecaj u to sta/kako koriste i koliko je to podlozno problemima. i ISO27001 bi trebao biti “must have”, ali njega treba napisati neka osoba i kasnije kontrolisati ista ili druga osoba. (kao sto je spomenuto) treba sagledati sve procese firme, koje su potrebe i na koji nacin se resavaju.
mogu navesti neke stvari koje sam licno video na razlicitim mestima:

• google docs/wetransfer/… i slicni iako firme imaju svoje (sigurne) mehanizme za razmenu dokumenata
• viber/fb/… za diskusije unutar firme iako firme imaju svoje interne nacine razmene poruka
• razliciti screenshot alati (koji sliku salju na svoj neki server pa ti daju url) u toku resavanja internih stvari
• ostavljanje aktivnog ulogovanog racunara tokom pauza i/ili van radnog vremena
• slaba pravila sifri (cak bez pravila)
• interni spiskovi zaposleni sa privatnim informacijama koji nekako zavrse svima dostupni
• bez redovnih sigurnosnih azuriranja, tj zastarelost i propusti u razlicitim software-ima koji se koriste

ima brdo stvari “da se najezis” kojih ljudi nisu svesni i koji mogu biti ispraceni sa “a sto smarate sad s ovim kad smo onako zavrsavali posao”

edit:

• pamcenje sifri - kako sam ovo uspeo da zaboravim

 

[webad]

da probam da se vratim na temu, tj kako povecati sigurnost necim sto moze da se kupi (zbog zanimljivosti pricamo o neogranicenim novcanim sredstvima):

• ssl sertifikati
• mozda zatreba dodatna oprema da se razdvoje mreze bar na: serveri, zaposleni, gosti
• hardware-ska enkripcija diskova
• posebni sistemi (kartice) za pristup razlicitim objektima kako bi se ogranicio i pratio pristup (od zgrade do prostorija unutar, pogotovo prostorije sa serverima)
• fizicko obezbedjenje (prostorije sa serverima)
• edukacije (ljudi koji se bave postavljanjem/odrzavanjem sigurnosne infrastrukture)
• High Availability (tj potreban hardware) na razlicitim nivoima kako bi mogao da se priusti downtime nekih delova zbog sigursnosnih azuriranja/provera/analiza/…

neke stvari koje sam naveo se oslanjaju da se ne vrsi zakup servera od neke trece firme, nego da se sama firma stara o kompletnoj infrastrukturi i da postoji adekvatno ljudstvo koje sve to prati

 

[Shwele]

Jeftinije je da kupiš jedan jači server koji će da nosi sve to nego da kupuješ gomilu lapotpova sa nekim jačim resursima samo da bi imao brzu enkripciju.

Jeste, ali je svakako poenta da hocemo da izmuvamo lovu za laptopove i resurse, ukoliko je iole moguće, tek ćemo videti kako će slatkorečivi šef uspeti.

Kontam, ako sam dobro ustanovio od poslednja dva odgovora najbolje je uraditi sledeće. VPN i sertifikati do istog da može da se pridje, odatle kad si na VPN-u možeš sve, bez istog ništa.

Tesko sta moze ovde da se doda

Svakako hvala, volim ove jednostavne stvari koje ljudi zaboravljaju mahom a bitne su za spomenuti. Eto na primer, pomenuo si wetransfer, imaš li predlog privatnog enkriptovanog tranfera sa slojevitom strukturom? Tipa uzmemo na 2 godine acc koji se bavi time, tho trebalo bi da istražim koji npr.

Pamćenje šifri je nužno zlo svima, naročito lenjima.

• SLL - imamo mada sada sa lets encryptom je daleko olakšavajuća okolnost.
• za mreže zanimljivo, videću da istražim tu ideju za naš tech kanc. Imamo jedan dodatni ruter, ako bi njegovu isključivo lokalnu adresu forsirao kao mogućnost za konekciju ka serverima to bi uradilo trik? spekulišem, nisam radio to do sada, ali deluje mi logično
• isto mi je palo na pamet za kartice, ali nisam siguran koliko možemo uspeti u toj ideji, barem si mi potvrdio da je vredna diskusije
• kada uzimaš hosting kod harača a nemas svoj, tj nismo IT firma još uvek da imamo svoje i razloga za svoje, kontam ovo otpada
• ovo ti je odlično, iskreno mi je prošla misao, ali kroz mali mozak i nije se obradila. Hvala dosta za suočavanje direktno sa idejom za edukaciju.
• Ovo bi imalo smisla da ne radim u NGO sektoru koji koriste više sistem i uslugu koju nudimo interno, grubo rečeno sa jedinim informacijama koje mogu da dam, tako da nije nešto što zahteva toliko pomnije, ali dao si mi solidan hint za ekspres uslugu nekih servera od strane provajdera što može da pomogne daleko.

heh, trebao sam odmah sve pročitati a ne ići sistematski, ali nadam se da sam te zabavio odgovorom!

I još jednom hvala, baš si u trenutku kada mi je trebalo odgovorio!

 

[webad]

pomenuo si wetransfer, imaš li predlog privatnog enkriptovanog tranfera sa slojevitom strukturom? Tipa uzmemo na 2 godine acc koji se bavi time, tho trebalo bi da istražim koji npr

iskusva su mi samo sa internim skladistima fajlova i internim procesima razmene/pristupa istima, tako da ne bih mogao (sa profesionalne strane) da predlozim neko resenje.
nije mi bila namera da navedem kao nepouzdane nacine deljenja fajlova, vec da postoje situacije gde je kretanje informacija (poruke, slike, dokumenta, …) preko spoljnog sveta, tj. koristeci tudje resurse, nedopustivo.

VPN i sertifikati do istog da može da se pridje, odatle kad si na VPN-u možeš sve, bez istog ništa.

mozda je najjednostavnije posmatrati VPN kao situaciju da se neko u kancelariji racunarom ukaci na mrezu firme. sta odatle moze da se postigne to je diskusija za sebe, ali je korisnik tu u 192.168.X.X. VPN je samo pomoc da ne mora fizicki biti u kanc, a da je (uz prethodno definisanu enkripciju) ta komunikacija sigurna.

 

[Branimir_Maksimovic]

Kod mene, recimo nije dozvoljeno da se pristupa firminom VPN-u sa privatnih kompova, mora sa
firminog.

 

[Zoran_Jankov]

Ako već nemate obavezno. Neki hardverski firewall, preporučujem Check Point.