Έρευνα Check Point: η Εξ Αποστάσεως Εργασία έχει δημιουργήσει Κενό στις Πρακτικές Ασφάλειας των Οργανισμών

[euri]

Μας έχεις μπερδέψει εντελώς.

Υπάρχουν γεωγραφικοί περιορισμοί στο VPN και δεν μπορείς πχ να μπεις από ελλάδα ή απλά είναι τακτική της εταιρίας να μην επιτρέπει να βγει έξω από την χώρα το λάπτοπ και έτσι το σέβεσαι.

Προφανώς ο οργανισμός/εταιρεία απαγορεύει μέσω πολιτικής ασφάλειας (security policy) να μεταφέρει οποιοδήποτε υλικό εκτός χώρας (και ο tisgarid προφανώς το τηρεί, εξ ου και οι διαμαρτυρίες του).
Από την άλλη, θα μπορούσαν πολύ εύκολα να υλοποιήσουν αποκλεισμό στο VPN βάσει γεωγραφικών κριτηρίων. Το ένα δεν αποκλείει το άλλο.

[nnn]

Λογικά τα laptops τους έχουν κάποιου είδους ασφαλείας στο hardware και ευαίσθητη τεχνολογία, που δεν θέλουν να "πέσει" σε ξένα χέρια.

[euri]

Απλά σε ορισμένες περιπτώσεις είναι υπερβολή το ένα η το άλλο άκρο και λάθος τακτική...

Δυστυχώς δεν την ακολουθούν όλοι και ναι είναι για τα μπάζα... Θα συμφωνήσω ...

Το μόνο εύκολο είναι να λέμε διάφορα και να κρίνουμε όταν δεν έχουμε πλήρη γνώση της κατάστασης.

Ας πούμε, έχεις μια εταιρεία που διαχειρίζεται εμπορικά μυστικά, τα οποία αν διαρρεύσουν θα έχουν ως αποτέλεσμα όχι μόνο οικονομικό αντίκτυπο λόγω απωλειών, αλλά και νομικές συνέπειες. Το μάνατζμεντ σε αυτήν την περίπτωση δε θα σκεφτεί την ευκολία του εργαζόμενου, αλλά την ασφάλεια των δεδομένων και τη νομική κάλυψη.

- - - Updated - - -

Λογικά τα laptops τους έχουν κάποιου είδους ασφαλείας στο hardware και ευαίσθητη τεχνολογία, που δεν θέλουν να "πέσει" σε ξένα χέρια.

Οι δίσκοι στα λάπτοπ προφανώς θα είναι κρυπτογραφημένοι, οπότε και να χαθούν/κλαπούν, ο οποιοσδήποτε που θα το πάρει, δεν μπορεί απλά να βγάλει το δίσκο και να διαβάσει τα δεδομένα του.
Όμως, το λάπτοπ έχει μέσα το TPM, στο οποίο έχουν αποθηκευθεί τα κλειδιά κρυπτογράφησης του δίσκου (Bitlocker, αν μιλάμε για Windows). Αν κάποιος καταφέρει να σπάσει το ΤΡΜ και πάρει τα κλειδιά κρυπτογράφησης, τότε μπορεί να ανοίξει και το δίσκο.

Ανάλογα λοιπόν με το τι προστασία θέλεις να παρέχεις στα δεδομένα σου, μεταβάλλεις αντίστοιχα και το επίπεδο παρανοϊκότητας.

[DVader]

Το μόνο εύκολο είναι να λέμε διάφορα και να κρίνουμε όταν δεν έχουμε πλήρη γνώση της κατάστασης.

Ας πούμε, έχεις μια εταιρεία που διαχειρίζεται εμπορικά μυστικά, τα οποία αν διαρρεύσουν θα έχουν ως αποτέλεσμα όχι μόνο οικονομικό αντίκτυπο λόγω απωλειών, αλλά και νομικές συνέπειες. Το μάνατζμεντ σε αυτήν την περίπτωση δε θα σκεφτεί την ευκολία του εργαζόμενου, αλλά την ασφάλεια των δεδομένων και τη νομική κάλυψη.

- - - Updated - - -



Οι δίσκοι στα λάπτοπ προφανώς θα είναι κρυπτογραφημένοι, οπότε και να χαθούν/κλαπούν, ο οποιοσδήποτε που θα το πάρει, δεν μπορεί απλά να βγάλει το δίσκο και να διαβάσει τα δεδομένα του.
Όμως, το λάπτοπ έχει μέσα το TPM, στο οποίο έχουν αποθηκευθεί τα κλειδιά κρυπτογράφησης του δίσκου (Bitlocker, αν μιλάμε για Windows). Αν κάποιος καταφέρει να σπάσει το ΤΡΜ και πάρει τα κλειδιά κρυπτογράφησης, τότε μπορεί να ανοίξει και το δίσκο.

Ανάλογα λοιπόν με το τι προστασία θέλεις να παρέχεις στα δεδομένα σου, μεταβάλλεις αντίστοιχα και το επίπεδο παρανοϊκότητας.

Συμφωνώ διότι δεν ξέρω τι συγκεκριμένη κατάσταση ... Κρίνω από το πως το έχω υλοποιήσει εγώ !

Επίσης στο δικό μας δίκτυο οι VPN Users δεν βλέπουν τίποτα πάνω στο δίκτυο. Απλά μετά το connect συνδέονται με Remote Desktop από το οποίο δεν μπορείς να κάνεις και τίποτα τα πάντα είναι κομμένα ... οπότε ο άλλος κάνει μια χαρά την δουλειά του...Και εγώ βέβαια εχω geo locations βαλμένα ....
Εγώ θεωρώ πάντα ότι υπάρχουν λύσεις και η λύση πονάει χέρι κόψει χέρι δεν λύνει ουσιαστικά το πρόβλημα... Το μεγάλο ελλάτωμα όλων όσων λέω έιναι ότι θέλει πολύ χρόνο για config όταν λένε πολύ θέλει πολύ ... και ειδικά όταν έχεις μικτά περιβάλλοντα σε λειτουργικά εκεί γίνεται του κουτρούλη ο γάμος...

- - - Updated - - -

Για το αστείο της υπόθεσης ... εγώ το περιορίζω στην Αττική ..

Αν πας στην Σάμο δεν παίζει ....... Το αστείο είναι δεν το είχαμε πει στους χρήστες και πήγε ο άλλος με το laptop στην 2η καραντίνα στο χωρίο του και έφαγε πόρτα άσε που έμπαινε και ότι ναναι ώρες... Είχαμε γέλια...

[euri]

Για το αστείο της υπόθεσης ... εγώ το περιορίζω στην Αττική ..

Αν πας στην Σάμο δεν παίζει ....... Το αστείο είναι δεν το είχαμε πει στους χρήστες και πήγε ο άλλος με το laptop στην 2η καραντίνα στο χωρίο του και έφαγε πόρτα άσε που έμπαινε και ότι ναναι ώρες... Είχαμε γέλια...

Και μετά λες άλλους ότι είναι για τα μπάζα; Έχετε κάποια πολιτική που απαγορεύει την πρόσβαση για clients εκτός Αττικής; Αν όχι, τότε έβαλες έναν άχρηστο περιορισμό, ο οποίος εμπόδισε εργαζόμενο να εργαστεί. Εδώ δεν είναι πονάει χέρι κόψει χέρι, είναι δεν πονάει τίποτα, κόψει χέρι.

Είπαμε, εκτός χορού πολλά τραγούδια λέμε όλοι μας.

[DVader]

Και μετά λες άλλους ότι είναι για τα μπάζα; Έχετε κάποια πολιτική που απαγορεύει την πρόσβαση για clients εκτός Αττικής; Αν όχι, τότε έβαλες έναν άχρηστο περιορισμό, ο οποίος εμπόδισε εργαζόμενο να εργαστεί. Εδώ δεν είναι πονάει χέρι κόψει χέρι, είναι δεν πονάει τίποτα, κόψει χέρι.

Είπαμε, εκτός χορού πολλά τραγούδια λέμε όλοι μας.

Εμείς δίνουμε ένα software για το VPN και ο κάθε εργαζόμενος έχει τα κλειδιά του και τα βάζει όπου θέλει ... σε όποιο PC θέλει ...
Αν λοιπόν συνδεθεί από ενα laptop του και βρίσκεται κάπου που δεν επιτρέπονται τα VPN θα γκρινιάζει ότι θέλει υποστήριξη γιατί δεν μπαίνει και θα ταλαιπωρεί τους τεχνικούς μας άσκοπα.... Αρχικά το είχα από όπου θέλεις ακόμα και από εξωτερικό ... Όμως βάσει στατιστικών τα περισσότερα προβλήματα από πολλές περιοχές εκτός Αττικής οπότε και κόπηκε ...γενικώς... Έτσι εξασφαλίζω ότι θα είναι από κάποιο οικιακό υπολογιστή εντός οικίας και έχω τα λιγότερα προβλήματα αλλά ακόμα και αν προκύψει πρόβλημα και λυθεί δεν θα λυθεί άσκοπα...

Οι πολιτικές του δικτύου είναι άσχετες με την γενικότερη πολιτική και τις ορίζει το admins team..

Πραγματικά στο θέμα του VPN από όποια πλευρά να το δεις έχει τεράστια θέματα και είναι τεράστιο μπλέξιμο και πολλές είναι και ευθύνη και των παρόχων ...

Ξέχασα να πω ότι αν κάποιος κάνει αίτημα για σύνδεση από άλλη περιοχή και είναι να μείνει μια 1 εβδομάδα π.χ που σημαίνει μεγάλο χρονικό διάστημα ανοίγετε και παραμένει για τον χρήστη του ανοικτό για το διάστημα αυτό...Εξετάζετε δηλαδή ...

Άρα λοιπόν δεν είναι άχρηστος....

[euri]

Οκ, όπως βολεύεται ο καθένας. Αφού λειτουργεί το μαγαζί σωστά, όλα μια χαρά τότε

Αυτό που βλέπω όμως είναι πολιτική η οποία εφαρμόζεται όχι με σκοπό να διευκολύνει το χρήστη να δουλέψει, αλλά για να μην "ταλαιπωρεί τους τεχνικούς μας άσκοπα". Όπως επίσης ότι η πολιτική δεν είχε ανακοινωθεί καθώς "Το αστείο είναι δεν το είχαμε πει στους χρήστες".

[Mosfet]

Αν ο mail server είναι στο δικό σου datacentre ( on-prem που λένε στο χωριό μου), τότε και το άνοιγμα του webmail στο internet είναι ένα ακόμα attack surface. Οπότε ανάλογα με την πολιτική ασφαλείας του εκάστοτε οργανισμού, μπορεί και να μην το επιτρέπουν χωρίς VPN.

Οτιδήποτε ανοίγει στο internet είναι attack surface. Αλλά για αυτό το λόγο, υπάρχουν τα penetration tests και τα vulnerability scans.

Διαφορετικά, αν τα πάντα ήταν, για λόγους πολιτικής ασφάλειας, εκτός internet τότε προφανώς και το τελευταίο δεν θα είχε κάποιο ουσιαστικό λόγο ύπαρξης.

[tsigarid]

Μόνο ο σύντροφος nnn με καταλαβαίνει μου φαίνεται:

Μπα εκεί που δουλεύει πραγματικά απαιτείται να είναι παρανοικοί με την ασφάλεια.

Λογικά τα laptops τους έχουν κάποιου είδους ασφαλείας στο hardware και ευαίσθητη τεχνολογία, που δεν θέλουν να "πέσει" σε ξένα χέρια.

Επίσης, ασφαλώς και έχουμε κρυπτογραφημένους δίσκους, αλλά δεν είναι η καραμέλα κάποιων εδώ μέσα ότι "ότι κλειδώνει, ξεκλειδώνει";

- - - Updated - - -

Νομίζω βρίσκεσαι σε σύγχυση. Εγώ απάντησα στο DVader. Εσύ δεν ξέρω από που συμπέρανες ότι απάντησα σε εσένα. Καλό θα είναι να διαβάζετε λίγο προσεκτικά αυτά που γράφονται και σε ποιον απευθύνονται, για να μην απαντάτε ότι να ναι.

Τεσπα, επιστρέφοντας στο θέμα τώρα, πες στο IT της εταιρείας σου, ότι το webmail κατά βάση έχει αυτή τη χρησιμότητα (δηλαδή να είναι προσβάσιμο από όπου υπάρχει internet). Από τη στιγμή που μπαίνεις με VPN, δεν έχεις πρακτικά κανένα λόγο να χρησιμοποιήσεις webmail αντί κάποιου mail client (π.χ. outlook).

Ξεκάθαρα απάντησες και σε μένα: https://www.adslgr.com/forum/threads...=1#post7199178

- - - Updated - - -

Off Topic

Εντελώς τυχαία μόλις είδα αυτό: https://www.cnn.gr/kosmos/story/3000...oys-sto-pekino. Οι CIO κλπ στις ΗΠΑ έχουν και αυτοί αφεντικά.

[Mosfet]

Ξεκάθαρα απάντησες και σε μένα: https://www.adslgr.com/forum/threads...=1#post7199178

Άλλο πράγμα απάντησα σε εσένα, στο οποίο δεν απάντησες ποτέ και μετά έγραψε ο DVader, στον οποίο απάντησα. Ας μην παίζουμε λοιπόν την κολοκυθιά, το thread εδώ βρίσκεται, φαίνεται η ακολουθία των μηνυμάτων.

[DVader]

Οκ, όπως βολεύεται ο καθένας. Αφού λειτουργεί το μαγαζί σωστά, όλα μια χαρά τότε

Αυτό που βλέπω όμως είναι πολιτική η οποία εφαρμόζεται όχι με σκοπό να διευκολύνει το χρήστη να δουλέψει, αλλά για να μην "ταλαιπωρεί τους τεχνικούς μας άσκοπα". Όπως επίσης ότι η πολιτική δεν είχε ανακοινωθεί καθώς "Το αστείο είναι δεν το είχαμε πει στους χρήστες".

Εσύ ως χρήστης φωνάζεις για τους χρήστες...Εγώ από την άλλη βλέπω και τις 2 πλευρές...

[tsigarid]

Άλλο πράγμα απάντησα σε εσένα, στο οποίο δεν απάντησες ποτέ και μετά έγραψε ο DVader, στον οποίο απάντησα. Ας μην παίζουμε λοιπόν την κολοκυθιά, το thread εδώ βρίσκεται, φαίνεται η ακολουθία των μηνυμάτων.

Ειλικρινά έχω κουραστεί από την επιμονή σου. Με ρώτησες γιατί δεν έχουμε webmail και σου απάντησα, 2 φορές, ότι έχουμε. Πήγαινε πίσω στα μηνύματα και δες. Δεν είναι τόσα πολλά.

[Mosfet]

Ειλικρινά έχω κουραστεί από την επιμονή σου. Με ρώτησες γιατί δεν έχουμε webmail και σου απάντησα, 2 φορές, ότι έχουμε. Πήγαινε πίσω στα μηνύματα και δες. Δεν είναι τόσα πολλά.

Συμφωνώ και εγώ, νομίζω αρκετά το κουράσαμε το θέμα. Εσύ λες τα δικά σου και εγώ λέω τα δικά μου. Οπότε δεν έχει νόημα να συνεχιστεί αυτή η κουβέντα...

Πάντως, όπως έγραψα και πιο πριν, η αλληλουχία των μηνυμάτων βρίσκεται στο παρόν thread. Οπότε ο καθένας διαβάζει και αξιολογεί κατά την κρίση του...

[euri]

Οτιδήποτε ανοίγει στο internet είναι attack surface. Αλλά για αυτό το λόγο, υπάρχουν τα penetration tests και τα vulnerability scans.

Διαφορετικά, αν τα πάντα ήταν, για λόγους πολιτικής ασφάλειας, εκτός internet τότε προφανώς και το τελευταίο δεν θα είχε κάποιο ουσιαστικό λόγο ύπαρξης.

Εννοείται ότι ό,τι ανοίγεις προς τα έξω αυξάνει το attack surface. Ζυγίζεις τα υπέρ και τα κατά, και ανοίγεις αυτά που θεωρείς απαραίτητα. Στην περίπτωση του tsigarid, αλλά και τη δική μου, τα μαγαζιά μας έκριναν ότι ο κίνδυνος είναι μεγαλύτερος από το όφελος, οπότε αποφάσισαν να μην είναι προσβάσιμο το webmail από το public internet, αλλά μόνο μόνο μέσω VPN.

[Mosfet]

Προφανώς το κάθε μαγαζί, όπως λες και εσύ, ζυγίζει και κρίνει τα υπέρ και τα κατά (ανάλογα πάντα με τις δυνατότητές του), του να παρέχει ή όχι e-mail πρόσβαση εκτός VPN.

Απλά κάποιοι security experts, εντός ή εκτός εισαγωγικών, σε διάφορες εταιρίες του ιδιωτικού τομέα το έχουν τερματίσει το θέμα και νομίζουν ότι βρίσκονται στο FBI ή στην NSA.