12 bad enterprise security habits to break

HUP cikkturkáló

https://enterprisersproject.com/article/2018/2/12-bad-enterprise-securi…

Szívesen szétszedném a cikket apró darabokra, de amennyit értek belőle és hozzá, annak alapján nem találok benne kirívó hülyeséget :)

  • 3846 megtekintés

( Jason v | 2018. 02. 24., szo – 08:54 )

8-as pont különösen fáj.

9-es pedig egy volt munkahelyemen volt igen nagy móka ;) Mondjuk ott főleg azért, mert rossz eszközöket vettek meg.

Amikor a security ész nélkül nemet mond dolgokra, akkor kezdődik a shadow IT egy különösen durva változata, a shadow security.

Példa: _kötelező_ megváltoztatni 90 naponta egy service account jelszavát. De azt a konfigban átírni igen szopó*. Mit csinál a fejlesztő kínjában? Automatizálja.
Eredmény: Nem csak egy credential store-ban vagy wallet-ben van meg a jelszó, hanem már n+2 helyen, hogy 1) tudja mire kell megváltoztatni, 2) tudja mi az aktuális jelszó.
Vagy: Ilyenkor jönnek az admin menük, meg a DB-ben tárolt jelszavak. Persze nem szólsz, hogy a readonly role-ból vegyék ki azt a táblát, mert akkor gyanús lesz.

*van olyan, hogy csak redeploy-jal tudsz beszúrni új jelszót (pl a security team elbaszott elvárásai miatt XD). Tehát minden jelszó változtatás egy release lifecycle. 90 naponta deploy egy kurva jelszó miatt?! Ráadásul pontosan akkor kell majd megváltoztatnod a jelszót, amikor a deploy történik.

Az itt leírtak a képzelet szüleményei.
A komment megírása során egyetlen dinoszaurusz sem halt ki.

Pedig az is benne van, hogy 1) többször kell igent mondani, mert ha valamilyen szolgáltatásra igény van, azt meg kell csinálni központilag, biztonságosan, mert különben jön a shadow it megoldás, és 2) nem szabad indoklás és magyarázat nélkül nemet mondani, mert akkor a security-t mindenki csak kerékkötő bandának tekinti, akiket jobb nem megkérdezni.

Bár ez csak a szeku határterülete, a just say nonál is van rosszabb: amikor az auditor ki van képezve arra, hogy read/write vs. read-only jogokat firtasson, és ezzel az apparátussal elkezdi firtatni, hogy adott db-felhasználó akkor most rw vagy ro. Ahhhaa... hogy ez bonyolultabb... oké, érti ő, nem hülye... De akkor most ez rw vagy ro?

Kifejezetten arra sarkallja az embert, hogy finomhangolja a jogköröket.

Amellett, hogy nem vagyok ab ovo a jelszóváltoztatások időszaki kierőszakolása ellen, sajnos az én képzeletem is tud szülni olyan helyzetet, amelyben
- a CÉG főhadiszállása előírja a jelszóváltoztatási frekvencia minimumát, és hogy 3-4-5 sikertelen próba után nincs több bocsi, az érintett id kerüljön lakat alá,
- a CÉG leánya külső (egyéb leányoknál lévő) adatforrásokat vesz igénybe, azok némelyikéhez csak 1 accountot kap, mert... csak, pedig a sokadik is pont annyira volna ingyen,
- miközben a leánynak több és többféle middleware-ben kell az adatforrást használnia,
- ez oda vezet, hogy az Egy Id jelszavának változtatásához az összes érintett szolgáltatást le kell állítani (hogy a régi-új jelszódiff ne zárolja 1-2 perc alatt az Egy Id-t), a jelszavakat egyszerre átírni, aztán újraindulni,
- miközben a CÉG leányának vezetősége sokkilences SLA-ról álmodik, de azt se bánná, ha 100 fölé menne.

( gabrielakos v | 2018. 02. 24., szo – 10:12 )

jó kis lista
9-es gyönyörű, szerintem minden cégnél megvolt amit eddig láttam.
a byod és a shadow it együtt különösen szép. tulképpen fogalmad sincs semmiről (és esélyed sincs h legyen) :)

--
Gábriel Ákos

A 7-es se kutya.

Eddig még az összes, egyetemi gebinbe kiadott munka a kukában végezte. Amelyik nem a funkció nem teljesítése miatt, az azért, mert a végeredményben nyoma sem volt annak a feltételezésnek, hogy egy vállalati környezetben az appot nem _egy_ ember fogja használni admin/root joggal minden használt erőforrás felé.

Hogy a fejlesztő srácok erre nem gondoltak, betudható a zöld fülnek; az adott, hogy az innovációt kitaláló ("ki kell találni valamit, mindegy mit, csak jó sok levélen legyen ott a nevem - másnak is bejött már") nem a földön él, kérdezni meg nem mer, mert esetleg kiderül, hogy az egész alapötlet hülyeség, és a vágyott, hosszú címzettlistás levelekből nem lesz semmi; de hogy a munka egyetemi koordinációjáért felelős (mármint: akik ilyen minőségben feltüntették magukat a dokumentáción) féltucat, különböző tudományos fokozattal jegyzett tanár közül egy se kezdte el firtatni, hogy itten tényleg az aknakereső szintűével megegyező biztonsági réteget akarnak-e a cég termelési adataiban turkáló app köré, arra csak aggályos magyarázatok vannak.

( end | 2018. 02. 24., szo – 14:03 )

Kihagyták a 13. pontot, hogy a bizonyos esetekben a céges munkakörnyezetben egyedül használható Windows operációs-rendszerben, fejlesztők olyan függőségeket alakítanak ki az oprendszer funkcióit illetően, (valójában a távoli beavatkozáshoz és az ehhez (is) szükséges "adatbányászathoz",) amely már eleve lehetetlenné teszi helyes beállításokkal a biztonsági kockázatok minimalizálását.

(Egy sor folyamat fut egy Windows 10-es rendszerben amely, amennyiben nincsen rá szükség a válallalati felhasználás keretében, akkor sem kapcsolható ki, márpedig biztosra veszem, hogy a média-sharing, az Xbox, a Sticky-notes, film és zenelejátszás, Cortana, stb. (v. a sokat emlegetett Candy Crush Soda Saga automatikus letöltődése is ilyen..,) a tűzfalon való alapértelmezett kiengedése egyáltalán nem a biztoságos hálózati működéshez szükséges beállítás, mint ahogyan az sem, hogy "kiütésük" esetén a rendszer már a következő "boot"-nál visszateszi tűzfalszabály alapértelmezett kiengedő beállításait.

Van egy rendszer amelynek a használatát rákényszerítik a vállalatokra, közben tőlük várják ezen "ezerszer is lyukas sajt" biztonságos üzembentartását. (Talán a felhasználás biztonsági szempontjait kellene a fejlesztés középpontjába állítani, mert lehet egy szál kaszával, (vizipuskával) is a fronton a gépfegyverek ellen vezényelni katonákat, de akkor nem rajtuk kéne számon kérni a halálukat.

Akik értenek hozzá, azoknak kéne megfelelő szinvonalon megtervezni és fejleszteni a felhasználókra bízandó, a "harcban" adekvát eszközöket. Mert a W10-el egyáltalán nem a biztos, a kézben tartható, "védőpáncél"-operációs rendszert sikerült munkaeszközként "elkövetni. Pedig a negyedévenként 300 millió roszindulató kód világában szükség lenne rá. (Egy biztonsági per tárgyában, egy ügyészi vádbeszéd alapja inkább lehetne.)

( uid_4656 v | 2018. 02. 24., szo – 22:48 )

Amit itt shadow IT-nak hívnak az ellen nem nagyon lehet "csak úgy" küzdeni.

Van egy rakat olyan szolgáltatás, aminek egyszerűen nincs olyan versenytársa, amit házon belül meg lehetne csinálni. Ilyenek pl. a Google Drive, kicsit IT-sabbaknak a draw.io, de az Office 365-höz hasonlót se nagyon lehet csinálni, a belső AD/Exchange/Skype/Sharepoint sose lesz olyan jó, mint az MS által csinált.

Emiatt némileg igazságtalannak érzem azt az állítást, hogy az IT szemet húny ezek felett. Inkább csak nem próbál tűzfújási versenyt folytatni egy sárkánnyal, mert még le talál égni.

Megoldás persze van, tök jó a céges Google Drive meg Office 365 - csak néhány esetben jogszabályi korlátozás miatt nem használhatóak, sok esetben irreális félelmek miatt nem alkalmazhatóak, és még több esetben teljesen rosszul ítéli meg a cég ezek valós hasznát és költségét.

Ha céges O365 vagy Gugli apps nem járható, pláne ha jogszabályi korlát van, akkor szerintem többféle eszközzel (konkrét appok futásának kizárása, tűzfal stb, szúrópróba szerű ellenőrzések) lehet ezeket korlátozni. Ilyen esetben valszin a dolgozók is bőven tisztában vannak vele, hogy nem az "ájti agymenése" "gátolja a munkában", hanem egy _külső_ előírás.

Az igazán szomorú, hogy hiába van esetleg fullos Office365, mégis próbálkoznak. "Azt mondta a partner küldjem így". Aha, hát ha azt mondták, akkor mindenképp.

Enterspájz vonalon is nehéz bármit elvárni a juzerektől, amíg maguktól nem mozognak minimum az erősjelszó és uptodatesupportaltrendszer vonalon a saját ügyeikben.

Még csak nem is kell office 365, sokkal egyszerűbb problémák is előfordulnak. Pl. nincs céges pastebin vagy hasonló. Nincs céges git szerver (vagy hasonló) ami
nem projekthez kötött. Nincs lehetőség közös dokumentum szerkesztésre (ala google docs)

Rommá van korlátozva a hálózat, miközben külsős ügyfél szervereit kell adminisztrálni. Nincs céges chat. Nincs hivatalos, működő csoportos hívás (a skype for business mostanában egyszerűen egy katasztrófa). Nem tudsz nagy méretű file-t küldeni ügyfélnek. Az ügyféllel való adatmegosztás nincs kényelmesen megoldva.

Gyakorlatilag a shadow IT azért alakul ki, mert a dolgozók nélküle a mindennapi munkájukat nem tudják megoldani (vagy olyannyira körülményesen, hogy inkább egy könnyebb utat választanak)

Gyakorlatilag a shadow IT azért alakul ki, mert a dolgozók nélküle a mindennapi munkájukat nem tudják megoldani (vagy olyannyira körülményesen, hogy inkább egy könnyebb utat választanak)

Igen, ezt felismerni az első fázis.

De utána adódik a kérdés: mégis, mi a péket csinálhatna az IT ez ellen?

Jobb szolgáltatásokat nem tud építeni, egyetlen cég IT-ja sem olyan jó, hogy képes legyen egyszerre versenyezni az MS-sel, a Guglival meg vagy 23 másik specializált szolgáltató céggel.

Tiltani nem lehet, mert az IT nem mondhatja meg a dolgozónak, hogy ne vegyen magának egy saját telefont és használja (illetve lehet ilyet mondani, de semmi kényszerítő ereje nincs).

Ha esetleg van is kényszerítő erő, pl. a menedzsment kirúgja azt, aki vét a(z itt már az IT által kikényszerített...) szabályok ellen, akkor meg bukik a biznisz.

Szerintem azzal lehet legjobban megfogni a problémakört, ha őszintén beszélünk róla - csak ez nehéz.

Esetleg feedback-elnie kéne a policy-ra, hogy "tekintetes CFO Úrhölgy, ez így faszs^Wkontraproduktív. Mi lenne, ha nem pofázna bele a securityba más megközelítést választanánk..."
Vagy: "Az XY tiltása óta a $BadHabit 350%-kkal megnőtt, _tehát_ a policy szar."
Vagy ezek kombinációja.

Alapvetően a törvényi problémákra hívták fel a figyelmet korábban. Tehát aki olyan szabályzás alá tartozik ott hiába ugrálsz, mint IT, nagyon hamar le fogják tekerni a hangerőt. Kis cégeknél eleve ritka a komolyan vehető és fullosan betartott policy, ott megy a csapatás. A nagyobbaknál van policy és próbálják is betartani, de hidd el, hogy elébe menni az összes ilyen shadow sztorinak akkora erőforrás igény, hogy nem tudnak vele patent módon foglalkozni. Általában egészen addig, amíg a felsővezetés nem "ütközik korlátba", na onnantól marhasürgős lesz.

Képzeld magad elé azt a felsővezetőt (kis és közepes hazai cégnél mondjuk), aki olyan IT-sról álmodik, aki egész nap csak "olvasgat/tesztelget" és remek hosszú "emaileket írkál" hetente a felsővezetésnek. Mindezt olyan fizuért, hogy két supportos simán kijön belőle.

Aztán pedig egy távoli galaxisban van egy hely, ahol kapva kaptak az Office365-ön. Pont azért, hogy az ilyen privátdropbox, toldacuccot, kicsipostafiók és tsai nyúlványoknak elébe menjenek. A sokadik köremail és prezentáció után sem képesek agyilag fogni a felhasználók, hogy a Onedrive/Skype for Business, Sharepoint és társaik nem ellenük, hanem értük vannak.

Ide egy hosszabb leírást kezdtem el, de csak a lényeg:
Ha az IT diktál, és nem kiszolgálja a business igényeket, ott van megbaszva minden.

Az office365 szar :D ez a velős véleményem, kezdve a sharepointtal. Meg amíg úgy kéne kliensnek onedriveban küldened nagy filet, hogy a linket ő nem láthatja, mert nincs joga hozzá (ne kérdezd, milyen corporate admin beállítás kell hozzá...), akkor _NEM_ fog tudni a paraszt onedriveon nagy fájlt küldeni, még ha akarna se.
Pláne amikor van 10672896342789 GB helyed crashplan pro-ban, DE MINEK MERT MINDENED CLOUDBAN VAN (git, wiki, _bármi_), akkor ez a pénz miért nem ment el mondjuk arra, hogy alapból legyen Visio-d, ha már a ügyfél vsd-t küldözget?
Az a baj, hogy rossz dolgokra megy el a pénz. Nekem 2x ennyi ram kéne - de miért akarok eltérni az corporate HW standardtól? Indokoljam meg térdencsúszva.

(Fenti történések egy messzi messzi galaxisban történtek.)

Az IT nem diktál. Az IT a cégre és ezen belül rá vonatkozó policy-t betartja. Hogy ez jó, vagy kevésbé jó vagy esetleg rossz arra tehet javaslatot.

A Onedrive for Business remekül működik úgy általában, bár gondolom be lehet használhatatlanra állítani. (Olyan opció valóban van, hogy letiltsd a sima link küldést és csak konkrét MS accal lehessen megosztani példul. Még ezt sem érzem óriás issuenak, de ez megint nem IT issue, hanem policy issue.)

Gondolom sejted, hogy a korporéten termő hardware sem véletlenül olyan, amilyen, de főleg próbál egységes lenni. Nem gondolnám, hogy egy RAM duplázással problémázni kéne.

Érzed ugye, hogy nem részegen találtam ki ezeket a problémákat...

De, az IT diktál. Amíg logikus érveléssel nem tudok hatni egy teamre, addig diktálás folyik, nem más.
Ki írja a policy-t?

A korporajte hw azért olyan, mert az a legolcsóbb XD
Az a probléma, hogy ha nekem KELL (és nem imac-esen/manageresen kell, hanem valóban, legit kell) bele a sok ram, akkor az miért nem policy?

+1, végre kezdenek rájönni a cégek, hogy annak a 2-3 négyzetméternek a fenntartása amit az open office-ban elfoglal az asztalom, nagyságrendekkel többe kerül mint egy tetszőleges high-end laptopot megvenni háromévente

a legtöbb helyen még mindig furák a prioritások amikor költekezni kell, de szerencsére jó irányba kezd mozdulni a világ

ezt mondjuk nem vágom h miért.
persze vannak olyan elkefélt enterprise projektek amik nem tudnak megmozdulni 16gb ram alatt de ezeket eddig pár nap munkával sikerült mindig addig szelídíteni h 8gb-s géppel is simán élhetőek lettek.
csak bele kell tenni az effortot.

--
Gábriel Ákos

Nyiss meg egy pl. 32GB-s hprof dumpot. Ha nincs legalább feleannyi ramod, halál lesz összevissza ugrálni benne.

Vagy: futtass egyszerre JDevelopert és Eclipset egy local weblogic mellett. Kell mellé egy böngésző is, ugye (ticketing, doksik, apidoc-ok, hup), meg egy sqldeveloper is befigyel...

- belököm konténerbe, annyi ram van alatta amennyit akarok.
- ahol 32GB hprof dump van ott amúgy sztem más architektúrális baj is van

- weblogic, ehehe, nincs több kérdésem :)

embert nem hallottam még aki weblogic értelmes előnyét tudott volna mondani. mégis temérdek helyen ez van, "adottság"

--
Gábriel Ákos

sok helyen úgy van, hogy van egy "global oracle subscription" és abban minden benne van, ergo "ingyen van, használjuk ki".
és enterprise tehát biztos jó.
persze egyáltalán nem használják ki, supportnak nulla darab kérdést tesznek fel (na jó persze indiaitól mekkora értelme van bármit is kérdezni, mikorra kapsz értelmes választ, stb).
akinek meg használni kell kínlódjon vele bátran.
nagyon haragszom ezekre...

--
Gábriel Ákos

"Ha az IT diktál, és nem kiszolgálja a business igényeket, ott van megbaszva minden."

Nálunk speciel nem diktál, hanem kiszolgálja a business igényeket, és... meg van baszva minden.

Az éppen a "legfontosabb a bevétel szempontjából" jokert bedobó fickó (mindig más, mindig máshonnan), megkeresve a megfelelő szintű konzulenst, az igényelt kivételekkel és kivételek kivételeivel el tudja érni, hogy ne legyen értelme a rendszer és a prioritás szavaknak (a fejlesztők óránként más-más madzagon rángatott bohócbábuk). Az igazi ízt az adja meg, amikor a "megrendelések intájm teljesítéséhez teljesítéséhez elengedhetetlen" kártya is előkerül: olyan környezetben, ahol a megrendelések száma a töredéke a korábbi évekének, a támogató intelligencia pedig nagyságrendileg jobb, egy kávé alatt kiderül, hogy honnan fenyegeti a legnagyobb veszély a cég kiszállítását.

Az IT górénak szava sincs, nem is lehet, az ő osztálya támogat... nem dumál, hónapos terveket bármilyen szalmaláng kedvéért a szemétre dob... aztán kikukázza, hogy később újra kidobja. Remélhetőleg két évnél nem kell tovább kibírnia a felelősség érdemi döntési jogkör nélkül helyzetét, aztán elrotálják kevesebb skizofréniát megkövetelő székbe.

Pl. csábító a facility.
Ha a facility előírja, hogy addig nem dugsz be új kávéfőzőt, amíg be nincs mérve, mert (téged, egyedül) megvághat az áram, akkor a kávéfőző nincs bedugva, de PC, szerver, switch se - bizniszre hivatkozni nem ér.

Ha az IT előírja, hogy nem kaphatsz a gépeden/domainben admin jogot, nem telepíthetsz semmit a saját szakálladra, mert téged és rajtad keresztül sokakat megszívathat egy 0-day vírus, akkor "és ha szólok a főnök főnöke főnökének?". És szól, és mehet a policy a csába - miközben még soha nem vágott senkit agyon a cégnél kávéfőző, viszont 0-day vírussal volt már két hétnyi sírás és fogaknak tsikorgatása.

Bolond egy szakma ez.

Ha a facility előírja, hogy addig nem dugsz be új kávéfőzőt, amíg be nincs mérve, mert (téged, egyedül) megvághat az áram, akkor a kávéfőző nincs bedugva, de PC, szerver, switch se - bizniszre hivatkozni nem ér.

nalunk pont ez van, csak a plecsni le is jar, ujra kell merni! aztan ehhez ki kell huzni a konntektorbol... :)

És szól, és mehet a policy a csába - miközben még soha nem vágott senkit agyon a cégnél kávéfőző, viszont 0-day vírussal volt már két hétnyi sírás és fogaknak tsikorgatása.

Ez bizony lehet, viszont az első eset olyan, hogy azért valakinek simán kioszthatnak némi letöltendőt, míg a második max. anyagi kárt jelent. És az, aki a szabadságát kockáztatja, az érthető módon könnyedén védi inkább a seggét. Sajnos ilyen ez a popszakma...

Nemrég hallottam egy nagyon jó mondást, ami az infosec dolgokra is nagyon igaz: biztonsági ajtót venni pontosan ugyanannyiba kerül a betörés előtt, mint utána.

Egész nyugodtan hagyja mindenki elburjánzani a shadow IT-t, mert egyrészt nekem addig biztosítva van a megélhetésem, másrészt az after-the-fact tűzoltás kitűnő lehetőség az unalmas munkaidő tartalmas eltöltésére. Májustól még arra is lesz lehetőség, hogy az érintett szervezetek pénzbeli támogatással járuljanak hozzá az ország költségvetéséhez.

> A sokadik köremail és prezentáció után sem képesek agyilag fogni a felhasználók, hogy a Onedrive/Skype for Business, Sharepoint és társaik nem ellenük, hanem értük vannak.

Valamikor ez tényleg PEBKAC, de kicsit meg kell védenem a felhasználókat is, sokszor a változáskezelést sikerül kispórolni a projektből.

Azért egy Dropbox, Google apps vagy Skype használatot már (talán jól) ismerő juzernél nem várnék idegrohamot, ha a hasonlóan működő másikat kellene használni. Viszonylag egyedi, vagy összetett szoftvernél nyilván nem várom, hogy hirtelen megvilágosodjon, de az alapokat ne kelljen már hetente végignyammogni.

A kérdésem utáni felsorolásban az első elem az volt, hogy "megoldani ezeket kontroll alatt lévő alternatív szolgáltatások nyújtásával". Nos, ez az, ami szerintem esélytelen, nem lehet egy IT-ilag kicsi, általános cég esetében olyan színvonalon megcsinálni ezeket a szolgáltatásokat, mint amilyen színvonalon más, ezekre specializált cégektől elérhetőek.

(Hogy ne csak office jellegű példa legyen: egy 1-10000 fő levelezését bonyolító cég soha nem fog tudni olyan jó spamszűrőt csinálni, mint pl. a Gmail vagy az O365. Egyszerűen statisztikailag nincs hozzá elég adata.)

( zrubi v | 2018. 02. 26., h – 09:08 )

Hülyeséget én sem látok benne.
Sőt, mindegyik pont felismerhető kisebb nagyobb mértékben az összes nagy cégnél ahol eddig játam ;)

És ráadásul, ha én írnék ilyen cikket akkor várhatóan simán kirúgnának.

--
zrubi.hu