Minden dolgozót megszorongat a Microsoft a biztonságért

Hozzászólások

Az ilyen prioritások prioritásánál a határidő, a piacra lépés, a profit mindent felül szokott írni. Sajnos. "Majd megoldjuk a következő sprintben."
Szóval hiszem, ha látom.

Tény, hogy az MS sokat tett a biztonságért, sokat javított rajta (volt honnan). Csak évek kellenek, amíg ez a végtermékekben is érdemben látszódik. MS hatereknek meg úgyis mindegy, ők mindenképp fikázni fogják a céget és a termékeit is.

Egy multinál ez a gyakorlatban valami online form kitöltését jelenti. semmi nem fog változni.

Ezt úgy értik, hogy újra lesz teljes értékű tesztelőcsapatuk, és abbahagyják azt a rendkívül jövedelmező gyakorlatot, hogy a felhasználókon tesztelik le a béta állapotú, de ettől függetlenül értékesített szoftvereiket? Hiszi a piszi... :-)

Nem. Ezt úgy értik, hogy ez egy +1 dolog lesz, amivel a dolgozóikat csesztetik. Ezt az intézkedést az indokolta, hogy a MS-ot az utóbbi időben párszor felnyomták, mert alkalmazott megnyitogatott kétes linkeket, mellékleteket, amin keresztül tudták támadni. Olyan kellemetlen ez már a MS-nak, hogy már a szenátus is meghallgatta őket. Ennek a fajta égésnek akarják elejét venni.

The world runs on Excel spreadsheets. (Dylan Beattie)

Nálunk a security team tök jól oldotta ezt meg.

Körbeküldtek (kamu feladóval) egy első látásra validnak tűnő levelet, amiben volt egy gyanús link. Aki rákattintott, annak felbukkant egy üzenet, hogy hát ezt nem kellett volna, mert így lehet beszopni a vírust. Néhányunk viszont észrevette a gyanús linket és szólt nekik, minket megdicsértek. :-)

Nekem bejött a proaktivitásuk, szerintem ez jobban elősegíti a "résen levést" mint egy újabb céges bullshit képzés és teszt.

Később beszélgettem velük, kérdeztem, hogy mennyien kattintottak rá. Kiderült, hogy többen mint szerették volna. De elmondásuk szerint nem lehet azt várni, hogy senki ne kattintson rá, hiszen még a "tanult munkaerő" is lehet figyelmetlen, és ha 1000 emberből csak négyen kattintanak az rohadt jó arány, de ha ezzel együtt 4 darab 0day exploit kerül be a céges hálót elérő gépbe, akkor b4szhatják ezt a remek arányt, másnap már állni fog a bál.

Sima security fatigue, lassan mar az is siman beszophatja, aki ert hozza.

Megcsinalod a treningeket, ne kattints ra external linkre, ja kiveve a szabi kiiro rendszert, mert az kulsos, hoppa meg a payroll is kulsos, meg az elearning is ahol a security trening van, ja, meg a git repo, a CI/CD, ez mind kulso domain, stb., tulajdonkeppen nem is kapok belso domainrol emailt, csak az irodavezetotol meg a recisektol, meg mar ketszer valtozott a payroll rendszer domainje miota itt dolgozom, ah, tokmindegy, ne kattints ra kulso linkre.

Szerintem augusztusban meg nem nyitottam meg az Outlookot.

+1000

Szó. Szerint. Amit. Írsz.

Ennek extra-gci al-változata, mikor bónuszkifizetési időszak közepén küldenek levelet a HR-nek látszó nevében, valami kibaszott új tool-ba kell belépni még aznap, különben nem kapsz pénzt. Aztán aki rákattintott a linkre, büntetés extra szekuriti tréninget kapott.

Mondok jobbat. Elozo munkahelyen eleg aktivan hasznaltak a VoIP telefonokat, meg a hangpostat a fejlesztok is. Ha hagytak neked uzenetet, villogott a telefon, de mivel innovativ cegrol van szo, ezert kaptal emailt is egy linkkel, ahol meg lehetett hallgatni az uzenetet.

Na tippelj, mi volt. Jovok vissza ebedbol, villog a telefon, na mondom fasza, nezzuk akkor miert hivtak, Outlook megnyit, ott az email, klikk, JAJJAJ MEGBUKTAL A TESZTEN TE OSTOBA JOBBAGY NESZE EGY SECURITY TRENING. Csakhogy fokozzak a gecizest, a legitim email viszont nem jott meg egyaltalan. Szoval erted, megvartak, amig egy kollegam hagyott nekem Londonbol egy valodi hangposta uzenetet, ami tenylegesen megtortent, mert utana visszahallgattam a Cisco-rol, viszont a notification emailt elkaptak, es helyette csak a phishing gyakorlatos link jott meg. 

arra esetleg van lehetoseg, hogy azt mondd a munkaltatonak, hogy az email nem biztonsagos platform, es nem vagy hajlando hasznalni, ne tegyen ki a munkaltato fenyegetesnek, adjanak egy biztonsagos platformot a kommunikaciohoz?

neked aztan fura humorod van...

Elmész 2-3 multihoz dolgozni, és megtanulod h. az alkalmazott-jobbágynak kuss a neve a cég bármilyen dógába'! Ha nem tetszik, fel lehet mondani, és menni máshova (akkor legalább végkielégítést sem kell fizetniük neked). Evvan.

Nyáron 40 fokban az égető napon lapátolni szarabb meló lenne, így fogd fel.

Az a szép az ilyenekben, amikor én kezdem el túráztatni a security teamet.

Konkrét eset: Jött egy email. Cégen belülről (nem volt rajta external flag). Viszont furcsa volt tartalomra is. Tele volt a fejléc SPF, DKIM hibákkal. Meg fura útvonalon is jött.
Fogtam, írtam a főnökömnek. Válasz nem jött időn belül (30 perc).
Kollégák se tudtak semmit.
Majd fogtam és spamnek jelöltem a levelet - ugye ez a corporate spamszűrőt is tanítja, ami külön buli :D.... Továbbá Slacken, Teamsen írtam a securitysoknak, CISO-nak. Természetesen a levelet is továbbítottam nekik. "Boldoggá" tettem őket.

Kb. 2-3 óra múlva jött a corporate levél, hogy bocsi, a levél valid, nem kell spamnek jelölni. És istenbiza javítanak a levelező rendszeren (muhahaaa :D).

Jaja, mikor a saját főztjüket kell megenniük, azt sosem szeretik a szekusok, meg az IT support.

Én ne okoskodjak ha a Lenovo céges laptopok BIOS-a ~3 éves és kb 6-8 release-el (szószerint ennyi) az aktuális mögött megállt, nuku szekurity apdét.  És ez így rendben van, azt mondták. De ha én fasz rákattintok véletlenül a phishing emailre, akkor jön a büntetés-tréning.

Ok, de azt azért belátod, hogy ezek a dolgok _ÉS_-sel vannak összekapcsolva a pl. a BIOS esetén is (ahhoz, hogy nagy valószínűséggel gond legyen belőle kell a user "hülyesége" erősen.) és nagyon nem ugyan az a kategória a megfertőzésdési kockázat bekövetkezési valószínűsége szempopntjából.

Egy BIOS vulnerability-t ritkán lehet olyan könnyen kihasználni, a tapasztalat szerint nem ezekből vannak a nagy problémák + macerásabb is javítani, mint a usert leoktatni. 

A remediációs priorizálásnál ezt az operációs effort-ot is bele szokták számítani és általában mindjárt szarabb a leves-hús arány egy BIOS vuln. esetén, ezért kerülhet a lista végére, ha egyáltalán rákerül.

Egy OS vagy APP szintű dolog jóval magasabb prioritással fut ilyen szempontból.

++ el kell fogadni hogy ez egy külön "szakma". Ő vállaja a felelősséget a döntéseiért, még ha az IT-s üzemeltető úgy is érzni, hogy ő ezt jobban tudja...mert a legtöbb így érzi.

Bár már láttunk fogalmatlan Secu szervezetet is, nem egyet. :-)

Ja, amúgy magasról leszarom mit művelnek a céges géppel szaku szempontból.

Én csak a saját kényelmem miatt akartam BIOS updatet, mert néha meghülyül és több ilyen ráutaló fix is szerepel a changelog-ban. De ugye az updét telepítése nélkül csak a jóisten tudja biztosra mondani. Az meg h. nekem fáj valami, az nem számít az IT szupportnak. Ha nagyon verdesném az asztalt, talán megcsinálnák. De inkább újratelepíttetnék velem az egész kiba windows-t, hátha az megoldja. Ha meg nem, akkor csak pingvineznének. Én meg szophatnék a gép újrabelakással.