Press "Enter" to skip to content

Tag: Sikkerhed

Omtalt i pressenaws reinforce 2019

Omtalt i pressen

Published 7. juli 2019 by krish

Den 25-26 juni var jeg på vegne af KeyCore i Boston for at deltage i AWS re:Inforce 2019, der er den årlige AWS messe med fokus på sikkerhed og compliance. På turen var blev det til et interview med Dan Mygind for Version2.dk, der har valgt at citere mine svar i denne artikel omkring nogle generelle holdninger til AWS og sikkerhed.

Konklussion fra AWS re:Inforce 2019
Personligt ser jeg forsat ingen tekniske årsager til kunder ikke kan overholde alle sikkerheds og GDPR compliance krav ved at benytte AWS – kontakt mig gerne hvis man er uenig.

Det var en fornøjelse at deltage ved Bertram Dorn præsentationen, hvor kunder kunne danne sig et overblik over de tre ansvarsområder; AWS Manages, Shared and Customer Managed.

Der findes en lang række produkter der hjælper med at dokumentere og tracke, hvis man ønsker at minimere komplexitet og tidsforbrug. Men grundlæggende drejer det sin om at man som kunde skal forstå sit ansvar for at benytte/udvikle/tilpasse sin infrastruktur korrekt. Fredag kan jeg findes tilbage i KeyCore HQ igen.Husk: “Security is job zero” – også selv om du ikke benytter AWS 😉

Leave a Comment

Begræns Windows 10 i at snakke

Published 9. november 2018 by krish

Windows 10 snakker hjem – hele tiden. Det giver alle med et sikkerhed- /privatlivsperspektiv myrekryp, at din Windows 10 står og siver data til Microsoft mere eller mindre konstant. Heldigvis er der folk i markedet der bruger meget tid på at undersøge og forhindre den slags. Flere er enda så flinke at de lægger løsningerne online.

Download links
Erhverv/AD: Auto IT telemetry group policy pack
Private: ShutUp10

Information:
Microsoft holder det ikke hemmeligt, og det er da heller ikke ulovligt (GDPR liderlige vil nok debattere det til verdens ende) men her er to af deres artikler der beskriver Windows 10 telemetry i detaljer.
Windows diagnostic data i din virksomhed
Administrer connections fra Windows

Leave a Comment

Logge filadgang til GDPR

Published 18. juli 2018 by krish

Der går nok ikke en uge i øjeblikket, hvor der ikke er en der forsøger at sælge dit et produkt ved at benytte GDPR som løftestang. Men hvad ville du sige hvis du gratis (eller for under 20.000,- hvis du er doven) kan blive GDPR compliant i forhold til at logge filadgang/tilgang/forsøg? og hvis du samtidigt får den suverænt bedste logning(IKKE SIEM) af event fra både filer, applikationer og eventlogs – hvad siger du så? Der er selvfølgeligt tale om The Elastic Stack som jeg har nævnt før – og det er stadig i Nagios versionen, for der koster support kun $3,995.- pr. år.

Nagios Log File Access

Nagios + Elastic Stack = Nagios Logserver. Glem alt om Solarwinds licensmodeller, tælle RAM eller EPS – der er INGEN skjulte udgifter!

Faktum: Hvad skal du logge for at overholde persondataforordning? Intet.
Problem: Til gengæld skal du kunne vise hvem har haft adgang til dokumenterne, eller om andre end de tiltænkte brugere har tilgået dokumenterne, og det er svært at fremvise hurtigt, hvis man ikke logger data. Så selv om der ikke er direkte krav til logning, så er det tæt på umuligt at overholde hvis du ikke har en aktiv logning kørende på serverne.

Løsningen er ganske enkelt at aktivere de indbyggede audit logging GPO settings i Windows (eller andre OS’er) og logge data til eventloggen. Derfra vil den lille applikation forwarde alle events til den lokale Logserver, der sortere og arkivere alle logs efter behov. En lille virtuel server med 4 kerner og 8 GB ram kunne uden problemer håndtere 2500 EPS som kom fra vores firewalls og ca. 130 servere.

Uden de store problemer kan du installere Centos 7 og Logserveren på 2-3 timer, og derefter rulle agenterne ud på alle maskiner enten via en GPO eller SCCM på et par timer… Mere kræver det ikke.

P.S.
Hvis der er nogen fra Logpoint der ringer til jer, så sig pænt nej tak – det er uden sidestykke det værste forsøg på et SIEM produkt jeg nogensinde har arbejdet med.

P.P.S
Hvis du er rigtig doven eller kræver noget intelligens, så kig på IBM QRadar og lad en af deres kvalificerede partnere stå for det (SecureDevice kan anbefales)

Leave a Comment

Windows 10 v1709 mapper ikke share

Published 15. juli 2018 by krish

Hvis du er mødt af fejlen “you cannot access this shared folder because your organization security policies” når du forsøger at mappe et netværksdrev til din NAS eller en gammel server der hjemme, så er det fordi det efter MS update er markeret som “usikkert” hvis du benytter de gamle SMB v1 settings.
Workaround:
For at kunne tilgå dette igen, skal du rette din GPO til “enable insecure guest logons”. Du gør det via nedenstående GPO.
Windows 10 version 1709

Leave a Comment

Linux – Fedora vs. Ubuntu

Published 5. november 2017 by krish

Vælg den rigtige Linux distro. Er det arbejde eller fritid? spil eller programmering? – man kan gøre det nemmere for sig selv, ved at afdække behovet inden man begyder at installere en af de mange forskellige versioner af Linux. Personligt startede jeg i sin tid med Ubuntu pga. det store community, hvor man kunne få kvalificeret hjælp til alle problemer. På et tidspunkt løb jeg ind i nogle driftsstabilitetsproblemer og var ikke glad for de reklamer der blev vist, så jeg skiftede til Fedora.

Lifecycle:
Windows 8.1 -> Ubuntu 12 -> Windows 10 -> Fedora 26 64bit -> Ubuntu 16.04LTS
Hardware: HP z440 Xeon E5-1620v3 3.5 GHz – 16GB RAM – Intel SSD Raid 1+0

Fedora kan ses som en form for frontrunner for RedHat Linux, der bla. er et at de mest anvendte OS’er til det armerikanske forsvar og offentlige instanser. Det gør der også er fokus på at få drivers til at virke ordenligt. En anden årsag var det var nemt for mig at installe Nagios Log server, da deres installationsscript er udviklet bla til RedHat og Fedora.

En uforudset udfordring for mig (fordi jeg ikke havde undersøgt det ordenligt) var de hyppigere updates og versions upgrades. Det kræver meget tid at vedligeholde – især hvis man har mange workstations.

Derfor er det de sidste måneder blevet mere åbenbart for mig, at jeg må tilbage til Ubuntu, da deres LTS version er blevet mere stabil og sikker. De udfordringer der var med 3.part. drivers tidligere, siges (jf. største forums)at være væk.

Læs mere om de forskellige Linux versioner her: https://distrowatch.com

Tips:
Wine giver brugere af Linux mulighed for at installere og afvikle windows applikationer – bla. spil og office. Det er ikke en emulator, men et kompatibilitetslag, der gør det muligt at afvikle Windows programkoder på en Linux, Mac eller BSD kerne.
Læs mere her: https://www.winehq.org/

Leave a Comment

Anbefalinger til IT sikkerhed

Published 9. marts 2017 by krish

Flere dage med hjælp til oprydning efter diverse Cryptoware angreb, blev summeret perfekt af et citat fra filmen Doctor Strange, der passer på både IT-sikkerhed og alle vores andre dæmoner.
dr strange

We never lose our demons, we only learn to live above them

Der altid vil være hackere, virus, utilfredse medarbejdere, spionage og nedbrud – Så hvis man ikke vil slås med det, må man hæve sig over problemet.

Identificer -> Begræns -> Fjern -> Lær

Både Linkedin og IT-relaterede nyheds sites, flyder over med indlæg omkring vigtigheden af en moden IT-sikkerhedspolitik og hvordan trusselsbilledet har ændret sig de sidste år. Men sjældent er de efterfulgt af konkrete forslag til værktøj der kan benyttes til at hæve sikkerheden i sin infrastruktur. Derfor kommer her mine forslag til hvilken IT-sikkerhedsprodukter man med fordel kan benytte.

Hardening er en betegnelse man ofte bruger, når man gør noget hårdere – også IT-sikkerhed.

  • Sørg for at brugere ikke har adgang til foldere de ikke har behov for. Det kan gøres ved at køre en rollebaseret adgang til foldere. Det betyder alle hovedmapper er tilknyttet en sikkerhedsgruppe og medarbejdere skal være medlem af denne gruppe for at få adgang til mappen. En gratis sidegevinst ved dette, er det bliver nemmere at vedligeholde adgang og udføre en Audit til IT-revisionen.
  • Sørg for brugere ikke kan se mapper de ikke har adgang til. Det kaldes “Access-based enumeration” og er en funktion man aktivere på et netværks-share.
  • Patch er vigtige for sikkerheden og det gælder ikke kun for styresystemet. Alle applikationer i dag en sikkerheds-risiko. Derfor skal man sørge for de altid er opdateret og der ikke er installeret software der ikke er behov for. Programmer som Heimdal sikre en række programmer bliver automatisk opdateret.
  • Sørg for du har et overblik over alt udstyr og software. Lansweeper er gratis for de først 100 maskiner, og giver dig komplet inventory over alle maskiner og versioner af software installeret.
  • Applocker er en indbygget funktion fra Microsoft (via. en GPO). Det sikre der ikke afvikles andre programmer end det der er godkendt i forvejen. Man bestemmer selv hvor restriktiv politik der benyttes, men selv den laveste setting, giver et fantastisk filter mod utilsigtet afvikling af software.

Antivirus og malware har de fleste langt om længe forstået vigtigheden af, men det er ikke unormalt at valget af antivirus software er baseret på pris, og ikke funktion.

  • Cloud og Antivirus XaaS løsninger bliver bedre og bedre. I dag ville jeg anbefale Bitdefender (cloud) eller Symantec (on-prem.) da de begge er robuste løsninger, med gode muligheder for at blokere Cryptolocker og Zero-day exploits. Især Bitdefender GravityZone til erhverv, er en utrolig sikker og alsidig løsninger, der både sikre Windows, Mac og Linux maskiner – Alt sammen fra samme interface.
  • Min kollega nævnte han altid anbefaler man bruge forskelligt antivirus på hhv. server og endpoints. På den måde skulle malware potentielt forbi to forskellige systemer inden det kunne udrette skader. Det er ikke en tosset ide hvis der er økonomi til det.

DNS

  • Secure DNS og OpenDNS DNSCrypt er to produkter at en type der kommer til at være lige så normalt som antivirus i den fremtidige IT-infrastruktur. Sikker DNS forhindre maskiner i at kunne afvikle/loade de sites der er identificeret som usikre. Din klient kan simpelthen ikke få lov til at downloade indholdet, for den pågældende URL kan ikke loades.

Audit af filadgang på alle servere og konfigurations-ændringer på serverne må ikke undervurderes.

  • AdAudit sikre du ved nøjagtigt hvem ændrede/slettede/oprettede/flyttede en fil eller folder på en server. Programmet er bygget til at overvåge AD og server konfiguration, men har plugins til filservere, så den også kan benyttes. Det er især vigtigt, hvis man vil identificere “ground-zero” ved et crypto-locker angreb, for der fortæller programmet dig nøjagtigt hvem der krypterede den første fil og fra hvilken PC det skete.

Backup og Restore

  • Overvej hvilken Backup- og restore politik i har. Hvor længe vil i være om at restore alle servere? At man kan restore en server på 2 timer, er ikke det samme som man kan restore alle servere på samme tid.
  • Hvilken rækkefølge skal jeres IT genskabe applikationer? og hvordan er sammenhængen? En korrekt dokumentation giver svaret på dette, men hvis det ikke bliver trænet regelmæssigt er proceduren værdiløs.

Overvågning er mit hvertebarn, men hvad er en tidssvarende type af overvågning?

  • SIEM eller generel Syslog overvågning, giver et billede af alle events på serverne. Bliver der pludseligt flyttet/slettet/krypteret mange filer på en server, så dukker det op i overvågningen med det samme. Den slags overvågning sikre der hurtigere kan sættes ind for at forhindre et problem vokser. Samtidigt er det et audit trail når der efterfølgende skal dokumenteres hvad der er sket. Der findes mange løsninger i dag og behovet afgøre hvad det bedste produkt til situationen er. Generelt kan jeg dog anbefale SyslogNG, Correlog. Alienvault og Splunk. Microsoft OMS er ved at være et godt produkt, men mangler stadig lidt modning.
  • Ønsker man det hele(meste) i et, så kig på Newrelic.

Awareness

  • Træn jeres medarbejdere
  • Dyrk en ærlig omgangstone
  • Træn jeres medarbejdere
  • Træn jeres medarbejdere
  • Træn jeres medarbejdere
Leave a Comment

SEMM – Central UEFI kontrol

Published 26. februar 2017 by krish

Central kontrol og administration af UEFI på Surface Pro 4 og Surface Book maskiner gennem SCCM. Det er nu blevet en mulighed, efter Microsoft har frigivet Surface Enterprise Management Mode (SEMM) til de nævnte maskiner der kører Windows 10.

SEMM er en af årsagerne til bla. NSA har godkendt PC’erne til brug, da de centralt kan administrere:
– Netværk/Wireless
– Docking
– SD-kort
– Webcam
– Mikrofon
– Bluetooth
– IR
– Skærmlås

For at konfigurere dette, skal du downloade Microsoft Surface UEFI Configurator, der er en del af pakken “Surface Tools for IT”

Den paranoide del af mig er ikke begejstret

Hvis disse settings kan administreres via. netværk i et kontrolleret setup, så kan det teoretisk også udføres remote af personer du ikke ønsker har de rettigheder over dit udstyr, data og privatliv.

SEMM - Surface Enterprise Management Mode

Leave a Comment