Archief
- De topics van lang geleden
Netwerk beveiliging voor n00bs
Geachte medegebruikers van dit forum.
Als amateur systeembeheerder (klein bedrijf) moet ik altijd heel erg zoeken op het internet om erachter te komen hoe ik mijn systeem optimaal beveilig tegen de aldoor veranderende vorm van bedreigingen.
Misschien zijn op mijn niveau meerdere mensen met dezelfde vraag:
Is mijn internet verbinding (ADSL) via een (standaard) NAT router van etech (met firewall) en zonealarm per pc voldoende beveiliging te noemen? Op elke pc heb ik norton antivirus.
Als ik hier een erg domme vraag stel, laat mij dat dan ook weten :)
Alvast hartelijke dank.
Als amateur systeembeheerder (klein bedrijf) moet ik altijd heel erg zoeken op het internet om erachter te komen hoe ik mijn systeem optimaal beveilig tegen de aldoor veranderende vorm van bedreigingen.
Misschien zijn op mijn niveau meerdere mensen met dezelfde vraag:
Is mijn internet verbinding (ADSL) via een (standaard) NAT router van etech (met firewall) en zonealarm per pc voldoende beveiliging te noemen? Op elke pc heb ik norton antivirus.
Als ik hier een erg domme vraag stel, laat mij dat dan ook weten :)
Alvast hartelijke dank.
Reacties (33)
Voldoende is erg relatief.
Zoals je de configuratie nu hebt, heb je een goede beveiliging, maar beter kan natuurlijk altijd.
Met NAT in je e-tech vang je de meeste klappen op (als je hem tenminste goed hebt opgezet). Mocht er nog wat door komen, dan pakt zonelabs daarvan weer een deel.
Indien je Norton anti-virus up-to date hebt, dan ben je ook redelijk goed beschermd tegen virussen en trojans.
Maar zoals ik al aangaf, het kan altijd beter.
De vraag is alleen, wat is je budget qua security.
Een firewall en virusscanner is eigenlijk een basissecurity oplossing, maar je kunt je netwerk nog beter beveiligen door een Intrusion Detection en Prevention pakket/appliance te gebruiken en daarnaast een andere virusscanner op je mailserver te zetten.
Ook al eens gedacht aan contentinspectie?
Naast bovenstaande dingen zijn er natuurlijk nog tig andere oplossingen, maar dit heeft alles te maken met je budget.
Kortom, je beveiliging is een goed basispakket, maar om echt goed beveiligd te zijn, dien je meerdere stappen te ondernemen.
Info kun je ook vinden op http://www.nedsecure.nl
Succes!
Zoals je de configuratie nu hebt, heb je een goede beveiliging, maar beter kan natuurlijk altijd.
Met NAT in je e-tech vang je de meeste klappen op (als je hem tenminste goed hebt opgezet). Mocht er nog wat door komen, dan pakt zonelabs daarvan weer een deel.
Indien je Norton anti-virus up-to date hebt, dan ben je ook redelijk goed beschermd tegen virussen en trojans.
Maar zoals ik al aangaf, het kan altijd beter.
De vraag is alleen, wat is je budget qua security.
Een firewall en virusscanner is eigenlijk een basissecurity oplossing, maar je kunt je netwerk nog beter beveiligen door een Intrusion Detection en Prevention pakket/appliance te gebruiken en daarnaast een andere virusscanner op je mailserver te zetten.
Ook al eens gedacht aan contentinspectie?
Naast bovenstaande dingen zijn er natuurlijk nog tig andere oplossingen, maar dit heeft alles te maken met je budget.
Kortom, je beveiliging is een goed basispakket, maar om echt goed beveiligd te zijn, dien je meerdere stappen te ondernemen.
Info kun je ook vinden op http://www.nedsecure.nl
Succes!
Overigens vergeet ik nog een heel belangrijk punt.
Patchmanagement...
Zorg er ALTIJD voor dat je de laatste patches voor je software hebt geinstalleerd.
Om je vulnerabilities in je netwerk te vinden zijn er diverse producten op de markt die je hiermee kunnen helpen.
o.a. McAfee Threatscan.
Deze producten zoeken de zwakke plekken in je netwerk en software op, zodat je hier aktie op kunt ondernemen.
Patchmanagement...
Zorg er ALTIJD voor dat je de laatste patches voor je software hebt geinstalleerd.
Om je vulnerabilities in je netwerk te vinden zijn er diverse producten op de markt die je hiermee kunnen helpen.
o.a. McAfee Threatscan.
Deze producten zoeken de zwakke plekken in je netwerk en software op, zodat je hier aktie op kunt ondernemen.
12-11-2003, 13:34 door
Atzer
Nou, bedankt voor de link, ik zal er eens lekker voor gaan zitten.
Patchen doe ik altijd, en of het helpt of niet, ik gebruik geen IE of outlook, maar mozilla, omdat ik het idee heb dat dat veiliger is.
Op 1 systeem heb ik een Norton firewall, kan ik daar dus niet altijd mee zien of er een aanval plaatsvindt? (vandaar de tip om een IDS aan het werk te zien?)
Atzer.
Patchen doe ik altijd, en of het helpt of niet, ik gebruik geen IE of outlook, maar mozilla, omdat ik het idee heb dat dat veiliger is.
Op 1 systeem heb ik een Norton firewall, kan ik daar dus niet altijd mee zien of er een aanval plaatsvindt? (vandaar de tip om een IDS aan het werk te zien?)
Atzer.
Daarnaast kun je ook specifieker zijn in je firewall-configuratie door bijvoorbeeld als van buiten geïnitieerde verkeer volkomen te droppen maar related/established verkeer toe te staan. En van binnenuit slechts enkel de (wenselijke) uitgaande doelpoorten toe te staan (te denken aan smtp, dns, http, pop3 en https), maar het overige te droppen.
Omdat het Windowssystemen betreft kun je deze verder dichttimmeren, afhankelijk van haar versie:
- alleen toegestane applicaties uitvoeren;
- bekende enge applicaties blokkeren;
- anonymous access blokkeren;
- gast-account elimineren;
- gescheiden administrator en gebruikers-accounts;
- ntfs bestandssysteem gebruiken;
- rechten instellen op ntfs;
- registry-editing door gebruikers blokkeren;
- overtollige services nekken;
- overblijvende services onder eigen beperkte accounts runnen, niet onder Admin of System, indien mogelijk;
- geen lapmiddelen gebruiken;
- content-filtering implementeren;
- regelmatig updaten / controleren of updates voor jou systeem van toepassing zijn, zo ja, deze implementeren.
Daarmee wordt eigenlijk al een heel groot deel voorkomen.
Maak daarnaast een image van je gecompleteerde maagdelijk vers geïnstalleerde systemen. Scheelt je een hoop werk voor mocht het eens mis gaan.
Vergeet additioneel niet frequente incremental backups te maken van je data.
Omdat het Windowssystemen betreft kun je deze verder dichttimmeren, afhankelijk van haar versie:
- alleen toegestane applicaties uitvoeren;
- bekende enge applicaties blokkeren;
- anonymous access blokkeren;
- gast-account elimineren;
- gescheiden administrator en gebruikers-accounts;
- ntfs bestandssysteem gebruiken;
- rechten instellen op ntfs;
- registry-editing door gebruikers blokkeren;
- overtollige services nekken;
- overblijvende services onder eigen beperkte accounts runnen, niet onder Admin of System, indien mogelijk;
- geen lapmiddelen gebruiken;
- content-filtering implementeren;
- regelmatig updaten / controleren of updates voor jou systeem van toepassing zijn, zo ja, deze implementeren.
Daarmee wordt eigenlijk al een heel groot deel voorkomen.
Maak daarnaast een image van je gecompleteerde maagdelijk vers geïnstalleerde systemen. Scheelt je een hoop werk voor mocht het eens mis gaan.
Vergeet additioneel niet frequente incremental backups te maken van je data.
12-11-2003, 15:05 door
Atzer
Ook heel erg bedankt. :) Ik snap het ook nog.
Van een aantal zaken weet ik nog niet hoe dat geimplementeerd moet worden, maar na bovenstaande aanbevelingen zal ik nieuwe arbeidscontractbesprekingen met mijn baas gaan voeren om de parttime invulling die nu voor systeembeheer staat ook te patchen danwel upgraden ;)
Voor mijn n00b status geldt dat hoewel ik van vele dingen wel gehoord heb, het nu mooi op een rijtje krijg welke stappen te ondernemen, iets wat mij zelf tot nu toe niet gelukt was.
Erg bedankt.
Van een aantal zaken weet ik nog niet hoe dat geimplementeerd moet worden, maar na bovenstaande aanbevelingen zal ik nieuwe arbeidscontractbesprekingen met mijn baas gaan voeren om de parttime invulling die nu voor systeembeheer staat ook te patchen danwel upgraden ;)
Voor mijn n00b status geldt dat hoewel ik van vele dingen wel gehoord heb, het nu mooi op een rijtje krijg welke stappen te ondernemen, iets wat mij zelf tot nu toe niet gelukt was.
Erg bedankt.
Originally posted by GeneralFailure
/etc/cron.weekly/backup
* rent hard weg *
Daar zal die Windows-gebruiker niet mee geholpen zijn, joh./etc/cron.weekly/backup
* rent hard weg *
Originally posted by Atzer
Van een aantal zaken weet ik nog niet hoe dat geimplementeerd moet worden
Geef maar aan welke onderdelen dat zijn, dan kunnen we je daar ook bij helpen.Van een aantal zaken weet ik nog niet hoe dat geimplementeerd moet worden
12-11-2003, 16:01 door
Atzer
Ha! Iemand achterna rennen die zich GeralFailure noemt zeker.
Ik snap in ieder geval wat er bedoeld wordt, Mpas & unregistered, voordat ik heel erg naar de bekende weg ga vragen zal ik eerst de mogelijkheden per OS eens uitzoeken (Xp, NT4, W2k en w98se) . Ik zie zo gauw bij Xp al wat mogelijkheden.
Maar
- registry-editing door gebruikers blokkeren;
Tjah...
Ik snap in ieder geval wat er bedoeld wordt, Mpas & unregistered, voordat ik heel erg naar de bekende weg ga vragen zal ik eerst de mogelijkheden per OS eens uitzoeken (Xp, NT4, W2k en w98se) . Ik zie zo gauw bij Xp al wat mogelijkheden.
Maar
- registry-editing door gebruikers blokkeren;
Tjah...
Wat zo voor de hand ligt dat je het altijd vergeet op te schrijven is dat je ook op je hardware moet letten:
Zorg ervoor dat er alleen van de harddisk kan worden opgestart en van niks anders, geen floppy, geen CD, geen ZIP of JAZZ, niets anders dan de harddisk.
Disable allerlei toeters en bellen die gewoon niet nodig zijn zoals USB en consorten. Disable op vertrouwelijke werkplekken ook schrijftoegang tot floppy's, smartcards e.d. zodat ze dat niet in hun achterzak kunnen stoppen en fluitend naar buiten wandelen.
Zet een niet makkelijk te raden wachtwoord op het CMOS/BIOS zodat die parameters niet zomaar aangepast kunnen worden.
Laat ook geen schroevendraaiers slingeren zodat ze met hun tengels van die jumper afblijven het BIOS te resetten.
Ofwel, maak het gewoon lastig.
P.S. Schrijf je admin wachtwoorden op en laat je baas die bewaren in z'n kluis.
Mocht je ooit op een vakantiereis door een gebouw heen vliegen, kunnen ze op dat bedrijf dan in elk geval vooruit -- beetje vervelende continuïteitsbedreigend anders wanneer het beheer niet kan worden overgedragen.
Zorg ervoor dat er alleen van de harddisk kan worden opgestart en van niks anders, geen floppy, geen CD, geen ZIP of JAZZ, niets anders dan de harddisk.
Disable allerlei toeters en bellen die gewoon niet nodig zijn zoals USB en consorten. Disable op vertrouwelijke werkplekken ook schrijftoegang tot floppy's, smartcards e.d. zodat ze dat niet in hun achterzak kunnen stoppen en fluitend naar buiten wandelen.
Zet een niet makkelijk te raden wachtwoord op het CMOS/BIOS zodat die parameters niet zomaar aangepast kunnen worden.
Laat ook geen schroevendraaiers slingeren zodat ze met hun tengels van die jumper afblijven het BIOS te resetten.
Ofwel, maak het gewoon lastig.
P.S. Schrijf je admin wachtwoorden op en laat je baas die bewaren in z'n kluis.
Mocht je ooit op een vakantiereis door een gebouw heen vliegen, kunnen ze op dat bedrijf dan in elk geval vooruit -- beetje vervelende continuïteitsbedreigend anders wanneer het beheer niet kan worden overgedragen.
Originally posted by Atzer
Maar
- registry-editing door gebruikers blokkeren;
Tjah...
User Key: [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesMaar
- registry-editing door gebruikers blokkeren;
Tjah...
System]
Value Name: DisableRegistryTools
Data Type: REG_DWORD (DWORD Value)
Value Data: (0 = allow regedit, 1 = disable regedit)
Zoals je leest Atzer, is security een zeer breed onderwerp.
Als je het echt goed wilt aanpakken moet je er gewoon veel tijd voor uittrekken.
Maar gezien het feit dat je het over een kleine organisatie hebt, zou het wellicht niet zover hoeven te gaan dat je van alles verwijderd en disabled op de client pc's (afhankelijk van hoeveel gebruikers natuurlijk).
Trouwens, ZoneLabs heeft ook een client firewall die je centraal kunt beheren. ZoneLabs Integrity heet dat product. Hiermee kun je centraal managen, policy's enforcen. Dit geldt ook voor notebookgebruikers die buiten het bedrijfsnetwerk hangen.
Hetzelfde geldt voor McAfee anti-virus. Je kunt deze aanschaffen met een centrale beheertool alwaar je dus de laatste virusdefinities kunt enforcen en al je clients kunt managen en rapportages uitdraaien.
De kracht binnen een organisatie ligt dus vaak bij het centrale managen van alle client pc's.
Gelukkig komen steeds meer producten standaard met een dergelijke tool.
Trouwens.. ook al eens gekeken naar Ad-aware? Dus alle clients spyware- en popupvrij maken?
Als je het echt goed wilt aanpakken moet je er gewoon veel tijd voor uittrekken.
Maar gezien het feit dat je het over een kleine organisatie hebt, zou het wellicht niet zover hoeven te gaan dat je van alles verwijderd en disabled op de client pc's (afhankelijk van hoeveel gebruikers natuurlijk).
Trouwens, ZoneLabs heeft ook een client firewall die je centraal kunt beheren. ZoneLabs Integrity heet dat product. Hiermee kun je centraal managen, policy's enforcen. Dit geldt ook voor notebookgebruikers die buiten het bedrijfsnetwerk hangen.
Hetzelfde geldt voor McAfee anti-virus. Je kunt deze aanschaffen met een centrale beheertool alwaar je dus de laatste virusdefinities kunt enforcen en al je clients kunt managen en rapportages uitdraaien.
De kracht binnen een organisatie ligt dus vaak bij het centrale managen van alle client pc's.
Gelukkig komen steeds meer producten standaard met een dergelijke tool.
Trouwens.. ook al eens gekeken naar Ad-aware? Dus alle clients spyware- en popupvrij maken?
Originally posted by Unregistered
Trouwens.. ook al eens gekeken naar Ad-aware? Dus alle clients spyware- en popupvrij maken?
Wat stond er nu:Trouwens.. ook al eens gekeken naar Ad-aware? Dus alle clients spyware- en popupvrij maken?
- geen lapmiddelen gebruiken;
- alleen toegestane applicaties uitvoeren;
- registry-editing door gebruikers blokkeren;
Dan heb je die rommel als Ad-Aware dus ook niet meer nodig.
Dan mag jij een keer ad-aware draaien op een systeem waarvan jij denkt dat ie spyware vrij is..
Er wordt erg veel op zich zinvol technisch advies gegeven, maar ik zou je aanraden eerst een stap terug te maken en je af te vragen wat je precies wilt beschermen en waartegen.
Beveiliging houdt niet alleen in dat mensen van buitenaf of van binnenuit geen rottigheid met je systemen uit kunnen halen. Beveiliging houdt in de continuiteit van je bedrijfsvoering garanderen. Dit is voor een (heel) groot deel een management probleem, en wordt pas later een technisch probleem.
heb je bijvoorbeeld een disaster recovery plan? Heb je noodscenario's liggen in geval van brand/diefstal/overstroming/instortend pand etc. Met andere woorden, kun je de continuiteit van je informatiesysteem waarborgen? Ook de backups horen daarbij. Backups maken is leuk, maar als je niet test of je backups ook daadwerkelijk werken heb je er niets aan. Voer ook je noodplan uit!
Stel een policy op voor het gebruik van informatiesystemen, en laat deze door je gebruikers tekenen. Ook hier heb je management support nodig!
Als je al deze zaken, waarvan een groot deel beleidsmatig gericht zijn, in orde hebt kun je je bezig houden met de technische implementatie van diverse maatregelen.
Beveiliging houdt niet alleen in dat mensen van buitenaf of van binnenuit geen rottigheid met je systemen uit kunnen halen. Beveiliging houdt in de continuiteit van je bedrijfsvoering garanderen. Dit is voor een (heel) groot deel een management probleem, en wordt pas later een technisch probleem.
heb je bijvoorbeeld een disaster recovery plan? Heb je noodscenario's liggen in geval van brand/diefstal/overstroming/instortend pand etc. Met andere woorden, kun je de continuiteit van je informatiesysteem waarborgen? Ook de backups horen daarbij. Backups maken is leuk, maar als je niet test of je backups ook daadwerkelijk werken heb je er niets aan. Voer ook je noodplan uit!
Stel een policy op voor het gebruik van informatiesystemen, en laat deze door je gebruikers tekenen. Ook hier heb je management support nodig!
Als je al deze zaken, waarvan een groot deel beleidsmatig gericht zijn, in orde hebt kun je je bezig houden met de technische implementatie van diverse maatregelen.
Originally posted by Unregistered
Dan mag jij een keer ad-aware draaien op een systeem waarvan jij denkt dat ie spyware vrij is..
Doen we! (Dat heb ik al getest gehad, natuurlijk.)Dan mag jij een keer ad-aware draaien op een systeem waarvan jij denkt dat ie spyware vrij is..
Zie eerst maar een -optimaal- systeem te besmetten met spyware :)
Originally posted by Unregistered
Er wordt erg veel op zich zinvol technisch advies gegeven, maar ik zou je aanraden eerst een stap terug te maken en je af te vragen wat je precies wilt beschermen en waartegen.
Beveiliging houdt niet alleen in dat mensen van buitenaf of van binnenuit geen rottigheid met je systemen uit kunnen halen. Beveiliging houdt in de continuiteit van je bedrijfsvoering garanderen. Dit is voor een (heel) groot deel een management probleem, en wordt pas later een technisch probleem.
Wanneer het pas later een technisch probleem wordt ben je veel te laat. Het is al een technisch probleem reeds in het prilste begin wanneer de apparatuur en software nog in hun oorspronkelijke verpakking zitten, ruim voor de feitelijke implementatie.Er wordt erg veel op zich zinvol technisch advies gegeven, maar ik zou je aanraden eerst een stap terug te maken en je af te vragen wat je precies wilt beschermen en waartegen.
Beveiliging houdt niet alleen in dat mensen van buitenaf of van binnenuit geen rottigheid met je systemen uit kunnen halen. Beveiliging houdt in de continuiteit van je bedrijfsvoering garanderen. Dit is voor een (heel) groot deel een management probleem, en wordt pas later een technisch probleem.
Zolang dat hier in Nederland niet doordringt blijft het hier goeddeels achter.
Er worden dan wellicht totaal andere (betere) keuzes gemaakt in onderandere software wanneer men zich daar massaler bewust van wordt.
Wanneer u van mening dat het veel te veel techniek vergt om in dit geval een Windows implementatie een beetje secure te krijgen, kunt u daar rekening mee houden bij de volgende investeringsronde.
Je hebt de point van mijn post niet begrepen. Ik vind dat er veel te technisch geantwoord wordt op de vraagsteller.
Originally posted by Unregistered
Je hebt de point van mijn post niet begrepen. Ik vind dat er veel te technisch geantwoord wordt op de vraagsteller.
In tegendeel, ik heb je post heel goed begrepen en dat is dat security niet door iedereen even goed wordt begrepen dat een serieuze bedreiging vormt voor de bedrijfscontinuïteit.Je hebt de point van mijn post niet begrepen. Ik vind dat er veel te technisch geantwoord wordt op de vraagsteller.
Je kunt binnen een bedrijf managen wat je wil, maar als het gereedschap en infrastructuur de aandacht niet krijgt dat het hard nodig heeft komt dat de continuïteit alles behalve ten goede.
Onderschatting is behoorlijk dodelijk binnen een organisatie, begrijpen zowel security-specialisten alsmede managers (naar ik mag aannemen).
Security (en daarmee de continuïteit van de core) ìs nu eenmaal grotendeels een technische aangelegenheid aangaande ICT/telematica.
Het vereist nu eenmaal wat minder glossy papier en wat meer de handen uit de mouwen.
Originally posted by Mpas
In tegendeel, ik heb je post heel goed begrepen en dat is dat security niet door iedereen even goed wordt begrepen dat een serieuze bedreiging vormt voor de bedrijfscontinuïteit.
Je kunt binnen een bedrijf managen wat je wil, maar als het gereedschap en infrastructuur de aandacht niet krijgt dat het hard nodig heeft komt dat de continuïteit alles behalve ten goede.
In tegendeel, ik heb je post heel goed begrepen en dat is dat security niet door iedereen even goed wordt begrepen dat een serieuze bedreiging vormt voor de bedrijfscontinuïteit.
Je kunt binnen een bedrijf managen wat je wil, maar als het gereedschap en infrastructuur de aandacht niet krijgt dat het hard nodig heeft komt dat de continuïteit alles behalve ten goede.
Sorry, maar uiteindelijk zul je voor funding van je waanzinnig veilige infrastructuur toch bij het management moeten zijn. En als jij dan aankomt met een niet te managen, supergecompliceerde structuur, dan mag die o zo veilig zijn, maar dan gaat daar gewoon een streep door.
Onderschatting is behoorlijk dodelijk binnen een organisatie, begrijpen zowel security-specialisten alsmede managers (naar ik mag aannemen).
Security (en daarmee de continuïteit van de core) ìs nu eenmaal grotendeels een technische aangelegenheid aangaande ICT/telematica.[/QUOTE]
ICT is een strategisch proces, al lang niet meer dat ondersteunende proces dat het was in de tijd van de simpele boekhoudsystemen. Daarmee zijn aan ICT gerelateerde beslissingen op strategisch besluitvormingsniveau terecht gekomen, waar ze horen.
Beveiliging hoort daar zeker bij, maar beveiliging is veel meer dan firewalls, IDSsen, virusscanners en andere aanverwante zaken. Beveiliging gaat in eerste instantie om continuiteit van je bedrijfsvoering, en daar komen heel wat meer factoren bij kijken dan de ICT en telematica mensen denken.
Het vereist nu eenmaal wat minder glossy papier en wat meer de handen uit de mouwen.
Er is helemaal niets "glossy" aan het schrijven van een security procedure, een disaster recovery plan of aanverwante zaken. Het feit dat je dit "glossy" durft te noemen doet mij vermoeden dat je of nog nooit een security policy hebt geschreven, of er nog nooit een gezien hebt.
Security is een proces, geen product. Ik ga je hier niet uitleggen hoe een security assessment werkt, en welke aspecten van beveiliging daarbij komen kijken. Sla maar eens een CISSP studieboek open, dan zul je zien hoe breed het security vakgebied is. Letterlijk van crypto via netwerken en operating systems naar procedures, fysieke beveiliging en wetten en ethiek.
Ik ga het hierbij laten, ik heb je namelijk meer gratis advies gegeven dan een klant van mij krijgt. Wil je meer weten dan ben ik uiteraard bereid om buiten dit forum om vragen te beantwoorden (tegen mijn gebruikelijke uurtarief ;)
Allemaal leuk en aardig, goed advies etc..
maar zoals ik de vraag van de topicstarter lees, bedoelt hij of hij meer software op zijn systemen moet installeren dan dat hij nu heeft.
Vanzelfsprekend is een sluitende security (in hoeverre je het sluitend kunt maken) erg belangrijk en kun je het met alleen software niet afschermen.
Maar om even terug te komen op de vraag.
Nee, alleen firewall met virusscanner is dus niet voldoende, maar je moet uiteindelijk zelf bepalen welk risico je durft te aanvaarden en daar stem je je producten en dus budget op af.
Dus blijf ik bij mijn 1e post als Unregistered en da's dus post nr 2 en 3
maar zoals ik de vraag van de topicstarter lees, bedoelt hij of hij meer software op zijn systemen moet installeren dan dat hij nu heeft.
Vanzelfsprekend is een sluitende security (in hoeverre je het sluitend kunt maken) erg belangrijk en kun je het met alleen software niet afschermen.
Maar om even terug te komen op de vraag.
Nee, alleen firewall met virusscanner is dus niet voldoende, maar je moet uiteindelijk zelf bepalen welk risico je durft te aanvaarden en daar stem je je producten en dus budget op af.
Dus blijf ik bij mijn 1e post als Unregistered en da's dus post nr 2 en 3
Originally posted by Unregistered
Sorry, maar uiteindelijk zul je voor funding van je waanzinnig veilige infrastructuur toch bij het management moeten zijn. En als jij dan aankomt met een niet te managen, supergecompliceerde structuur, dan mag die o zo veilig zijn, maar dan gaat daar gewoon een streep door.
Navolgende is onverenigbaar:Sorry, maar uiteindelijk zul je voor funding van je waanzinnig veilige infrastructuur toch bij het management moeten zijn. En als jij dan aankomt met een niet te managen, supergecompliceerde structuur, dan mag die o zo veilig zijn, maar dan gaat daar gewoon een streep door.
Beveiliging houdt in de continuiteit van je bedrijfsvoering garanderen. Dit is voor een (heel) groot deel een management probleem, en wordt pas later een technisch probleem.
Hiermee stel je dat je met slechte onbeveiligde middelen de continuïteit van je bedrijfsvoering wil garanderen. Dat gaat niet met enkel management.
De beveiliging zal technisch moeten worden toegepast. Doe je dat niet, vind je dat een probleem van latere orde, moet de continuïteit worden gegarandeerd met slecht gereedschap.
Onmogelijk. Tenzij je in hogere buiten natuurlijke machten gelooft.
Wanneer het management daarnaast aan komt zetten met apparatuur en software, waar een niet te managen supergecompliceerde structuur voor nodig is om het zo veilig te krijgen, dan gaat daar gewoon een streep door, idem.
Beveiliging hoort daar zeker bij, maar beveiliging is veel meer dan firewalls, IDSsen, virusscanners en andere aanverwante zaken. Beveiliging gaat in eerste instantie om continuiteit van je bedrijfsvoering, en daar komen heel wat meer factoren bij kijken dan de ICT en telematica mensen denken.
Een beetje bedrijf kan niet zonder beide: niet zonder Chief Security Officer maar ook niet zonder Managers (kan ook overlappen). Als die twee disciplines met elkaar vloeiend kunnen communiceren is er niets aan de hand. In een ander geval wordt je continuïteit een Russische Roulette.
Immers, wanneer je ICT en telematica het begeeft om wat voor reden dan ook, kun je fluiten naar de continuïteit.
Het technische gedeelte is nu eenmaal onomstotelijk net zo belangrijk als procedures schrijven.
Het ene sluit het andere niet uit. Beide zijn onlosmakelijk met elkaar verbonden.
Op dat punt zijn we elkaar kennelijk misgelopen, zijnde een overbrugbaar misverstand.
Originally posted by Unregistered
Vanzelfsprekend is een sluitende security (in hoeverre je het sluitend kunt maken) erg belangrijk en kun je het met alleen software niet afschermen.
Dat ben ik oogluikend met je eens. Security omvat een keur aan factoren en disciplines zoals deze in de gehele thread naar voren zijn gekomen. Factoren die individueel even belangrijk zijn waarbij het ene het andere niet uitsluit, nauw met elkaar verweven.Vanzelfsprekend is een sluitende security (in hoeverre je het sluitend kunt maken) erg belangrijk en kun je het met alleen software niet afschermen.
Daar hoort ook management bij. Wetend hoe de techniek werkt en dus wetend welke mogelijkheden en gebreken bij de huidige situatie bestaan helpen bij het opstellen van procedures.
Bij een kleine organisatie van de topic-starter zal het plaatje er anders uit zien dan van een grotere onderneming.
Nu hij/zij (meer) bekend is met de technische mogelijkheden binnen Windows wordt hij/zij in staat gesteld dat te vertalen naar procedures, indien hij/zij van deze mogelijkheden gebruik wil maken.
Wetend dat je bijvoorbeeld de criteria kunt toepassen enkel toegestane applicaties uit te kunnen voeren levert droog gezegd een procedure op welke applicaties dat dan zouden zijn binnen de organisatie/afdeling -- wil je dat managable uniform toepassen.
Dat heeft ook haar uitstraling naar licentiebeheer en handhaving. Immers kan er dan door personeel niet (meer) eigenhandig ongecontroleerd software worden geïnstalleerd.
Hoe uiteindelijk procedures toegepast worden, überhaupt welke procedures er bestaan, is ook weer per organisatie/afdeling/situatie verschillend.
18-11-2003, 12:23 door
Atzer
Poeh... Dat zijn veel reacties. Ik begrijp in ieder geval dat ik
1 mijn netwerk van binnenuit moet beschermen tegen de gebruikers,
2 de computers zo plaatsen dat ik niet meteen alle gegevens kwijtben bij
brand of invliegende vliegtuigen
3 zicht moet krijgen op aanvallen door Network Intrusion Detection.
1 dat gaat niet lukken op de win98 en xp home licenties (klopt deze stelling?)
2 portable HD kopen
3 hoeveel kost dat dan ....
Vanwege bedrijfscontinuiteit heb ik de data altijd op 2 verschillende
plekken/computers staan., zodat ik een kleine catastrophe door nieuwe
mapdelingen kan ondervangen. Of zijn er virussen die mijn hele netwerk
inhoudelijk bedreigen? Moet ik er vanuit gaan dat dit in de toekomst toch
gaat gebeuren? Paranoia?
1 mijn netwerk van binnenuit moet beschermen tegen de gebruikers,
2 de computers zo plaatsen dat ik niet meteen alle gegevens kwijtben bij
brand of invliegende vliegtuigen
3 zicht moet krijgen op aanvallen door Network Intrusion Detection.
1 dat gaat niet lukken op de win98 en xp home licenties (klopt deze stelling?)
2 portable HD kopen
3 hoeveel kost dat dan ....
Vanwege bedrijfscontinuiteit heb ik de data altijd op 2 verschillende
plekken/computers staan., zodat ik een kleine catastrophe door nieuwe
mapdelingen kan ondervangen. Of zijn er virussen die mijn hele netwerk
inhoudelijk bedreigen? Moet ik er vanuit gaan dat dit in de toekomst toch
gaat gebeuren? Paranoia?
Een gezonde dosis paranoïa is wel handig wanneer je met deze vraagstukken
bezig bent. Je moet er altijd vanuit gaan dat de bedreiging van zowel
buitenaf (door vreemden èn bekenden) als intern (door bekenden) komt. Met
die wetenschap trek je de strop bijna als vanzelf harder aan. In weze zorg
je ervoor dat er niets anders kan worden uitgevoerd/plaatsvindt zoals je
dat in je procedures hebt staan - sluit je alles daarbuiten uit.
Pak het sowieso gestructureerd aan. Maak om te beginnen een analyse.
Μπας
bezig bent. Je moet er altijd vanuit gaan dat de bedreiging van zowel
buitenaf (door vreemden èn bekenden) als intern (door bekenden) komt. Met
die wetenschap trek je de strop bijna als vanzelf harder aan. In weze zorg
je ervoor dat er niets anders kan worden uitgevoerd/plaatsvindt zoals je
dat in je procedures hebt staan - sluit je alles daarbuiten uit.
Pak het sowieso gestructureerd aan. Maak om te beginnen een analyse.
Μπας
Het allerbelangrijkste is een degelijk, werkend backup-plan. Dagelijks.
Het is bijna onmogelijk om je hele netwerk te beschermen tegen nieuwe
vulnerabilities en onkunde van de gebruikers. Het belangrijkste voor een
klein bedrijf is dat ze hun data niet kwijt raken. Prioriteit nummer 1 dus.
Heb je dat voor elkaar, dan kun je gaan kijken naar extra beveiliging.
Het is bijna onmogelijk om je hele netwerk te beschermen tegen nieuwe
vulnerabilities en onkunde van de gebruikers. Het belangrijkste voor een
klein bedrijf is dat ze hun data niet kwijt raken. Prioriteit nummer 1 dus.
Heb je dat voor elkaar, dan kun je gaan kijken naar extra beveiliging.
Ik ben het niet eens met de stelling dat het bijna
onmogelijk is om je hele netwerk te beschermen tegen nieuwe
vulnerabilities en onkunde van gebruikers.
Maar kan ik mij dat wel voorstellen vanuit het oogpunt van
een amateur systeem beheerder.
onmogelijk is om je hele netwerk te beschermen tegen nieuwe
vulnerabilities en onkunde van gebruikers.
Maar kan ik mij dat wel voorstellen vanuit het oogpunt van
een amateur systeem beheerder.
Door Anoniem
Ik ben het niet eens met de stelling dat het bijna
onmogelijk is om je hele netwerk te beschermen tegen nieuwe
vulnerabilities en onkunde van gebruikers.
Maar kan ik mij dat wel voorstellen vanuit het oogpunt van
een amateur systeem beheerder.
Ik ben het niet eens met de stelling dat het bijna
onmogelijk is om je hele netwerk te beschermen tegen nieuwe
vulnerabilities en onkunde van gebruikers.
Maar kan ik mij dat wel voorstellen vanuit het oogpunt van
een amateur systeem beheerder.
Let op de woorden bijna en klein bedrijf. Maar ik moet je
kennelijk uitleggen hoe het zit met beschikbaar geld van een klein bedrijf
voor security. Een klein bedrijf kan onmogelijk alle maatregelen
treffen om ALLES buiten te houden, en tegelijkertijd een prettig draaiend
netwerk voor de gebruikers te hebben.
En sterker nog, ik ben helemaal geen systeembeheerder, maar ik snap
wel een hoop meer van hoe een bedrijf in mekaar zit dan jij.
Maar goed.
Dagelijks werkend backup-plan blijft prio numero uno.
Een goede backup van je data is wel het uiterst
minimale. Kennelijk begrijp je daarnaast geheel niet
hoe een bedrijf in mekaar zit.
Een klein bedrijf kan alle maatregelen treffen
om ALLES buiten te houden, en tegelijkertijd een prettig
draaiend netwerk voor haar gebruikers hebben terwijl men op
low resources draait qua liquide middelen.
In plaats van gewoon na te denken, een beetje creatief te
zijn, bedenk je enkel drempels en excuses om er vooral niets
aan te hoeven doen.
Ook dat is buiten non-security een beetje dodelijk binnen
een bedrijf, hoe klein of groot ook.
minimale. Kennelijk begrijp je daarnaast geheel niet
hoe een bedrijf in mekaar zit.
Een klein bedrijf kan alle maatregelen treffen
om ALLES buiten te houden, en tegelijkertijd een prettig
draaiend netwerk voor haar gebruikers hebben terwijl men op
low resources draait qua liquide middelen.
In plaats van gewoon na te denken, een beetje creatief te
zijn, bedenk je enkel drempels en excuses om er vooral niets
aan te hoeven doen.
Ook dat is buiten non-security een beetje dodelijk binnen
een bedrijf, hoe klein of groot ook.
19-11-2003, 15:53 door
Atzer
Wordt aan gewerk!
Nergens meer unieke informatie. Backup systemen die niet in
dezelfde ruimten staan en waar geen mens met zijn poten aan
mag zitten.
Nogmaals: klein bedrijf. Doorgaans betekent dat weinig kenis
van het onderwerp netwerkbeveiliging. (Mensen inhuren zal
wel veel gebeuren). In mijn geval wil ik grip hebben op de
ontwikkelingen en niet teveel uitbesteden, dat kost bakken
geld. Daarbij komt dat inzicht kennis is. En kennis uit kan
monden in uitlegbare maatregelen.
Mijn besluit n.a.v. jullie vele en goede reacties is om
eerst dus mijn backup-huishouding in orde te krijgen (met
alle rampscenario's in gedachten), daarna ga ik proberen om
rechten te beperken richting de werknemers en de
kwaadwillende internet bezoeker (wat met de firewall en
antivirus mijn eerste zet was).
Qua paranoia: die verdwijnt langzamerhand. Alleen nieuwe
wormen en trojans doen mij op dit moment huiveren...
Nergens meer unieke informatie. Backup systemen die niet in
dezelfde ruimten staan en waar geen mens met zijn poten aan
mag zitten.
Nogmaals: klein bedrijf. Doorgaans betekent dat weinig kenis
van het onderwerp netwerkbeveiliging. (Mensen inhuren zal
wel veel gebeuren). In mijn geval wil ik grip hebben op de
ontwikkelingen en niet teveel uitbesteden, dat kost bakken
geld. Daarbij komt dat inzicht kennis is. En kennis uit kan
monden in uitlegbare maatregelen.
Mijn besluit n.a.v. jullie vele en goede reacties is om
eerst dus mijn backup-huishouding in orde te krijgen (met
alle rampscenario's in gedachten), daarna ga ik proberen om
rechten te beperken richting de werknemers en de
kwaadwillende internet bezoeker (wat met de firewall en
antivirus mijn eerste zet was).
Qua paranoia: die verdwijnt langzamerhand. Alleen nieuwe
wormen en trojans doen mij op dit moment huiveren...
Door Anoniem
Een goede backup van je data is wel het uiterst
minimale.
Ah je begrijpt me dus toch! Hulde!Een goede backup van je data is wel het uiterst
minimale.
Dat prioriteit nummer 1 wordt gehaald wil niet zeggen dat je niets aan de
rest hoeft te doen.
Door Atzer
Nogmaals: klein bedrijf. Doorgaans betekent dat weinig kennis
van het onderwerp netwerkbeveiliging. (Mensen inhuren zal
wel veel gebeuren). In mijn geval wil ik grip hebben op de
ontwikkelingen en niet teveel uitbesteden, dat kost bakken
geld.
Dat is heel begrijpelijk dat men inNogmaals: klein bedrijf. Doorgaans betekent dat weinig kennis
van het onderwerp netwerkbeveiliging. (Mensen inhuren zal
wel veel gebeuren). In mijn geval wil ik grip hebben op de
ontwikkelingen en niet teveel uitbesteden, dat kost bakken
geld.
kleinere bedrijven (hoewel dat bij grotere ook voor komt)
dat men weinig kennis heeft van het onderwerp
netwerkbeveiliging. Veel bedrijven, klein en groot, besteden
dat dan ook (deels) uit. Dit hoeft niet perse te betekenen
dat het dan bakken vol geld zou moeten kosten. Zeker niet.
Daarbij komt dat inzicht kennis is. En kennis uit
kan monden in uitlegbare maatregelen.
Dat is vankan monden in uitlegbare maatregelen.
een juiste strekking.
Mijn besluit n.a.v. jullie vele en goede reacties
is om
eerst dus mijn backup-huishouding in orde te krijgen (met
alle rampscenario's in gedachten), daarna ga ik proberen om
rechten te beperken richting de werknemers en de
kwaadwillende internet bezoeker (wat met de firewall en
antivirus mijn eerste zet was).
Dit klinkt goed.is om
eerst dus mijn backup-huishouding in orde te krijgen (met
alle rampscenario's in gedachten), daarna ga ik proberen om
rechten te beperken richting de werknemers en de
kwaadwillende internet bezoeker (wat met de firewall en
antivirus mijn eerste zet was).
Schroom er ook niet voor enige backups kilometers ver van
het bedrijf te bewaren. Dit ten aanzien van natuurrampen,
etc. etc. Dergelijke backups kun je tevens encrypten met een
zware sleutel (mocht de backup onverhoopt tijdens het
wegbrengen worden gestolen, etc etc)
Qua paranoia: die verdwijnt
langzamerhand.
Probeer dat liever in stand telangzamerhand.
houden. Je kunt niet zonder gezonde paranoïa. Altijd even
links en rechts kijken voor je oversteekt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
