Security Professionals
- ipfw add deny all from eindgebruikers to any
Hoe veilig documenten te delen met intern en externen
16-01-2013, 12:33 door Anoniem, 1 reacties
Hallo,
Ik ben op zoek naar een veilige maar ook flexibele manier om gevoelige bestanden te delen met interne werknemers en externe bouwpartijen.
Te denken valt aan pen test reports en vulnerability reports.
Je kan dit oa doen dmv:
- TrueCrypt
- PGP/GPG
- PDF encryptie 256 bit AES
Maar het probleem is met deze oplossingen dat oa PGP niet (goed of helemaal) werkt met Outlook for MAC (veel managers hebben een mac en outlook for mac, die kan ik geen thunderbird met enigmail aanpraten).
Truecrypt is leuk voor 1 persoon om een document mee te delen maar het probleem is dat het document juist na het decrypten verder rond wordt gestuurd (zou je kunnen dekken in een contract/afspraak).
Maar ik zat zelf aan een web based portal te denken met SSL en authenticatie en authorisatie en documenten die ala Google Docs in te zien zijn, niet te downloaden zijn.
Je kan wel print screens gaan maken van 40 pagina's tellende documenten maar dan ben je fout bezig en vraag me af hoeveel het oplevert.
De documenten zou je na 30 dagen secure kunnen archiveren na opsturen van de unieke URL (met SSL, auth, etc.).
Wat heeft jullie voorkeur gezien ook de complexiteit van de verschillende gebruikers en mail programma's ?
Ben benieuwd :)
Ik ben op zoek naar een veilige maar ook flexibele manier om gevoelige bestanden te delen met interne werknemers en externe bouwpartijen.
Te denken valt aan pen test reports en vulnerability reports.
Je kan dit oa doen dmv:
- TrueCrypt
- PGP/GPG
- PDF encryptie 256 bit AES
Maar het probleem is met deze oplossingen dat oa PGP niet (goed of helemaal) werkt met Outlook for MAC (veel managers hebben een mac en outlook for mac, die kan ik geen thunderbird met enigmail aanpraten).
Truecrypt is leuk voor 1 persoon om een document mee te delen maar het probleem is dat het document juist na het decrypten verder rond wordt gestuurd (zou je kunnen dekken in een contract/afspraak).
Maar ik zat zelf aan een web based portal te denken met SSL en authenticatie en authorisatie en documenten die ala Google Docs in te zien zijn, niet te downloaden zijn.
Je kan wel print screens gaan maken van 40 pagina's tellende documenten maar dan ben je fout bezig en vraag me af hoeveel het oplevert.
De documenten zou je na 30 dagen secure kunnen archiveren na opsturen van de unieke URL (met SSL, auth, etc.).
Wat heeft jullie voorkeur gezien ook de complexiteit van de verschillende gebruikers en mail programma's ?
Ben benieuwd :)
Reacties (1)
Vooralsnog is je beste beveiliging: Mensen bewust maken van de problemen, een flinke juridische stok achter de deur (NDAs etc.), en dan zorg dragen voor een solide omgeving. Waarbij "solide omgeving" veel meer omvat dan wat servertjes en VPNetjes; er horen duidelijke procedures over wat er wel en niet met de data mag gebeuren bij.
Dat betekent dus dat je niet vooraf jezelf in de vingers gaat snijden. Als dat betekent dat outlook onvoldoende is, dan mag dat niet meer gebruikt worden. Sowieso betekent dat de data op vreemde computers terecht komt, wat je ook al niet wil.
Als de informatie gevoelig genoeg is dat ze niet zonder encryptie mag worden opgeslagen, dan mag er geen toegang toe verkregen worden met machines zonder full-disk encryptie. Desnoods stel je netjes ingerichte laptopjes ter beschikking en gebruik die maar. Of weetikhet, remote desktops (eventueel OS smaak naar keuze) op serverts onder jouw beheer en de enige interface is een remote viewer applicatie (die dan ook weer niet onnodig aan een OS gebonden hoeft te worden) en een toegang via een eigen snel netwerk.
Het klinkt extreem, maar anders print je de zooi maar uit en nodig belanghebbenden uit om de stukken in te komen zien op jouw beveiligde faciliteit; op papier en niet anders, en er gaat geen blaadje de deur door. Alles in de kluis danwel de shredder voor de deur weer van het slot gaat. Heel simpel.
Als daar niets van haalbaar is, nou, schrijf maar vast het persbericht voor als het fout gaat. Beveiliging is geen geintje; als de stukken maar belangrijk genoeg zijn dan laten de veiligheidsoverwegingen gewoon niet toe dat er vooraf grote gaten in de beveiliging gelaten worden wegens "haalbaarheid" bij "managers". Doe je dat wel, dan kun je net zo goed niet beveiligen.
Met andere woorden, ga eerst eens inventariseren hoeveel er wel en niet mag met de data, plak desnoods een prijs op eventueel verlies, en kom daarna met een plan hoe dat functioneel, procedureel, en oh ja ook nog technisch op te lossen.
Dat betekent dus dat je niet vooraf jezelf in de vingers gaat snijden. Als dat betekent dat outlook onvoldoende is, dan mag dat niet meer gebruikt worden. Sowieso betekent dat de data op vreemde computers terecht komt, wat je ook al niet wil.
Als de informatie gevoelig genoeg is dat ze niet zonder encryptie mag worden opgeslagen, dan mag er geen toegang toe verkregen worden met machines zonder full-disk encryptie. Desnoods stel je netjes ingerichte laptopjes ter beschikking en gebruik die maar. Of weetikhet, remote desktops (eventueel OS smaak naar keuze) op serverts onder jouw beheer en de enige interface is een remote viewer applicatie (die dan ook weer niet onnodig aan een OS gebonden hoeft te worden) en een toegang via een eigen snel netwerk.
Het klinkt extreem, maar anders print je de zooi maar uit en nodig belanghebbenden uit om de stukken in te komen zien op jouw beveiligde faciliteit; op papier en niet anders, en er gaat geen blaadje de deur door. Alles in de kluis danwel de shredder voor de deur weer van het slot gaat. Heel simpel.
Als daar niets van haalbaar is, nou, schrijf maar vast het persbericht voor als het fout gaat. Beveiliging is geen geintje; als de stukken maar belangrijk genoeg zijn dan laten de veiligheidsoverwegingen gewoon niet toe dat er vooraf grote gaten in de beveiliging gelaten worden wegens "haalbaarheid" bij "managers". Doe je dat wel, dan kun je net zo goed niet beveiligen.
Met andere woorden, ga eerst eens inventariseren hoeveel er wel en niet mag met de data, plak desnoods een prijs op eventueel verlies, en kom daarna met een plan hoe dat functioneel, procedureel, en oh ja ook nog technisch op te lossen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
