Zo'n bedrijf hoort niet te mogen bestaan. Klaar!

TheYOSH

https://news.slashdot.org/story/17/09/13/1840258/equifax-has-new-data-breach-by-hackers-using-admin-as-password


ik zou alles wat ze zeggen in de media wantrouwen :).

Het is al jaren lang hetzelfde probleem en men blijft er mee weg komen zowel bij beheer als development. Daarom maar gekozen om alleen nog offensief bezig te zijn, vuln/exploit dev. Scheelt een hoop stress en is door voornoemde reden ook niet al te moeilijk. Valideren van input of checken van autorisaties wordt altijd wel ergens vergeten/slecht geimplementeerd.

Wil iedereen eerst zelf even checken of ALLES binnen zijn/haar organisatie up-to-date is...

doe ik dagelijks! inc update etc. logging the lot! maar ik realiseer me dat niet iedereen in die positie zit om dat te kunnen al is het maar omdat een OS daarin tegen kan werken en heel veel roeren en klikken met een muis op levert

Complimenten! Waren er maar meer mensen zoals u.

Ik kan de personen die bepaalde systemen niet kunnen updaten alleen maar aanbevelen om deze systemen te isoleren en daarnaast te investeren in goede IPS systemen die misbruik van kwetsbaarheden kunnen blokkeren.

Wellicht nog een tip: gebruik de waardegrafiek van de aandelen van Equifax voor je businesscase.

Vaak genoeg gedaan en doe ik nog steeds. Resultaat nada nada.
Te lastig / duur wegens de vele onderlinge afhankelijkheden van tools.
Niet gebudgetteerd noodzakelijk onderhoud.
Het grote succes van ds snelle implementatie wordt bedreigd.

Zeg maar: het gangbare bij grote organisaties. Aandelenkoersen helpen niet als argument. De beslissers hebben korte termijn persoonlijke visies. Hoog betaald wegens afbreukrisico met een afbreuk zijn ze elders zo weer aan de slag of krijgen intern een promotie bij faal.
.

dan klaarblijk is het loggen checken en updaten dan te arbeidsintensief opgezet zodat het verzand. toevallig met zo een systeem te maken waarbij mensen dan de gehele dag moeten roeren klikkek en reboten terweil gewoon werk ook nog door hoort te gaan? over gereguleerd of te veel procedures? Of misschien toch ook wel verborgen kosten boven op de licenties bij de software?

stelling: iets wat geen moeite kost, wordt eigenlijk vanzelf gedaan

Wat ik nu facinerend vind is dat een iemand altijd van de information security met iso ditem en datum is en iemand heel snel een netwerk nerd of unix fan boy is, en weigert te accepteren dat een OS een onderdeel van deketen is, maar dus nu zelf toegeeft zelf een rommelomgeving te hebben:

"Vaak genoeg gedaan en doe ik nog steeds. Resultaat nada nada.
Te lastig / duur wegens de vele onderlinge afhankelijkheden van tools."

juweeltje hoor!

Als het niet op orde is, schrijf een advies met een businesscase. Daarin een duidelijke beschrijving van de risico's.

Stuur dit naar de hoogste personen binnen je organisatie, vergeet alle tussenliggende managementlagen.

Alleen de hoogste personen binnen de organisatie kunnen keuzes maken mbt risico's.

Beschrijf altijd heel goed en duidelijk dat deze personen eindverantwoordelijk zijn, en niemand anders!

Raad van bestuur, directeuren, ministers, etc, etc, hebben geen idee wat de risico's zijn, en alle managementlagen ertussen zijn vaak te bang/lui om extra werk te verzetten.

Een goede informatiebeveiliging begint bij jezelf! Zorg dat je je zaken op orde hebt door de risico's bij de juiste personen te beleggen.

Nope als loonlijst medewerker inhuur heb ik enkele een adviserende rol. voor zaken die niet wettelijk compleet fout / levensbedreigend zijn. Ach als je het AP kent de situatie kent en meemaak is het echt vermaak. Yup van nabij en dat op een heel andere wijze dan jij kan bevroeden.

De rommelomgeving ontstaat bij de nerds en doosjesschuivers. Als je iets verder in de keten met integratie van de spullen zit kun je aan die rommel weinig meer doen. Alleen dat deel waar je zelf invloed op kunt hebben om te veranderen.
Cirkel of control infulence concern Covey: http://www.celestinevision.com/2015/09/personal-development/superpowers-part-2-sorting-the-pile/


Dat is nu precies wat er aan de hand is. thanks SecGuru_OTX.
Het gevolg van je adviezen is tevens dat je niet met de geld verdelerij mag meedoen want te lastig. Het zij zo.

"De rommelomgeving ontstaat bij de nerds en doosjesschuivers."


quod erat demonstrandum

OS is maar een heel klein onderdeel van de de keten. Sterker nog, in een goede architectuur, merkt de gebruiker er helemaal niets van, aangezien alleen de benodigde porten openstaan. Het OS is dus maar een heel klein onderdeel in de keten.

Kan zowel in een goede als slechte omgeving gemeld worden.

Dat betekend dat ergens anders het probleem zit. En niet direct bij een OS beheerder.

"OS is maar een heel klein onderdeel van de de keten. Sterker nog, in een goede architectuur, merkt de gebruiker er helemaal niets van, aangezien alleen de benodigde porten openstaan. Het OS is dus maar een heel klein onderdeel in de keten."

een schakel, maar niet te verwaarlozen of weg te elimineren (vaak de zwakke) schakel.

vergeet niet de bugs en exploits vinden toch echt op de dozen (en dus OS) plaats.

dus als je een OS hebt dat nagenoeg geen belasting of werk oplevert om dagelijks te updaten vrijwel automatisch, dan ga je een andere dynamiek krijgen in je gehele keten dan als je os hebt dat drie uur patches download, je een klik safarie moet uitvoeren, moet rebooten en daarna allerlij instellingen (sinds de laatste grap bijv) op zweeds heeft gezet.

efin, wat dus een kleine onbelangrijke schakel HAD moeten wezen is dat niet altijd. daarmee dus concluderende dat je die schakel als security minded persoon HEEL DUIDELIJK EN BEWUST op je radar MOET hebben en niet wegbagataliseren door te stellen dat nerds zitten te spelen etc. etc. etc.

kijk ik ben niet anti MS of perse een unix fanboy, maar ik zie en merk zelf ook een duidelijk verschil in beheer belasting en erken dat dat gevolg kan hebben (omdat je in de keten zit) voor security. ik vind dus dat je de tool for the job moet gebruiken en vooral ook je tools tegen het licht moet houden. ook al had architectuur of iemand hoger in de laag bedacht dat dingen OS onafhankelijk hadden moeten zijn. ze zijn dat in de praktijk gewoonweg niet. dat is erg naief denken.