2012-06-28

Micosoft TechEd Europe - Del 11 - Security Experts Panel (BYOD + Hacktivism) = Gen Y Hacker

Moderator: Mark Estberg (Microsoft Corporation)
Talare: Andy Malone (The Cybercrime Security Forum), Marcus Murray (Truesec), Paula Januskiewicz (iDesign - CQURE), Roger Grimes (Microsoft Corporation)
Presentation: SIA201

Anteckningarna nedan är mina anteckningar live från presentationen. Detta gör att det kan vara felstavningar, felsyftningar och liknande. Jag ber om ursäkt för alla eventuella felaktigheter.
Lämna gärna en kommentar i så fall så ser jag till att ändra. :)

Marcus Murray börjar med att spela musik. Först blir det "Idas sommarvisa" och sedan blev det "Euforia". Respekt! :)

Detta är en paneldebatt, så det är inte en vanlig presentation.

Samtliga talare är överens om att BYOD är en sak som kommer att hända vare sig vi vill eller inte. Användarna har med sig enheter så det krävs att vi har en infrastruktur som kan hantera detta.
Som man har talat om tidigare, bland annat på keynotarna, så är ett sätt att dela upp information och resurser så att vissa resurser kommer man åt från vilken enhet som helst, men andra resurser kommer man bara åt från enheter som företaget har kontroll över.
Tanken är att vi inte ger alla enheter samma möjligheter.
Vi behöver troligen kika på säkerhetspolicyn på företaget. Vissa saker kan vi inte kontrollera, men däremot kan vi hantera den, vi kan verifiera hur enheterna är konfigurerade och om vi kan få information från enheten att den uppfyller våra säkerhetskrav så får den tillgång till vissa resurser osv.

Om vi som IT inte supporterar enheter så kommer användarna att köra motsvarnde dropbox eller liknande. Helt plötsligt vill VDn ha en läsplatta och kunna komma åt alla sina filer. Om IT säger nej så kommer VDn att antingen lösa det själv, eller byta ut IT avdelningen...

"Det är bättre att ha en acceptabel lösning än att släppa lös användarna och låta dem göra vad de vill"

En intressant utmaning med BYOD som blir ännu tydligare än tidigare är att många delar enheter med andra i familjen. Detta har hänt tidigare också med att användare har lånat ut sina företagsdatorer till barnen och liknande. Dock har det då varit ett medvetet val hos användaren att logga in på datorn och låta barnet använda datorn
Men i och med BYOD så är det självklart att hela familjen skall kunna använda iPaden eller liknande och eftersom att just iPad är en enanvändarprodukt så kommer alla som använder enheten att kunna komma åt alla andras information...

Marcuis för resonemanget att samtidigt så behöver vi på nått sätt kunna lita på våra användare. Det är jätteviktigt att vi ger användarna möjlighet att komma åt det som de behöver för att kunna jobba, men vi måste även ge dem verktygen att förstå varför vi på IT har gjort på ett visst sätt..


Samtidigt skall sägas att när det gäller mobila enheter så får man den inbyggda säkerheten från den mobila infrastrukturen (med sandboxing och liknande). Det är därför inte helt säkert att en mobil enhet är "dålig" bara för att den är mobil.
Tyvärr är det väldigt många enheter som inte är patchade (upp till 60% av alla Andriod enheter är opatchade enligt panelen. När det gäller iOS så vet man inte ens vad siffran är eftersom att Apple inte delar med sig av siffran).

Ett sätt för att hantera användare som inte vill följa IT-policys (exempelvis Ledningen) så är ett sätt att ta fram ett dokument som användaren får skriva på som utryckligen förklarar att användarnen är ansvarig för allting dåligt som kan hända (fast skrivet på ett lite vackrare sätt.. :))


Utbildning av användarna så att de vet var social engineering är och hur de skyddar sig. Även se till att användarna vet att de har rätt att vägra lämna ut lösenord.
Här är det jätteviktigt att vi som IT inte någonsin frågar efter lösenord. Det finns MASSOR med andra sätt än att be om att få lösenordet. Vi kan resetta konton osv.osv.osv.. Vi behöver inte och skall inte veta användarnas lösenord.



Sedan följer en lång diskussion kring hacktivism. Här har man färre lösningar. I stora drag handlar det om att se till att man har en bra grundsäkerhet. Men om en stor grupp vill attackera företaget så har man in princip ingen chans verkar vara deras gemensamma åsikt.
Vad man kan göra är att försöka skydda informationen så mycket som möjligt, men en DDOS-attack (eller liknande) är nästan omöjligt att stoppa.
Det intressanta med hacktivism är att man som företag kan få reda på att det kommer att ske en attack en viss dag och en viss tid (exempelvis att det står på Facebook att "dag XX klockan YY skall vi alla hacka företag ZZ"). Att veta redan från början att man kommer att bli hackad och när är en intressant ny sak.


Inga kommentarer:

Skicka en kommentar

Related Posts Plugin for WordPress, Blogger...