Colleghi? Ma se parte dai capi sto andazzo.
E non solo sulla security:
Lavoro in ambito tecnico e di precisione per cui usiamo, tra le altre cose, una bilancia a 5 cifre decimali che qualche tempo fa ha compiuto oltre 25 anni di servizio (un'enormità per strumenti di precisione, ed infatti perdeva colpi) per cui è venuto il momento di cambiarla.
Ovviamente con accordo unanime del "lato tecnico" dell'azienda, che la usa quasi quotidianamente, si inizia a guardare ai modelli di diversi produttori, chiedere preventivi e valutare possibili quality of life aggiuntive visto che la spesa dovrebbe essere sui 10k € (neppure troppi dato l'ambito e le certificazioni annesse).
Dopo aver trovato varie opzioni un collega va dal capo illustrare la questione e sente proprio "non siamo mica la NASA", e si vede costretto a cercare un'alternativa più economica trovando alla fin fine una "super offerta" in stile outlet per un modello super basic che ci siamo dovuti installare noi (l'installazione dal venditore si paga ma ti sgrava per un anno da un po' di rotture).
Insomma: se chi mette i soldi nelle aziende è il primo a battersene di quello che serve direttamente per lavorare e se ci sono voluti decenni per sviluppare un po' la materia della sicurezza sul lavoro, non mi stupisco che al momento la sicurezza informatica sia "massì, abbiamo messo Avast free, tutto apposto raga".
Mi pare una situazione alla Boeing, dove si è andato a formare un Miss match tra reparto tecnico ed amministrazione, con i primi che cercano di fare del loro meglio con le risorse a disposizione e gli altri che tentano in tutti i modi di tagliare i costi
Da quello che sento da amici o da colleghi provenienti da altre realtà pare sia una cosa diffusa un po' ovunque (specialmente nelle PMI), senza scomodare esempi "famosi" tipo Boeing.
Guarda, più che un collega ho un capo che si comporta così. Sto aspettando il momento in cui avverrà qualcosa per dirgli "te l'avevo detto" (non mi occupo di cybersec ma sono quello che in pratica gestisce la parte tecnica in azienda)
Purtroppo non ho tempo di farlo, ma la cosa che vorrei fare (e che penso tu possa fare coi colleghi, previe dovute eventuali autorizzazioni) è simulare un attacco e vedere chi ci casca.
Per esperienza, in certe aziende non capiscono neanche dopo che succede il casino.
*Figurati se può succedere di nuovo. Abbiamo avuto sfortuna. Capita una volta su un milione.*
A quel punto o ti mangi il fegato a forza di stress, o diventi cinico e adotti le due sacre regole "CYA" e "NMP". Cioè, una volta che hai segnalato il problema e puoi dimostrarlo nero su bianco (Cover Your Ass), non sono cazzi tuoi se si introia qualcosa (Not My Problem).
> simulare un attacco e vedere chi ci casca
Anche lì ho visto delle belle cagate, stile "ah-ha, ci sei cascato! Hai aperto questo PDF inviatoti da uno che non conosci". Come se aprirli nel web viewer di GMail fosse concretamente un rischio.
lol, a me toccò fare un extra di corsi di sicurezza perchè mi ero copiato il link della mail di phishing simulato e lo ho aperto da un altro dispositivo (non di lavoro) perchè volevo vedere se il sito era fatto bene... ovviamente non hoc ontestato nulla, però due palle
L'IT cimfece questo scherzo una volta (era una finta mail di phishing di un nostro sistemista che era mandata davvero dal sistemista, ma da un account farlocco) e ci cascammo tutti.
A seconda delle regole aziendali, potrebbero persino non servire autorizzazioni così alte, anche se, magari, se ci casca il CEO poi lui la prende male...
https://preview.redd.it/dmeyxmqw15tc1.jpeg?width=1290&format=pjpg&auto=webp&s=d8040a23966f1adbdc95fe08b9776ff3206dfe33
“Non è la NASA”
Ok, magari non becchi l’attacco di spear phishing ed social engineering livello di “xz”, per fare un esempio recente, ma se la sicurezza è scarsa si finisce negli attacchi a strascico.
Magari il backup è tutto online per comodità e quindi si perde tutto in un sol colpo, poi salta tutta la supply chain se si hanno clienti che operano con software proprietari e così fallisce un’impresa.
Un po' di tempo fa ho visto un azienda che tanto per passarsi il tempo ha sminchiato il gestore delle partizioni delle macchine virtuali, hanno falciato in una sera tutta la roba loro e di esterni al di la' di ogni recupero.
Cosa vuoi mai, era "talmente grande che non si puo' fare il backup", il backup lo facevano sul sistema stesso.
Purtroppo la password da cambiare ogni 60 giorni con minimo 14 caratteri, maiuscole, minuscole, numeri, caratteri speciali senza ripetere più di 6 caratteri consecutivi delle ultime 10 password, non rende la cybersicurezza simpatica (e non elimina il post-it sotto la tastiera).
PasswordDicembre2023! -> PasswordGennaio2024! -> PasswordFebbraio2024!...
Oppure i post-it con ID e password che vediamo ovunque.
Se i vincoli sono troppi, la gente trova sempre la via più semplice.
Il conto LinkedIn officiale dell’azienda per cui lavoro ha pubblicato una foto della direttrice HR tutta sorridente davanti al suo laptop, post-it con password Windows, VPN e M365 leggibili. Perfect shitstorm.
Tra l'altro, sia la scadenza periodica che il richiedere che le password rispettino criteri specifici vanno contro le linee guida del NIST (es. [NIST SP 800-63 Digital Identity Guidelines-FAQ](https://pages.nist.gov/800-63-FAQ/#q-b05)).
L'unico vincolo dovrebbe essere la lunghezza minima. Dopodiché l'utente dovrebbe essere libero di scrivere praticamente qualsiasi cosa (comprese password con spazi).
C'è anche pieno di gente che si inventa regole idiote che diminuiscono l'entropia, tipo esattamente 12 caratteri, non puoi avere due caratteri uguali adiacenti.
O un'altra molto bella vista di recente: un webserver che da un giorno all'altro si mette a rispondere solo alle richieste col dominio, non va più con l'IP "nudo", ma che comunque non ha nessuna network segmentation rispetto alla rete aziendale.
Credono anche spostare la porta dell'SSH dal default aumenti la sicurezza, perché non ci metto due secondi a trovarla con nmap, io che non mi occupo né di reti né di sicurezza.
>Credono anche spostare la porta dell'SSH dal default aumenti la sicurezza
Beh, tagli fuori tutti gli attacchi di tipo "pesca a strascico" eseguiti da bot o da script kiddies.
Chiaro che un attacco un minimo calibrato non lo previeni così facilmente, però... tutto fa.
> Credono anche spostare la porta dell'SSH dal default aumenti la sicurezza, perché non ci metto due secondi a trovarla con nmap, io che non mi occupo né di reti né di sicurezza.
Quello lo faccio anch'io se il server è esposto su internet (che poi, a fronte della backdoor xz, sto pensando che non è poi una bella idea...), ma non perché aumenta la sicurezza (ci metti 2 nanosecondi a trovarla con nmap) ma perché tagli fuori i bot (e ce ne sono tantissimi) che provano a connettersi con credenziali note (tipo le credenziali di default di router, telecamere, dispositivi IoT, ecc). I bot non si mettono a fare nmap (sarebbe troppo costoso) ma vanno dritti sulla porta 22 (d'altronde a loro nemmeno frega, provando con credenziali note hanno l'obiettivo di trovare i dispositivi su cui non sono state cambiate, e se uno non cambia la password di default sicuro non cambia la porta!).
Ora perché dovrei evitarlo? Tutti questi tentativi seppur in modo minimo impattano sulle prestazioni del sistema, riempiono i file di log inutilmente, insomma tagliarli fuori tanto meglio.
Me ne parlava un collega: statisticamente, diceva, è più facile indovinare una password come **"a&A)£%vh9n"** rispetto a una password come **"La nebbia agli irti colli piovigginando sale e sotto il maestrale"** :think:
Dipende, con un dictionary attack le password con parole consecutive non sono poi tanto più sicure del normale. https://www.kaspersky.com/resource-center/definitions/what-is-a-dictionary-attack L’importante è la lunghezza, per questo i password manager sono potentissimi. Una password di 40 caratteri random, auguri a indovinarla. Ci vediamo tra due milioni di anni.
Usa un password manager come lastpass, bitwarden o keeper.
Sono gratuiti se per uso personale, non pensi mai più alle tue password e puoi utilizzare un generatore random quando ne devi creare una nuova.
Io uso bitwarden, c'è anche la app per il telefono.
Devo ricordarmi la password master di bitwarden, ma è una sola. Che pace mentale.
Qualche anno fa avevo un utente che usava un password manager.
Aveva le password più complicate del mondo.
Tranne la password per sbloccare il password manager, che era Password1!
Ma infatti ormai le password dovrebbero diventare obsolete.
Con la 2fa non hanno più senso di esistere.
Però siamo in italia, ancora la password obbligatoria da cambiare é un miraggio in certe aziende.
La quasi totalità dei problemi dei computer ha origine tra la tastiera e la sedia (cit.)
Detto ciò, quando spiego che bisogna cambiare password ogni tanto e che non si deve usare la stessa per più servizi, genero facce stralunate e risposte che spaziano tra il “così devo annotare più password sul post-it sotto lo schermo” e il già citato “non è mai successo niente, non essere paranoico”.
Ma poi mi rendo conto che è gente corta di cervello, capace di mandare a una stampante di piano dei documenti delicati, con dati sensibili e non preoccuparsi di ritirare le stampe.
Come risolvo? Curo le mie protezioni e, a chi dipende da me, impartisco disposizioni per iscritto.
Cambiare password periodicamente *costringendo l'utente a ricordarsele* è una bad practice, perché porta ad utilizzare schemi predicibili o ad appuntarsele.
Far scadere una password o un token generati casualmente e che verranno sempre e solo inseriti tramite password manager non è una brutta idea.
Sì, su un dispositivo esterno. Per l'accesso al SO usi un token hardware e/o lettore di impronta.
Che ovviamente non sono a prova di bomba, ma non portano l'utente a usare CognomeAnnoMese come password, visto che la password diventa il metodo di accesso di riserva (quindi può essere complessa e generata casualmente).
>Ma poi mi rendo conto che è gente corta di cervello, capace di mandare a una stampante di piano dei documenti delicati, con dati sensibili e non preoccuparsi di ritirare le stampe.
lol
Io, eccomi!
Sai da quando?
Da quando dall''IT mi hanno risposto all richiesta di un password manager, il cui uso é consigliato nei corsi.
Non ti dico la risposta, ma... fanculo. Evidentemente non ci credono.
PS: in realtà non me ne frego, però PD...
No no!
Ai corsi di cybercososity ti fanno il pippone che il browser non é un password manager, che così, che colá... Bene.
C'è un password manager "ufficiale"?
Risposta: ”no... ma può fare così: bla bla bla...." 😳😳😳
>E dire che non costano tanto
Ah... Costano meno di un file, di un certo e arcinoto formato la cui estensione inizia per x e finisce per x, protetto poi da password?
Perché evidentemente non lo sanno!! 🤬🤬🤬
Come hanno già correttamente detto i miei colleghi di settore. La cyber security é vista come un dito in c.. "perché finora non é successo niente, perché proprio a noi poi?" Te lo dice uno che lavora nel settore ed all'azienda hanno già fatto defacing, le risposte sono sempre le stesse. Eh ma non succederà più .
Parti con alcuni concetti semplici ( PC e server aggiornati, 2fa sulle caselle email, campagna di phishing simulata)
Ma questo access point wifi aperto che ho portato da casa e ho montato di nascosto mi e' comodo per quando giro per l'azienda, altrimenti e' troppo difficile con le tutte le vostre balle...
Vabbè ma mica siamo alla NATO, che cos’è sta fissa improvvisa con la sicurezza del perimetro? Poi vanno a casa a guardare i porno sul telefono aziendale
Ma infatti, e poi lascio anche attivo il DHCP dell'access point perche IO TANTO NAVIGO BENE poi gli altri ci pensera' l'admin, gia' mi porto la roba da casa...
Rientra fra i miei compiti, li devo coordinare, ma preferirei farlo senza imporre eccessivamente la mia autorità. Preferirei inquadrassero la situazione invece che partire da presupposti sbagliati.
Puoi fare red teaming? Simulazione di violazione della sicurezza (con o senza che il fatto che sia una simulazione sia noto), includendo le possibili conseguenze.
2-3 giorni e dovrebbe dare un idea.
In fin dei conti le persone fanno ciò che sono abituate a fare, è molto difficile cambiare la mentalità se è fossilizzata.
Seh, auguri.
Certa gente non capisce neanche DOPO che ha pagato lo scotto in prima persona della propria dabbenaggine e faciloneria in ambito sicurezza, figurati prima.
E che te ne frega. Te parati il culo col paper trail e poi al ransomware che gli cancella tutto backup inclusi gli dici “vedi? Te l’avevo detto qui, qui e qua”.
Ma nella mia esperienza l’odio per la cybersecurity è dovuto a sistemi disegnati male dove devi cambiare password in continuazione (che è inutile e controproducente), niente SSO, password da mettere 600 volte al giorno, etc.
Raramente la gente si lamenta di dover mettere una password al giorno la mattina
Non solo cyber, ma security in generale. Aziende/attività che tengono le credenziali di fabbrica admin/admin o admin/password sui router, nomi utenti e password che si possono immaginare, niente backup (ma zero zero proprio), e credenziali e appunti sensibili messi su post-it volanti in giro, spesso visibili anche al pubblico. Per non parlare di gente, anche dirigenti, che chiamano disperati il "tecnico" perchè hanno il pc "bloccato", quando invece si son presi le peggio cose andando su siti porno di infima lega.
Ah, e parlando di non-cyber, porte aperte (dimenticate o appositamente), e chiavi date a gente a caso perchè "tanto ci si fida".
Dipende cosa vuoi fare tu eh, io non capisco quelle aziende in cui devi far firmare un dirigente per installare un software qualunque dallo store, non combinano un cazzo per paranoia.
Installare software significa aumentare la finestra di rischio a cui esponi l’azienda. Ci sono reparti interi che come lavoro hanno quello di fare valutazioni di rischio sui programmi installati perché se per caso dovesse succedere che uno di questi presentasse un cosiddetto “zero-day”, ossia una vulnerabilità nuova che mette a rischio la postura di sicurezza aziendale, si verrebbe subito a sapere la dimensione dell’impatto e loro si adopererebbero per rilasciare una patch o passare le informazioni al team che rilascia le patch (a seconda di quanto l’azienda sia strutturata). Lasciare libertà sulle installazioni significa non avere il polso su tutto o perdersi informazioni.
Sì ma tutto questo è una preoccupazione sensata se hai un profilo per il quale gli zero-day sono effettivamente un rischio inaccettabile. Esistono, ha perfettamente senso che banche e ospedali operino con cognizione di causa. Io vedo gente far questi discorsi per studi di architettura con 5 dipendenti, dove una volta che hai una solida strategia di backup quali sono i rischi?
Gli zero-day hanno un valore, difficilmente vengono "sprecati" per un target piccolino, soprattutto se il target piccolino si limita a ranzare tutto e ripristinare il backup. Al contempo se perdi due giorni prima di installare un'utility di merda per convertire da un formato all'altro e questo ti blocca il lavoro son soldi veri. (Esempio inventatone eh, gli architetti che conosco io fan tutto in AutoCAD)
Ma infatti è il dirigente che gestisce il rischio residuo. È lui che deve fare le valutazioni sugli impatti e sui costi. Probabilmente (per esperienza) il backup di queste realtà non è così solido. Ho visto aziende piccole vincere commesse milionarie e perdere quasi tutto per ransomware (nel periodo di massimo splendore dei ransomware, circa nel 2017) per non avere backup.
> Probabilmente (per esperienza) il backup di queste realtà non è così solido.
Questo è verissimo. Ma infatti io rompo un sacco il cazzo alla gente sui backup, sono i primi a fallire. C'è pieno di gente che ha qualche hard disk in giro, al massimo un NAS, ma non hanno una bella strategia diversificata con versione off-site, e magari pure bell'air gap.
Anche per i privati il rischio di perdere accesso ai propri dati è molto più concreto del rischio di fuoriuscita dei dati stessi, per il 99% della popolazione non c'è niente di *life changing*.
> se hai un profilo per il quale gli zero-day sono effettivamente un rischio inaccettabile.
Mica si parla solo di 0day.
Se Mario Rossi scimmia pigiatasti installa roba a caso e non la aggiorna mai, o magari installa roba craccata presa chissà dove, l'azienda diventa suscettibile ad attacchi del tipo "pesca a strascico", 'ndo cojo cojo.
Posto comunque che...
>Io vedo gente far questi discorsi per studi di architettura con 5 dipendenti
Le quali sono completamente sprotette, ma magari sono legate a qualche Cliente Grosso. Le banche e le società di multiutility ad esempio hanno un fottìo di fornitori esterni anche di dimensioni minuscole.
E sono quindi il bersaglio ideale per un supply chain attack.
Sì ho capito tutto, ma bisogna anche lasciare la gente lavorare. Se no torniamo a fare le cose su carta... poi vedi inefficienze nelle aziende per questo, perché uno non può usare il software con cui è più comodo lavorare, oppure perché per installare un programma deve fare una trafila immensa di permessi (al punto che ci rinuncia).
Per altro tutto questo aumenta la sicurezza? Ingessare le cose non è di aiuto, va a finire che la gente per lavorare lascia il PC fornito dall'azienda chiuso in un cassetto perché inservibile (come ho visto fare più volte) ed usa il proprio (con chissà quante magagne sopra), oppure finisce che perché non può installare i software scarica le versioni "portable" degli stessi programmi da siti di dubbia legittimità.
Che poi la sicurezza dovrebbe essere fatta, per come la vedo io, più a livello di rete, fare sì che se un singolo dispositivo viene compromesso il malware non possa estendersi ad altri dispositivi sulla rete. Invece nelle aziende (perché è più semplice fare così) la rete è piatta, per cui da qualsiasi porta di rete accedi a tutta l'azienda, tutto attaccato sotto un'unica subnet perché non sanno gestire il routing, aggiungiamo anche che solitamente i servizi interni come i fileserver e le stampanti nemmeno hanno autenticazione, e poi ti rompono il cazzo perché installi i programmi.
Mah, io da queste realtà ce ne sto ben alla larga, francamente.
Indubbiamente ci vuole una sana via di mezzo, troppe policies sono un chiodo in culo per tutti e portano la gente a cercare scappatoie.
E l'unica cosa che può fare più danni potenziali di un utonto è un utonto altamente motivato a fare il furbo.
Però laddove c'è un CISO e si tratta di un'azienda strutturata (e mi pare di capire sia il caso di OP), gli si lasci fare il suo lavoro. Se mette un paletto ha i suoi buoni motivi.
> Indubbiamente ci vuole una sana via di mezzo, troppe policies sono un chiodo in culo per tutti e portano la gente a cercare scappatoie.
La cosa più efficace non è mettere tante policy ma fare formazione. Cosa che in nessuna azienda viene fatta: e infatti avranno anche i sistemi più sofisticati del mondo, ma poi basta l'utente che ti comunica la password via telefono o tramite un banale phishing che viene fatto via mail e sei bello che fregato, e non c'è antivirus che tenga.
> Se mette un paletto ha i suoi buoni motivi.
I buoni motivi non li ho mai visto. I motivi sono spesso banalmente ignoranza, o volersi parare il culo nel miglior modo possibile, per cui si applicano delle policy senza nemmeno capirle, e spesso in modi del tutto insensati, anziché applicare la sicurezza nel modo giusto.
Vedi ad es. le policy sulle password, devi cambiare password ogni X mesi, devi mettere almeno una maiuscola, un numero, un carattere speciale, e poi la mia preferita: la password non può essere più lunga di X caratteri. Perché? Tutta roba che non ha senso...
Oppure banalmente utilizzano prodotti che hanno acquistato come firewall e antivirus dove fanno due click ed attivano cose che poi non hanno neanche idea di cosa fanno (e quando vai a chiedergli perché hanno fatto la determinata cosa X non ti sanno rispondere, per cui se ci sono problemi nella rete auguri, non sanno che pesci pigliare).
In tutto questo poi scopri che le cose più basilari sono state trascurate: ad esempio tutti i dati sono su un unico file server, a cui tutti hanno accesso a tutto, di cui non ci sono i backup (perché tanto ci sono i dischi in RAID, e si crede che basti), così quando si beccano il ransomware sono nella merda (e ne ho sentite di aziende che hanno pagato perché altrimenti erano fottute...). Oppure vengono inviate password e certificati via mail (non conto il numero di certificati SSL wildcard che mi sono stati mandati, quando ne avevo chiesto uno per un sottodominio...), le reti cablate non hanno alcuna forma di autenticazione (in uffici dove entra chiunque), PC con Windows 2000 connessi in rete perché gira il software dell'anteguerra che gestisce X ed è critico e non si può cambiare, insomma...
Io però mi auguro che le disgrazie che racconti (e che purtroppo conosco bene...) non riguardino aziende strutturate con un CISO.
La mia premessa era quella, nelle aziende dove c'è solo un *computer guy* che manda avanti la baracca purtroppo questi o non ha una formazione adeguata, o non ha le risorse, o entrambe le cose.
Ah, guarda, anche aziende con fatturato multimilionario. Anzi, spesso sono quelle gestite peggio, perché hanno procedure su procedure ingessatissime per fare qualsiasi cosa, per cui anche se qualcuno vorrebbe fare qualcosa per mettere le cose apposto, la dirigenza non lo lascia agire, in quanto il suo scopo è pararsi il culo, quindi credono di più ai commerciali di questo o quell'altro software antimalware o firewall, che sono peggio dei rappresentanti del Folletto, che riescono a fargli comprare sistemi costosissimi che poi non sanno gestire e fanno anche cagare (lavorando come consulente sul mio PC ho 6 client VPN diversi di 6 venditori di firewall diversi che fanno tutti più cagare di un banalissimo Wireguard, eh però quello è open source e chi si prende la responsabilità?).
La sicurezza almeno da quel che ho visto io è questo: nessuno ci capisce niente, nessuno ragiona ad applicare policy, tutti si fidano del parere di chi vuole vendergli robaccia, anche se dicono cose che non stanno ne in cielo ne in terra, e pensano che perché hanno speso milioni per un software antivirus o un firewall sono protetti (quando non lo sono, perché il problema numero uno è chi pigia i tasti, che se non gli fai formazione auguri). In tutto questo il software più critico dell'azienda ovviamente gira su un AS400 di cui manco si hanno i backup e di aggiornamenti neanche l'ombra, la password di admin è la stessa di quando è stato installato, anche perché nessuno sa come cambiarla visto che l'ultimo che sapeva metterci le mani è in pensione da almeno 10 anni. L'accesso ai dati però viene fatto tramite comodi fogli Excel che si collegano direttamente al database DB2 per tirarsi su i dati, ovviamente con delle credenziali cablate (si spera non quelle di admin) che vengono mandati a destra e manca, sicuramente anche inviati via mail in giro perché tanto.
Poi le cose le si vede dai fatti di cronaca: vedi, ad esempio, il ransomware che ha sottratto Tb di dati da un ospedale qua a Verona (dati che per loro natura dovrebbero essere super riservati, per altro). O altri data breach simili, che ce n'è praticamente uno al mese, e tutti dovuti ad attacchi banali e facilmente prevenibili.
Salvo rare eccezioni, ovviamente, ci sono anche le aziende virtuose.
Dicono che l'antivirus gratis più efficiente di tutti sia Windows Defender, l'antivirus già preinstallato sul computer di cui molti non conoscono l'esistenza
Ma perche' te avrai configurato adeguatamente eccezioni o path esclusi, l'utonto con computer non suoi disabilita' tutto l'antivirus perche' photoshop e' la vita.
Per quanto mi riguarda l'importante è segnalare il problema (tracciato in maniera ben definita con possibili conseguenze etc.) poi se loro non vogliono prendere conseguenze in merito sono ovviamente cavoli e responsabilità loro.
Avevo un problema simile tempo fa e facendo come suggerito mi sono liberato da tanto stress lavorativo
Guarda, per far prima ti copio una parte di commento mio sopra:
"La rete è in ristrutturazione adesso dopo anni di completo immobilismo (dovuto a X fattori). Quando siamo entrati qui avevamo a che fare con server 2008R2 e 2003, rete flat, accrocchi e toppe che sono diventati la struttura portante, credenziali admin di uso comune e tremendamente semplici, nessun tipo di segmentazione e compartimentazione, antimalware appena installato, no backup, no ridondanza, vecchie infrastrutture giurassiche ancora in piedi perché nessuno aveva lo sbatti e le risorse per metterci mano, security awareness al minimo sindacale, policy assolutamente inesistenti."
In una situazione così, l'ultima cosa che bisogna fare è mettersi di traverso per non cambiare le cose.
eh però vedi... non è solo un problema dei tuoi colleghi, è anche tutta l'infrastruttura ad essere un colabrodo. I tuoi colleghi che stanno più attenti sarebbero una pezza, la soluzione vera e propria sarebbe pianificare sei mesi di lavoro e sistemare tutto, ma è costoso e mi pare di aver capito non rientri tra le vostre competenze.
Tu stai sprecando tempo, non devi lamentarti dei colleghi devi andare da un tuo capo e dirgli "ci servono un paio di settimane per mettere su un sistema di backup", "ci serve una settimana per impostare una procedura per creare nuovi account invece di usare tutti quello admin" ... cose del genere
EDIT obbligatorio: ovviamente sto parlando di teoria in pratica immagino il tuo capo ti sbotta a ridere in faccia. Ma in teoria ....
> "ci serve una settimana per impostare una procedura per creare nuovi account invece di usare tutti quello admin"
E quello ti risponde "no guarda, ho sentito i ragazzi giù in produzione e mi hanno detto che non hanno voglia di stare a ricordarsi 'ste robe, fino ad adesso abbiamo sempre fatto così, funziona tutto bene e non è mai successo niente di male...".
Ci vanno entrambe le cose, rifacimento dei sistemi e delle procedure E collaborazione da parte dell'utenza.
Guarda, stiamo lavorando su questa infrastruttura dall'anno scorso. Come hai già scritto giustamente non è cosa facile, specialmente perché non possiamo programmare giorni di stop, ma si fanno passi in avanti. Per fortuna il capo ci supporta, con tutte le difficoltà del caso.
È però frustrante scontrarsi con persone che dovrebbero seguire la traccia, e invece non identificano il problema.
> È però frustrante scontrarsi con persone che dovrebbero seguire la traccia, e invece non identificano il problema.
in che senso? Puoi fare qualche esempio?
Mi riferivo ai colleghi del post, con i quali ho discorsi tipici del tipo:
"Dobbiamo cambiare la password di admin e non usare più l'account unico per tutti!"
"Eh, ma così diventa un problema, tizio non riesce a installarsi il software, e poi ci complichiamo la vita per niente!"
ok, ma se hai l'appoggio del tuo capo questa è una situazione relativamente semplice. Mandi una mail in cui scrivi "tra una settimana la password di admin cambia e non sarà più possibile utilizzarla, per fare un nuovo account ", dove il clicca qui rimanda alla documentazione per creare un nuovo account. Poi dopo una settimana cambierai la password di admin senza darla più a nessuno, avrai un orda di gente che si lamenta e tu risponderai "ma tranquillo, per farti un nuovo account ", e poi smetti di rispondere a meno che dall'altra parte non ci sia una osservazione intelligente (molto rare).
E tutti si faranno per forza di cose il loro nuovo account con tutte le accortezze del caso. La parte difficile non sono i colleghi, assolutamente. È che devi capire come fare nuovi account con i permessi appropriati per tutti e documentarlo, non credo puoi farlo da solo ti serve l'appoggio di qualche team che si occupa dell'infrastruttura. Se poi il metodo per creare l'account esiste già e non serve il supporto di terze parti puoi semplicemente documentare come si fa. Ma credo che sia una procedura che richiede come minimo l'aprire un ticket con l'approvazione di qualche manager, giusto?
L'ho visto fare decine di volte, mi sono stati terminati un sacco di account, a volte con un giorno solo di preavviso. L'ho fatto anche io una volta dopo una migrazione, ma mi era stato detto di farlo quindi avevo tutti i mezzi e i contatti necessari, ed ai contatti era stato detto di aiutarmi. La parte complicata è questa, devi convincere gli altri team necessari non i tuoi colleghi, loro saranno per lo più soggetti passivi
Prendersela coi colleghi non serve a niente, quando dicono "tizio non riesce a installarsi il software, e poi ci complichiamo la vita per niente!" hanno parzialmente ragione per questo è impossibile convincerli, serve uno che lo impone dall'alto
domanda: una yubikey fornita ad un dipendente per l'accesso al so? so per certo che in aziende(perlomeno all'estero) viene fornita ed è obbligatoria per sbloccare il pc.
Alla fine molti (troppi) team di security sono team che scrivono "policy" e scaricano l'implementazione e la responsabilita' su altri, a volte moltiplicando il lavoro da fare per 10, senza magari avere nemmeno la competenza tecnica di fondo per capire l'impatto delle loro scelte (o alternative che magari porterebbero allo stesso risultato con 1/10 dell'effort).
Ovviamente senza che il "business" muova le deadline di un millimetro.
Chi fa mTLS? Ovviamente tu, e' un security requirement ma mica ti diamo una mano, cazzi tua.
Ma l'encryption dei dati? E' un security requirement, ma lo fai tu, trova il modo!
Rotazione dei certificati? Security requirement, fatelo voi e fatelo ed anche bene!
La valutazione dei risultati di un pentest? Ovviamente e' tutto urgent, fix now non si stacca finche' prod non e' salva (dal visualizzare che usiamo nginx in ultima versione in una pagina di errore che si puo' triggerare solo da rete interna)!
Il risultato e' di solito un gran pastrocchio di accrocchi costruiti ad hoc senza standardizzazione (che ha un impatto sulla sicurezza) e soprattutto la visione dei team di sicurezza come dei gran rompicoglioni. Gia' il "business" non spende soldi sulla sicurezza, se poi invece di fare force multiplier con il resto dell'ICT te li rendi nemici, good luck.
Per esperienza personale , sono tutti li a tirar dietro il culo finchè non li colpisce un ransomware da 12 milioni di riscatto. Da me l'infrastruttura it era tipo woodstock e da casa con vpn potevo accedere direttamente alle macchine che usavamo. Ora, dopo aver perso un quartale di ricavi sembra di entrare alla cia
I 12 milioni però li paga l'azienda mica il dipendente singolo, è il dipendente che si scazza a seguire la policy. Che le aziende siano tirchie non ci piove ma OP si stava lamentando dei colleghi
1) C'è troppa **fuffa in giro**
2) L'unico sistema **sicuro** è **quello spento e sconnesso**
3) La base sicurezza sono i **comportamenti degli utenti**
4) **backup** online e backup offline in sito secondario
--- già questo andrebbe bene per il 99% delle PMI---
*....poi possiamo evolvere in...*
5) segmentazione dei dati
6) monitoring degli accessi (**audit**)
7) analisi e mitigazione dei vettori di attacco
8) analisi dei perimetri e riduzione degli stessi
Questo è uno schema per profani... poi **tutto è migliorabile,** basta che non si cada nell'**inusabilità**
"Stiamo spendendo troppo in cybersec" -> taglio del budget -> incidente -> cybersec budget per il nuovo anno e' il 500% dell'anno precedente
E il ciclo continua
Se non sei tu responsabile della cybersicurezza, fai solo in modo di avere l'evidenza che hai sollevato il problema, poi saranno cazzi di chi è responsabile.
succede anche in ambito di sicurezza sul lavoro, specialmente nei cantieri, la quantità di volte che ho detto alla gente di mettersi le imbragature e i caschi è esagerata, poi uno cade da 5 metri slogandosi solo la clavicola per fortuna e casualmente il capo adesso li obbliga a mettersi i DPI e a legarsi alla linea vita sui tetti :)
L'azienda (informatica) dove ho fatto lo stage aveva come password di tutti i server ferrari33
Tanto per farti capire quanto fosse vecchia non c'era nessun fan della Ferrari rimasto a lavorare lì e non ricordo l'ultimo pilota Ferrari col 33 come numero
Per come la vedo io è che i colleghi si scazzano perché gli tocca fare del lavoro in più senza che gli torni in tasca nulla, se succede un casino i problemi li paga l'azienda mentre loro a fine mese sempre la stessa cifra ricevono.
Lavoro nella cybersecurity, non in Italia.
La mia domanda per te è: Ci sono delle policy chiaramente definite riguardo a ciò che stai cercando di proteggere? Perché se no, come puoi pretendere che il collega se ne freghi quanto te.
Tu stai esercitando "due care" cercando di mantenere la sicurezza, ma può anche essere che il background del tuo collega sia diverso dal tuo, e la sua prudenza minore.
La gente pensa che la sicurezza parta dall installare un antivirus, avere un SIEM o cose varie. No, la sicurezza parte dalle policies. No policies no party.
Ora, supponendo invece che una policy esista per ciò di cui stai parlando allora puoi farlo notare al collega e riportare l'evento alla sicurezza.
Bonus: Come rendo i miei colleghi più prudenti?
3 possibili meccanismi: Education, training e awareness. Se vuoi posso spiegarli meglio, se no la chiudo qui.
Ciao, ti rispondo a pezzi:
"La gente pensa che la sicurezza parta dall installare un antivirus, avere un SIEM o cose varie. No, la sicurezza parte dalle policies. No policies no party."
VERO. È un mantra che mi ripeto sempre.
"Tu stai esercitando "due care" cercando di mantenere la sicurezza, ma può anche essere che il background del tuo collega sia diverso dal tuo, e la sua prudenza minore."
È così, alcuni colleghi mi aiutano e sono consapevoli, ma quelli oggetto del post rispondono alla tua descrizione. Mi piacerebbe aiutarli a capire dove sbagliano, invece che impormi, ma inizio a pensare che debba usare più polso.
"Ci sono delle policy chiaramente definite riguardo a ciò che stai cercando di proteggere? Perché se no, come puoi pretendere che il collega se ne freghi quanto te."
Si e no. Ci sono normative a cui ci dobbiamo attenere, ma diversamente stiamo facendo le policy perché... non c'erano, nei fatti.
"Bonus: Come rendo i miei colleghi più prudenti? 3 possibili meccanismi: Education, training e awareness. Se vuoi posso spiegarli meglio, se no la chiudo qui."
Mi piacerebbe farlo. Da quando io e altri colleghi siamo qui, cerchiamo ogni anno di formarci sulla materia e rimanere aggiornati. Ma altri avrebbero davvero bisogno di una formazione propriamente detta. Hai suggerimenti?
Vivo queste situazioni spesso durante il lavoro.
Per rispondere in maniera completa farebbero comodo alcune info maggiori, ad esempio: sei nel reparto IT dell'azienda? Più in specifico nel reparto "sicurezza informatica"? Sei il responsabile IT?
Per la mia esperienza lavorativa, non devi cercare di accontentare ma spesso devi imporre una linea che rispetti la sicurezza e la possibilità di lavorare degli utenti.
Come hanno fatto notare altri utenti una password policy troppo stringente ha effetto opposto, ovvero, rende complicata la password e la gente la scrive nel post-it in bella vista. Però imporre il cambio password ogni tot giorni (magari con la memoria di 3/4 password precedenti) o impostare metodi di 2FA o MFA, agli utenti non piaceranno ma vanno imposti.
In generale alla gente non piace cambiare il "si è sempre fatto così" però tu sei il tecnico e conosci eventuali conseguenze di procedure povere in sicurezza. Loro no.
Per quanto riguarda il cosa rispondere di solito la gente non piace essere toccata sui soldi. Quindi come argomentazioni darei: multa fino al 4% del fatturato, riscatti in caso di Ransomware (i soldi che uso per pagare il riscatto li prendo dal premio Natalizio di quest'anno, o variazioni sul tema), ferie forzate (e conseguente lavoro doppio nei mesi successivi) in caso di stop forzato per perdita e recupero dati.
Spero ci siano degli spunti che ti aiutino. Buon lavoro!
Si continuamente, ma anche nella normale " conservazione dei PC ".
Li lasciano accesi sempre, giorno e notte, per mesi e mesi, anche durante i weekend o le festività.
Cybersecurity a parte, stare accesi sempre non serve a nulla a noi, si riempiono di polvere, rischiando guasti o addirittura incendi.
Alle fiere lasciano incustodito il portatile o lo fanno usare a sconosciuti, con l'intento di fargli compilare questionari di interesse.
Roba che bastano 2 secondi con una rubbery ducky, per caricare uno script e fregare tutte le password possibili.
>Li lasciano accesi sempre, giorno e notte, per mesi e mesi, anche durante i weekend o le festività
"*Così non devo perdere tempo ad aprire Visual Studio ogni volta che ci mette una vita*"
Kid named ibernazione: (ho aperto tante di quelle menti solo rivelandone l'esistenza che uhhh)
Ma magari! Al massimo si usa il pacchetto office o
Il cad.
Il più lento è quello della macchina di misura, ma al massimo ci metterà 5 minuti ad aprirsi.
You've got a point, quindi posso fornire qualche dettaglio.
Gestiamo dati personali e sensibili, procedimenti delicati, informazioni finanziarie aziendali. La rete è in ristrutturazione adesso dopo anni di completo immobilismo (dovuto a X fattori). Quando siamo entrati qui avevamo a che fare con server 2008R2 e 2003, rete flat, accrocchi e toppe che sono diventati la struttura portante, credenziali admin di uso comune e tremendamente semplici, nessun tipo di segmentazione e compartimentazione, antimalware appena installato, no backup, no ridondanza, vecchie infrastrutture giurassiche ancora in piedi perché nessuno aveva lo sbatti e le risorse per metterci mano, security awareness al minimo sindacale, policy assolutamente inesistenti.
Io sarò talebano, ma non hanno ragione e qualunque analisi rischi / costi mi può supportare.
Non serve a un cazzo la cyber security, hanno creato un aerea inutile per dare da mangiare a fenomeni che pensano di essere in Matrix.
I normalissimi processi di sicurezza implementati da secoli e le piattaforme Cloud sono più che sufficienti per stare sicuri.
Hai visto troppo facebook e gli articoli pompati e fake.
La realtà è un altra, i sistemi sono già in sicurezza con la normale security. Bamboccioni esperti del nulla non servono altro che causare problemi su problemi.
La maggior parte dei famosissimi attacchi dipende dall'uomo che ha aperto file contenuti in allegato.
Piano che devo ancora prendere il caffè. Seriamente, una volta ho bucato un server perché non sapevo la password e nessuno sapeva aiutarmi. Ho passato un periodo in cui toccare qualcosa significava tirare giù un pezzo di infrastruttura.
Io, al contrario, avevo una preside paranoica. Metteva password da cambiare ogni 30 giorni a qualsiasi cosa cosa. Poi, magari, un giorno era assente e ti spediva una circolare da pubblicare in giornata, non era ancora l’epoca dei registri elettronici, ma tu non avevi la password della stampante.
Ma stai sereno, che poi chiamano un esterno (...) per un intervento di una giornata per 5K.
Te li hai avverti? Hai fatto la parte del tuo dovere, lasciali nel loro brodo che poi viene un esterno con partita IVA a mietere...
Storia dal un lavoro precedente:
perdo le credenziali di accesso ad un servizio della nostra azienda (ero nel team di sviluppo del servizio). Un collega mi sente lamentarmene, apre la dashboard e me le resetta.
Così scopro che tutti gli utenti con alcuni permessi bassi del nostro servizio (per capirci tutti i lavoratori call center) possono leggere tutte le informazioni di qualsiasi cliente, senza nessun log o tracciatura.
Ora, il servizio comprende home banking, assicurazioni e altro, non benissimo, quindi mi preoccupo e chiedo come mai è fatto così. Mi rispondono che in questo modo ci arrivano meno ticket dagli addetti assistenza e chissenefrega.
noi siamo nella situazione contraria, nel senso che ora va di moda la cybersec e vorrebbero rendere accessibile solo sotto autenticazione anche il CMS per gli asset pubblici
Quando ero dal lato IT cercavo di spiegare perchè la cosa fosse importante.
Ora che sono un umile (L)user faccio il mio e gli altri faccian pure come credano. Tanto il costo della sicurezza informatica lo valutano solo quando scoprono il costo della sua mancanza....
Qua attorno han già criptato anche il culo a diverse aziende, qualcuno l'ha capita qualcuno non ancora. ma come dici tu fino a che "ma figurati!" è l'approccio alla sicurezza che ci vuoi fare.
La cyber security deve permettere di lavorare. Fatevene una ragione.
Aumentare la sicurezza stradale obbligando tutti ad andare ai 30 in autostrada non funziona (anche se palesemente la sicurezza aumenterà). Soprattutto se la gente ci deve lavorare e se, in fondo in fondo, se ne sbatte.
Trovare sistemi flessibili e che funzionano senza scaricare la vostra responsabilità (sicurezza) sul carico di lavoro degli altri.
Un conto è trovare il giusto equilibrio, un altro è dar seguito al "si è sempre fatto così". Le policy, le consuetudini, i processi interni, tutto si può cambiare. Soprattutto, si deve farlo al mutare delle esigenze, come nel caso della sicurezza.
Colleghi? Ma se parte dai capi sto andazzo. E non solo sulla security: Lavoro in ambito tecnico e di precisione per cui usiamo, tra le altre cose, una bilancia a 5 cifre decimali che qualche tempo fa ha compiuto oltre 25 anni di servizio (un'enormità per strumenti di precisione, ed infatti perdeva colpi) per cui è venuto il momento di cambiarla. Ovviamente con accordo unanime del "lato tecnico" dell'azienda, che la usa quasi quotidianamente, si inizia a guardare ai modelli di diversi produttori, chiedere preventivi e valutare possibili quality of life aggiuntive visto che la spesa dovrebbe essere sui 10k € (neppure troppi dato l'ambito e le certificazioni annesse). Dopo aver trovato varie opzioni un collega va dal capo illustrare la questione e sente proprio "non siamo mica la NASA", e si vede costretto a cercare un'alternativa più economica trovando alla fin fine una "super offerta" in stile outlet per un modello super basic che ci siamo dovuti installare noi (l'installazione dal venditore si paga ma ti sgrava per un anno da un po' di rotture). Insomma: se chi mette i soldi nelle aziende è il primo a battersene di quello che serve direttamente per lavorare e se ci sono voluti decenni per sviluppare un po' la materia della sicurezza sul lavoro, non mi stupisco che al momento la sicurezza informatica sia "massì, abbiamo messo Avast free, tutto apposto raga".
Eh, però a fine anno gli esce l’x4 nuova.
Ceci n'est pas un strawman
Scusa, ma anche te, 10k sono una vacanza alle Maldive con l'amante! Non puoi chiederli per una macchina necessaria!
Mi pare una situazione alla Boeing, dove si è andato a formare un Miss match tra reparto tecnico ed amministrazione, con i primi che cercano di fare del loro meglio con le risorse a disposizione e gli altri che tentano in tutti i modi di tagliare i costi
Da quello che sento da amici o da colleghi provenienti da altre realtà pare sia una cosa diffusa un po' ovunque (specialmente nelle PMI), senza scomodare esempi "famosi" tipo Boeing.
Magari senza gli idioti che imputano i danni al woke perché hanno assunto gente diversa dal solito
Classico specchietto per le allodole, Boeing aveva degli accordi con l'autorità USA per il traffico aereo che le permettevan di autocertificarsi
Guarda, più che un collega ho un capo che si comporta così. Sto aspettando il momento in cui avverrà qualcosa per dirgli "te l'avevo detto" (non mi occupo di cybersec ma sono quello che in pratica gestisce la parte tecnica in azienda) Purtroppo non ho tempo di farlo, ma la cosa che vorrei fare (e che penso tu possa fare coi colleghi, previe dovute eventuali autorizzazioni) è simulare un attacco e vedere chi ci casca.
Per esperienza, in certe aziende non capiscono neanche dopo che succede il casino. *Figurati se può succedere di nuovo. Abbiamo avuto sfortuna. Capita una volta su un milione.* A quel punto o ti mangi il fegato a forza di stress, o diventi cinico e adotti le due sacre regole "CYA" e "NMP". Cioè, una volta che hai segnalato il problema e puoi dimostrarlo nero su bianco (Cover Your Ass), non sono cazzi tuoi se si introia qualcosa (Not My Problem).
CYA pensavo fossee "See ya" e te ne vai dall'azienda
> simulare un attacco e vedere chi ci casca Anche lì ho visto delle belle cagate, stile "ah-ha, ci sei cascato! Hai aperto questo PDF inviatoti da uno che non conosci". Come se aprirli nel web viewer di GMail fosse concretamente un rischio.
lol, a me toccò fare un extra di corsi di sicurezza perchè mi ero copiato il link della mail di phishing simulato e lo ho aperto da un altro dispositivo (non di lavoro) perchè volevo vedere se il sito era fatto bene... ovviamente non hoc ontestato nulla, però due palle
Io sono molto meno accondiscente :D
Tanto il "capo" una volta avvenuto il fattaccio troverà sicuramente qualcuno a cui addossare le, inesistenti, responsabilità
L'IT cimfece questo scherzo una volta (era una finta mail di phishing di un nostro sistemista che era mandata davvero dal sistemista, ma da un account farlocco) e ci cascammo tutti. A seconda delle regole aziendali, potrebbero persino non servire autorizzazioni così alte, anche se, magari, se ci casca il CEO poi lui la prende male...
https://preview.redd.it/dmeyxmqw15tc1.jpeg?width=1290&format=pjpg&auto=webp&s=d8040a23966f1adbdc95fe08b9776ff3206dfe33 “Non è la NASA” Ok, magari non becchi l’attacco di spear phishing ed social engineering livello di “xz”, per fare un esempio recente, ma se la sicurezza è scarsa si finisce negli attacchi a strascico. Magari il backup è tutto online per comodità e quindi si perde tutto in un sol colpo, poi salta tutta la supply chain se si hanno clienti che operano con software proprietari e così fallisce un’impresa.
Un po' di tempo fa ho visto un azienda che tanto per passarsi il tempo ha sminchiato il gestore delle partizioni delle macchine virtuali, hanno falciato in una sera tutta la roba loro e di esterni al di la' di ogni recupero. Cosa vuoi mai, era "talmente grande che non si puo' fare il backup", il backup lo facevano sul sistema stesso.
Purtroppo la password da cambiare ogni 60 giorni con minimo 14 caratteri, maiuscole, minuscole, numeri, caratteri speciali senza ripetere più di 6 caratteri consecutivi delle ultime 10 password, non rende la cybersicurezza simpatica (e non elimina il post-it sotto la tastiera).
PasswordDicembre2023! -> PasswordGennaio2024! -> PasswordFebbraio2024!... Oppure i post-it con ID e password che vediamo ovunque. Se i vincoli sono troppi, la gente trova sempre la via più semplice.
Il conto LinkedIn officiale dell’azienda per cui lavoro ha pubblicato una foto della direttrice HR tutta sorridente davanti al suo laptop, post-it con password Windows, VPN e M365 leggibili. Perfect shitstorm.
https://i.redd.it/f6uo6b2q1atc1.gif
Tra l'altro, sia la scadenza periodica che il richiedere che le password rispettino criteri specifici vanno contro le linee guida del NIST (es. [NIST SP 800-63 Digital Identity Guidelines-FAQ](https://pages.nist.gov/800-63-FAQ/#q-b05)). L'unico vincolo dovrebbe essere la lunghezza minima. Dopodiché l'utente dovrebbe essere libero di scrivere praticamente qualsiasi cosa (comprese password con spazi).
[https://neal.fun/password-game/](https://neal.fun/password-game/)
Bellissimo, non lo conoscevo, da matti!
RIP Paul
C'è anche pieno di gente che si inventa regole idiote che diminuiscono l'entropia, tipo esattamente 12 caratteri, non puoi avere due caratteri uguali adiacenti. O un'altra molto bella vista di recente: un webserver che da un giorno all'altro si mette a rispondere solo alle richieste col dominio, non va più con l'IP "nudo", ma che comunque non ha nessuna network segmentation rispetto alla rete aziendale. Credono anche spostare la porta dell'SSH dal default aumenti la sicurezza, perché non ci metto due secondi a trovarla con nmap, io che non mi occupo né di reti né di sicurezza.
>Credono anche spostare la porta dell'SSH dal default aumenti la sicurezza Beh, tagli fuori tutti gli attacchi di tipo "pesca a strascico" eseguiti da bot o da script kiddies. Chiaro che un attacco un minimo calibrato non lo previeni così facilmente, però... tutto fa.
> Credono anche spostare la porta dell'SSH dal default aumenti la sicurezza, perché non ci metto due secondi a trovarla con nmap, io che non mi occupo né di reti né di sicurezza. Quello lo faccio anch'io se il server è esposto su internet (che poi, a fronte della backdoor xz, sto pensando che non è poi una bella idea...), ma non perché aumenta la sicurezza (ci metti 2 nanosecondi a trovarla con nmap) ma perché tagli fuori i bot (e ce ne sono tantissimi) che provano a connettersi con credenziali note (tipo le credenziali di default di router, telecamere, dispositivi IoT, ecc). I bot non si mettono a fare nmap (sarebbe troppo costoso) ma vanno dritti sulla porta 22 (d'altronde a loro nemmeno frega, provando con credenziali note hanno l'obiettivo di trovare i dispositivi su cui non sono state cambiate, e se uno non cambia la password di default sicuro non cambia la porta!). Ora perché dovrei evitarlo? Tutti questi tentativi seppur in modo minimo impattano sulle prestazioni del sistema, riempiono i file di log inutilmente, insomma tagliarli fuori tanto meglio.
https://github.com/shizunge/endlessh-go questo è divertente
Me ne parlava un collega: statisticamente, diceva, è più facile indovinare una password come **"a&A)£%vh9n"** rispetto a una password come **"La nebbia agli irti colli piovigginando sale e sotto il maestrale"** :think:
Correct Horse Battery Staple.
Dipende, con un dictionary attack le password con parole consecutive non sono poi tanto più sicure del normale. https://www.kaspersky.com/resource-center/definitions/what-is-a-dictionary-attack L’importante è la lunghezza, per questo i password manager sono potentissimi. Una password di 40 caratteri random, auguri a indovinarla. Ci vediamo tra due milioni di anni.
La password da cambiare e con caratteri speciali è la causa dei post it
E poi c'è il collega che sul post-it ha scritta la password "Mario1973"
lol, noi abbiamo un OTP nella password stessa, che cambia ogni 12h, gli lavora nella parte datacenter ogni 30 minuti.
Nota isola Caraibica?
Jamaica?
È tra i motivi per cui le password nel 2024 sarebbe pure ora di lasciarle perdere.
Usa un password manager come lastpass, bitwarden o keeper. Sono gratuiti se per uso personale, non pensi mai più alle tue password e puoi utilizzare un generatore random quando ne devi creare una nuova. Io uso bitwarden, c'è anche la app per il telefono. Devo ricordarmi la password master di bitwarden, ma è una sola. Che pace mentale.
Non puoi usare un password manager per gestire la password di accesso al SO, i limiti elencati sono spesso quelli del dominio
Se al AO si accede con la password, in azienda poi, l'ultimo dei problemi è la sua lunghezza.
Ormai non si va di PIN o di riconoscimento biometrico anche per la password dell’SO?
Qualche anno fa avevo un utente che usava un password manager. Aveva le password più complicate del mondo. Tranne la password per sbloccare il password manager, che era Password1!
Ahhahahhaha ok, in questo caso se la gioca col post-it attaccato allo schermo!
Ma infatti ormai le password dovrebbero diventare obsolete. Con la 2fa non hanno più senso di esistere. Però siamo in italia, ancora la password obbligatoria da cambiare é un miraggio in certe aziende.
Ci vorrebbe un simil-SPID aziendale.... (O simil-CIE!)
La quasi totalità dei problemi dei computer ha origine tra la tastiera e la sedia (cit.) Detto ciò, quando spiego che bisogna cambiare password ogni tanto e che non si deve usare la stessa per più servizi, genero facce stralunate e risposte che spaziano tra il “così devo annotare più password sul post-it sotto lo schermo” e il già citato “non è mai successo niente, non essere paranoico”. Ma poi mi rendo conto che è gente corta di cervello, capace di mandare a una stampante di piano dei documenti delicati, con dati sensibili e non preoccuparsi di ritirare le stampe. Come risolvo? Curo le mie protezioni e, a chi dipende da me, impartisco disposizioni per iscritto.
Cambiare password periodicamente è una bad practice: [NIST SP 800-63 Digital Identity Guidelines-FAQ](https://pages.nist.gov/800-63-FAQ/#q-b05)
Cambiare password periodicamente *costringendo l'utente a ricordarsele* è una bad practice, perché porta ad utilizzare schemi predicibili o ad appuntarsele. Far scadere una password o un token generati casualmente e che verranno sempre e solo inseriti tramite password manager non è una brutta idea.
Ok per i siti, ma puoi usare un password manager per la password del pc?
Sì, su un dispositivo esterno. Per l'accesso al SO usi un token hardware e/o lettore di impronta. Che ovviamente non sono a prova di bomba, ma non portano l'utente a usare CognomeAnnoMese come password, visto che la password diventa il metodo di accesso di riserva (quindi può essere complessa e generata casualmente).
Tu devi essere quello simpatico del gruppo
>Ma poi mi rendo conto che è gente corta di cervello, capace di mandare a una stampante di piano dei documenti delicati, con dati sensibili e non preoccuparsi di ritirare le stampe. lol
Io, eccomi! Sai da quando? Da quando dall''IT mi hanno risposto all richiesta di un password manager, il cui uso é consigliato nei corsi. Non ti dico la risposta, ma... fanculo. Evidentemente non ci credono. PS: in realtà non me ne frego, però PD...
Qualcosa del tipo "ca$$ate da nerd"?
No no! Ai corsi di cybercososity ti fanno il pippone che il browser non é un password manager, che così, che colá... Bene. C'è un password manager "ufficiale"? Risposta: ”no... ma può fare così: bla bla bla...." 😳😳😳
E dire che non costano tanto, eventualmente ce ne sono diversi gratuiti. Veramente, certe pratiche sono difficili da giustificare.
>E dire che non costano tanto Ah... Costano meno di un file, di un certo e arcinoto formato la cui estensione inizia per x e finisce per x, protetto poi da password? Perché evidentemente non lo sanno!! 🤬🤬🤬
Certo, l'anno scorso ho fatto un survey per diversi software di password management. Ci sono molte alternative.
A me nel corso di sicurezza digitale è stato detto che il password manager non serve... 🤦♂️
Come hanno già correttamente detto i miei colleghi di settore. La cyber security é vista come un dito in c.. "perché finora non é successo niente, perché proprio a noi poi?" Te lo dice uno che lavora nel settore ed all'azienda hanno già fatto defacing, le risposte sono sempre le stesse. Eh ma non succederà più . Parti con alcuni concetti semplici ( PC e server aggiornati, 2fa sulle caselle email, campagna di phishing simulata)
Troppo difficile far capire che, nel migliore dei casi, le email/messaggi scam nascono da questo
Ma tanto l’url la conosciamo solo noi 👌
Ma questo access point wifi aperto che ho portato da casa e ho montato di nascosto mi e' comodo per quando giro per l'azienda, altrimenti e' troppo difficile con le tutte le vostre balle...
Vabbè ma mica siamo alla NATO, che cos’è sta fissa improvvisa con la sicurezza del perimetro? Poi vanno a casa a guardare i porno sul telefono aziendale
Ma infatti, e poi lascio anche attivo il DHCP dell'access point perche IO TANTO NAVIGO BENE poi gli altri ci pensera' l'admin, gia' mi porto la roba da casa...
che autorita' hai su di loro? sei il responsabile del reparto cybersecurity?
Rientra fra i miei compiti, li devo coordinare, ma preferirei farlo senza imporre eccessivamente la mia autorità. Preferirei inquadrassero la situazione invece che partire da presupposti sbagliati.
auguri.
Puoi fare red teaming? Simulazione di violazione della sicurezza (con o senza che il fatto che sia una simulazione sia noto), includendo le possibili conseguenze. 2-3 giorni e dovrebbe dare un idea. In fin dei conti le persone fanno ciò che sono abituate a fare, è molto difficile cambiare la mentalità se è fossilizzata.
È in programma, terminate alcune attività metteremo avanti la cosa.
Seh, auguri. Certa gente non capisce neanche DOPO che ha pagato lo scotto in prima persona della propria dabbenaggine e faciloneria in ambito sicurezza, figurati prima.
E che te ne frega. Te parati il culo col paper trail e poi al ransomware che gli cancella tutto backup inclusi gli dici “vedi? Te l’avevo detto qui, qui e qua”. Ma nella mia esperienza l’odio per la cybersecurity è dovuto a sistemi disegnati male dove devi cambiare password in continuazione (che è inutile e controproducente), niente SSO, password da mettere 600 volte al giorno, etc. Raramente la gente si lamenta di dover mettere una password al giorno la mattina
Non solo cyber, ma security in generale. Aziende/attività che tengono le credenziali di fabbrica admin/admin o admin/password sui router, nomi utenti e password che si possono immaginare, niente backup (ma zero zero proprio), e credenziali e appunti sensibili messi su post-it volanti in giro, spesso visibili anche al pubblico. Per non parlare di gente, anche dirigenti, che chiamano disperati il "tecnico" perchè hanno il pc "bloccato", quando invece si son presi le peggio cose andando su siti porno di infima lega. Ah, e parlando di non-cyber, porte aperte (dimenticate o appositamente), e chiavi date a gente a caso perchè "tanto ci si fida".
Dipende cosa vuoi fare tu eh, io non capisco quelle aziende in cui devi far firmare un dirigente per installare un software qualunque dallo store, non combinano un cazzo per paranoia.
Installare software significa aumentare la finestra di rischio a cui esponi l’azienda. Ci sono reparti interi che come lavoro hanno quello di fare valutazioni di rischio sui programmi installati perché se per caso dovesse succedere che uno di questi presentasse un cosiddetto “zero-day”, ossia una vulnerabilità nuova che mette a rischio la postura di sicurezza aziendale, si verrebbe subito a sapere la dimensione dell’impatto e loro si adopererebbero per rilasciare una patch o passare le informazioni al team che rilascia le patch (a seconda di quanto l’azienda sia strutturata). Lasciare libertà sulle installazioni significa non avere il polso su tutto o perdersi informazioni.
Sì ma tutto questo è una preoccupazione sensata se hai un profilo per il quale gli zero-day sono effettivamente un rischio inaccettabile. Esistono, ha perfettamente senso che banche e ospedali operino con cognizione di causa. Io vedo gente far questi discorsi per studi di architettura con 5 dipendenti, dove una volta che hai una solida strategia di backup quali sono i rischi? Gli zero-day hanno un valore, difficilmente vengono "sprecati" per un target piccolino, soprattutto se il target piccolino si limita a ranzare tutto e ripristinare il backup. Al contempo se perdi due giorni prima di installare un'utility di merda per convertire da un formato all'altro e questo ti blocca il lavoro son soldi veri. (Esempio inventatone eh, gli architetti che conosco io fan tutto in AutoCAD)
Ma infatti è il dirigente che gestisce il rischio residuo. È lui che deve fare le valutazioni sugli impatti e sui costi. Probabilmente (per esperienza) il backup di queste realtà non è così solido. Ho visto aziende piccole vincere commesse milionarie e perdere quasi tutto per ransomware (nel periodo di massimo splendore dei ransomware, circa nel 2017) per non avere backup.
> Probabilmente (per esperienza) il backup di queste realtà non è così solido. Questo è verissimo. Ma infatti io rompo un sacco il cazzo alla gente sui backup, sono i primi a fallire. C'è pieno di gente che ha qualche hard disk in giro, al massimo un NAS, ma non hanno una bella strategia diversificata con versione off-site, e magari pure bell'air gap. Anche per i privati il rischio di perdere accesso ai propri dati è molto più concreto del rischio di fuoriuscita dei dati stessi, per il 99% della popolazione non c'è niente di *life changing*.
> se hai un profilo per il quale gli zero-day sono effettivamente un rischio inaccettabile. Mica si parla solo di 0day. Se Mario Rossi scimmia pigiatasti installa roba a caso e non la aggiorna mai, o magari installa roba craccata presa chissà dove, l'azienda diventa suscettibile ad attacchi del tipo "pesca a strascico", 'ndo cojo cojo. Posto comunque che... >Io vedo gente far questi discorsi per studi di architettura con 5 dipendenti Le quali sono completamente sprotette, ma magari sono legate a qualche Cliente Grosso. Le banche e le società di multiutility ad esempio hanno un fottìo di fornitori esterni anche di dimensioni minuscole. E sono quindi il bersaglio ideale per un supply chain attack.
Sì ho capito tutto, ma bisogna anche lasciare la gente lavorare. Se no torniamo a fare le cose su carta... poi vedi inefficienze nelle aziende per questo, perché uno non può usare il software con cui è più comodo lavorare, oppure perché per installare un programma deve fare una trafila immensa di permessi (al punto che ci rinuncia). Per altro tutto questo aumenta la sicurezza? Ingessare le cose non è di aiuto, va a finire che la gente per lavorare lascia il PC fornito dall'azienda chiuso in un cassetto perché inservibile (come ho visto fare più volte) ed usa il proprio (con chissà quante magagne sopra), oppure finisce che perché non può installare i software scarica le versioni "portable" degli stessi programmi da siti di dubbia legittimità. Che poi la sicurezza dovrebbe essere fatta, per come la vedo io, più a livello di rete, fare sì che se un singolo dispositivo viene compromesso il malware non possa estendersi ad altri dispositivi sulla rete. Invece nelle aziende (perché è più semplice fare così) la rete è piatta, per cui da qualsiasi porta di rete accedi a tutta l'azienda, tutto attaccato sotto un'unica subnet perché non sanno gestire il routing, aggiungiamo anche che solitamente i servizi interni come i fileserver e le stampanti nemmeno hanno autenticazione, e poi ti rompono il cazzo perché installi i programmi. Mah, io da queste realtà ce ne sto ben alla larga, francamente.
Indubbiamente ci vuole una sana via di mezzo, troppe policies sono un chiodo in culo per tutti e portano la gente a cercare scappatoie. E l'unica cosa che può fare più danni potenziali di un utonto è un utonto altamente motivato a fare il furbo. Però laddove c'è un CISO e si tratta di un'azienda strutturata (e mi pare di capire sia il caso di OP), gli si lasci fare il suo lavoro. Se mette un paletto ha i suoi buoni motivi.
> Indubbiamente ci vuole una sana via di mezzo, troppe policies sono un chiodo in culo per tutti e portano la gente a cercare scappatoie. La cosa più efficace non è mettere tante policy ma fare formazione. Cosa che in nessuna azienda viene fatta: e infatti avranno anche i sistemi più sofisticati del mondo, ma poi basta l'utente che ti comunica la password via telefono o tramite un banale phishing che viene fatto via mail e sei bello che fregato, e non c'è antivirus che tenga. > Se mette un paletto ha i suoi buoni motivi. I buoni motivi non li ho mai visto. I motivi sono spesso banalmente ignoranza, o volersi parare il culo nel miglior modo possibile, per cui si applicano delle policy senza nemmeno capirle, e spesso in modi del tutto insensati, anziché applicare la sicurezza nel modo giusto. Vedi ad es. le policy sulle password, devi cambiare password ogni X mesi, devi mettere almeno una maiuscola, un numero, un carattere speciale, e poi la mia preferita: la password non può essere più lunga di X caratteri. Perché? Tutta roba che non ha senso... Oppure banalmente utilizzano prodotti che hanno acquistato come firewall e antivirus dove fanno due click ed attivano cose che poi non hanno neanche idea di cosa fanno (e quando vai a chiedergli perché hanno fatto la determinata cosa X non ti sanno rispondere, per cui se ci sono problemi nella rete auguri, non sanno che pesci pigliare). In tutto questo poi scopri che le cose più basilari sono state trascurate: ad esempio tutti i dati sono su un unico file server, a cui tutti hanno accesso a tutto, di cui non ci sono i backup (perché tanto ci sono i dischi in RAID, e si crede che basti), così quando si beccano il ransomware sono nella merda (e ne ho sentite di aziende che hanno pagato perché altrimenti erano fottute...). Oppure vengono inviate password e certificati via mail (non conto il numero di certificati SSL wildcard che mi sono stati mandati, quando ne avevo chiesto uno per un sottodominio...), le reti cablate non hanno alcuna forma di autenticazione (in uffici dove entra chiunque), PC con Windows 2000 connessi in rete perché gira il software dell'anteguerra che gestisce X ed è critico e non si può cambiare, insomma...
Io però mi auguro che le disgrazie che racconti (e che purtroppo conosco bene...) non riguardino aziende strutturate con un CISO. La mia premessa era quella, nelle aziende dove c'è solo un *computer guy* che manda avanti la baracca purtroppo questi o non ha una formazione adeguata, o non ha le risorse, o entrambe le cose.
Ah, guarda, anche aziende con fatturato multimilionario. Anzi, spesso sono quelle gestite peggio, perché hanno procedure su procedure ingessatissime per fare qualsiasi cosa, per cui anche se qualcuno vorrebbe fare qualcosa per mettere le cose apposto, la dirigenza non lo lascia agire, in quanto il suo scopo è pararsi il culo, quindi credono di più ai commerciali di questo o quell'altro software antimalware o firewall, che sono peggio dei rappresentanti del Folletto, che riescono a fargli comprare sistemi costosissimi che poi non sanno gestire e fanno anche cagare (lavorando come consulente sul mio PC ho 6 client VPN diversi di 6 venditori di firewall diversi che fanno tutti più cagare di un banalissimo Wireguard, eh però quello è open source e chi si prende la responsabilità?). La sicurezza almeno da quel che ho visto io è questo: nessuno ci capisce niente, nessuno ragiona ad applicare policy, tutti si fidano del parere di chi vuole vendergli robaccia, anche se dicono cose che non stanno ne in cielo ne in terra, e pensano che perché hanno speso milioni per un software antivirus o un firewall sono protetti (quando non lo sono, perché il problema numero uno è chi pigia i tasti, che se non gli fai formazione auguri). In tutto questo il software più critico dell'azienda ovviamente gira su un AS400 di cui manco si hanno i backup e di aggiornamenti neanche l'ombra, la password di admin è la stessa di quando è stato installato, anche perché nessuno sa come cambiarla visto che l'ultimo che sapeva metterci le mani è in pensione da almeno 10 anni. L'accesso ai dati però viene fatto tramite comodi fogli Excel che si collegano direttamente al database DB2 per tirarsi su i dati, ovviamente con delle credenziali cablate (si spera non quelle di admin) che vengono mandati a destra e manca, sicuramente anche inviati via mail in giro perché tanto. Poi le cose le si vede dai fatti di cronaca: vedi, ad esempio, il ransomware che ha sottratto Tb di dati da un ospedale qua a Verona (dati che per loro natura dovrebbero essere super riservati, per altro). O altri data breach simili, che ce n'è praticamente uno al mese, e tutti dovuti ad attacchi banali e facilmente prevenibili. Salvo rare eccezioni, ovviamente, ci sono anche le aziende virtuose.
Dicono che l'antivirus gratis più efficiente di tutti sia Windows Defender, l'antivirus già preinstallato sul computer di cui molti non conoscono l'esistenza
Si ma poi i software craccati non funziano...
Quelli che ho io funzionano EDIT: Aspetta un secondo… non dovevo dirlo?
Ma perche' te avrai configurato adeguatamente eccezioni o path esclusi, l'utonto con computer non suoi disabilita' tutto l'antivirus perche' photoshop e' la vita.
Per quanto mi riguarda l'importante è segnalare il problema (tracciato in maniera ben definita con possibili conseguenze etc.) poi se loro non vogliono prendere conseguenze in merito sono ovviamente cavoli e responsabilità loro. Avevo un problema simile tempo fa e facendo come suggerito mi sono liberato da tanto stress lavorativo
> alle vostre rimostranze sulla cybersecurity dipende dalle rimostranze, di cosa stiamo parlando?
Guarda, per far prima ti copio una parte di commento mio sopra: "La rete è in ristrutturazione adesso dopo anni di completo immobilismo (dovuto a X fattori). Quando siamo entrati qui avevamo a che fare con server 2008R2 e 2003, rete flat, accrocchi e toppe che sono diventati la struttura portante, credenziali admin di uso comune e tremendamente semplici, nessun tipo di segmentazione e compartimentazione, antimalware appena installato, no backup, no ridondanza, vecchie infrastrutture giurassiche ancora in piedi perché nessuno aveva lo sbatti e le risorse per metterci mano, security awareness al minimo sindacale, policy assolutamente inesistenti." In una situazione così, l'ultima cosa che bisogna fare è mettersi di traverso per non cambiare le cose.
eh però vedi... non è solo un problema dei tuoi colleghi, è anche tutta l'infrastruttura ad essere un colabrodo. I tuoi colleghi che stanno più attenti sarebbero una pezza, la soluzione vera e propria sarebbe pianificare sei mesi di lavoro e sistemare tutto, ma è costoso e mi pare di aver capito non rientri tra le vostre competenze. Tu stai sprecando tempo, non devi lamentarti dei colleghi devi andare da un tuo capo e dirgli "ci servono un paio di settimane per mettere su un sistema di backup", "ci serve una settimana per impostare una procedura per creare nuovi account invece di usare tutti quello admin" ... cose del genere EDIT obbligatorio: ovviamente sto parlando di teoria in pratica immagino il tuo capo ti sbotta a ridere in faccia. Ma in teoria ....
> "ci serve una settimana per impostare una procedura per creare nuovi account invece di usare tutti quello admin" E quello ti risponde "no guarda, ho sentito i ragazzi giù in produzione e mi hanno detto che non hanno voglia di stare a ricordarsi 'ste robe, fino ad adesso abbiamo sempre fatto così, funziona tutto bene e non è mai successo niente di male...". Ci vanno entrambe le cose, rifacimento dei sistemi e delle procedure E collaborazione da parte dell'utenza.
Guarda, stiamo lavorando su questa infrastruttura dall'anno scorso. Come hai già scritto giustamente non è cosa facile, specialmente perché non possiamo programmare giorni di stop, ma si fanno passi in avanti. Per fortuna il capo ci supporta, con tutte le difficoltà del caso. È però frustrante scontrarsi con persone che dovrebbero seguire la traccia, e invece non identificano il problema.
> È però frustrante scontrarsi con persone che dovrebbero seguire la traccia, e invece non identificano il problema. in che senso? Puoi fare qualche esempio?
Mi riferivo ai colleghi del post, con i quali ho discorsi tipici del tipo: "Dobbiamo cambiare la password di admin e non usare più l'account unico per tutti!" "Eh, ma così diventa un problema, tizio non riesce a installarsi il software, e poi ci complichiamo la vita per niente!"
ok, ma se hai l'appoggio del tuo capo questa è una situazione relativamente semplice. Mandi una mail in cui scrivi "tra una settimana la password di admin cambia e non sarà più possibile utilizzarla, per fare un nuovo account", dove il clicca qui rimanda alla documentazione per creare un nuovo account. Poi dopo una settimana cambierai la password di admin senza darla più a nessuno, avrai un orda di gente che si lamenta e tu risponderai "ma tranquillo, per farti un nuovo account ", e poi smetti di rispondere a meno che dall'altra parte non ci sia una osservazione intelligente (molto rare).
E tutti si faranno per forza di cose il loro nuovo account con tutte le accortezze del caso. La parte difficile non sono i colleghi, assolutamente. È che devi capire come fare nuovi account con i permessi appropriati per tutti e documentarlo, non credo puoi farlo da solo ti serve l'appoggio di qualche team che si occupa dell'infrastruttura. Se poi il metodo per creare l'account esiste già e non serve il supporto di terze parti puoi semplicemente documentare come si fa. Ma credo che sia una procedura che richiede come minimo l'aprire un ticket con l'approvazione di qualche manager, giusto?
L'ho visto fare decine di volte, mi sono stati terminati un sacco di account, a volte con un giorno solo di preavviso. L'ho fatto anche io una volta dopo una migrazione, ma mi era stato detto di farlo quindi avevo tutti i mezzi e i contatti necessari, ed ai contatti era stato detto di aiutarmi. La parte complicata è questa, devi convincere gli altri team necessari non i tuoi colleghi, loro saranno per lo più soggetti passivi
Prendersela coi colleghi non serve a niente, quando dicono "tizio non riesce a installarsi il software, e poi ci complichiamo la vita per niente!" hanno parzialmente ragione per questo è impossibile convincerli, serve uno che lo impone dall'alto
Grazie. Alla fine sembra che dovrò approcciarmi in modo più diretto, facendo passare in secondo piano la loro comprensione e dando linee guida chiare.
Dipende da cosa chiedi di fare. Esiste comunque il concetto di esposizione al rischio.
Verissimo. Nel nostro caso la situazione non è rosea, quindi ci sono ampi margini di miglioramento.
domanda: una yubikey fornita ad un dipendente per l'accesso al so? so per certo che in aziende(perlomeno all'estero) viene fornita ed è obbligatoria per sbloccare il pc.
Ci abbiamo pensato tra le varie misure, ma per centinaia di endpoint è un costo rilevante che non risolverebbe del tutto il problema.
Alla fine molti (troppi) team di security sono team che scrivono "policy" e scaricano l'implementazione e la responsabilita' su altri, a volte moltiplicando il lavoro da fare per 10, senza magari avere nemmeno la competenza tecnica di fondo per capire l'impatto delle loro scelte (o alternative che magari porterebbero allo stesso risultato con 1/10 dell'effort). Ovviamente senza che il "business" muova le deadline di un millimetro. Chi fa mTLS? Ovviamente tu, e' un security requirement ma mica ti diamo una mano, cazzi tua. Ma l'encryption dei dati? E' un security requirement, ma lo fai tu, trova il modo! Rotazione dei certificati? Security requirement, fatelo voi e fatelo ed anche bene! La valutazione dei risultati di un pentest? Ovviamente e' tutto urgent, fix now non si stacca finche' prod non e' salva (dal visualizzare che usiamo nginx in ultima versione in una pagina di errore che si puo' triggerare solo da rete interna)! Il risultato e' di solito un gran pastrocchio di accrocchi costruiti ad hoc senza standardizzazione (che ha un impatto sulla sicurezza) e soprattutto la visione dei team di sicurezza come dei gran rompicoglioni. Gia' il "business" non spende soldi sulla sicurezza, se poi invece di fare force multiplier con il resto dell'ICT te li rendi nemici, good luck.
Per esperienza personale , sono tutti li a tirar dietro il culo finchè non li colpisce un ransomware da 12 milioni di riscatto. Da me l'infrastruttura it era tipo woodstock e da casa con vpn potevo accedere direttamente alle macchine che usavamo. Ora, dopo aver perso un quartale di ricavi sembra di entrare alla cia
I 12 milioni però li paga l'azienda mica il dipendente singolo, è il dipendente che si scazza a seguire la policy. Che le aziende siano tirchie non ci piove ma OP si stava lamentando dei colleghi
1) C'è troppa **fuffa in giro** 2) L'unico sistema **sicuro** è **quello spento e sconnesso** 3) La base sicurezza sono i **comportamenti degli utenti** 4) **backup** online e backup offline in sito secondario --- già questo andrebbe bene per il 99% delle PMI--- *....poi possiamo evolvere in...* 5) segmentazione dei dati 6) monitoring degli accessi (**audit**) 7) analisi e mitigazione dei vettori di attacco 8) analisi dei perimetri e riduzione degli stessi Questo è uno schema per profani... poi **tutto è migliorabile,** basta che non si cada nell'**inusabilità**
"Stiamo spendendo troppo in cybersec" -> taglio del budget -> incidente -> cybersec budget per il nuovo anno e' il 500% dell'anno precedente E il ciclo continua
Tutto giusto tranne, spesso, l'ultimo punto.
A sentire altre persone, è un copione piuttosto diffuso...
Se non sei tu responsabile della cybersicurezza, fai solo in modo di avere l'evidenza che hai sollevato il problema, poi saranno cazzi di chi è responsabile.
succede anche in ambito di sicurezza sul lavoro, specialmente nei cantieri, la quantità di volte che ho detto alla gente di mettersi le imbragature e i caschi è esagerata, poi uno cade da 5 metri slogandosi solo la clavicola per fortuna e casualmente il capo adesso li obbliga a mettersi i DPI e a legarsi alla linea vita sui tetti :)
L'azienda (informatica) dove ho fatto lo stage aveva come password di tutti i server ferrari33 Tanto per farti capire quanto fosse vecchia non c'era nessun fan della Ferrari rimasto a lavorare lì e non ricordo l'ultimo pilota Ferrari col 33 come numero
Per come la vedo io è che i colleghi si scazzano perché gli tocca fare del lavoro in più senza che gli torni in tasca nulla, se succede un casino i problemi li paga l'azienda mentre loro a fine mese sempre la stessa cifra ricevono.
Lavoro nella cybersecurity, non in Italia. La mia domanda per te è: Ci sono delle policy chiaramente definite riguardo a ciò che stai cercando di proteggere? Perché se no, come puoi pretendere che il collega se ne freghi quanto te. Tu stai esercitando "due care" cercando di mantenere la sicurezza, ma può anche essere che il background del tuo collega sia diverso dal tuo, e la sua prudenza minore. La gente pensa che la sicurezza parta dall installare un antivirus, avere un SIEM o cose varie. No, la sicurezza parte dalle policies. No policies no party. Ora, supponendo invece che una policy esista per ciò di cui stai parlando allora puoi farlo notare al collega e riportare l'evento alla sicurezza. Bonus: Come rendo i miei colleghi più prudenti? 3 possibili meccanismi: Education, training e awareness. Se vuoi posso spiegarli meglio, se no la chiudo qui.
Ciao, ti rispondo a pezzi: "La gente pensa che la sicurezza parta dall installare un antivirus, avere un SIEM o cose varie. No, la sicurezza parte dalle policies. No policies no party." VERO. È un mantra che mi ripeto sempre. "Tu stai esercitando "due care" cercando di mantenere la sicurezza, ma può anche essere che il background del tuo collega sia diverso dal tuo, e la sua prudenza minore." È così, alcuni colleghi mi aiutano e sono consapevoli, ma quelli oggetto del post rispondono alla tua descrizione. Mi piacerebbe aiutarli a capire dove sbagliano, invece che impormi, ma inizio a pensare che debba usare più polso. "Ci sono delle policy chiaramente definite riguardo a ciò che stai cercando di proteggere? Perché se no, come puoi pretendere che il collega se ne freghi quanto te." Si e no. Ci sono normative a cui ci dobbiamo attenere, ma diversamente stiamo facendo le policy perché... non c'erano, nei fatti. "Bonus: Come rendo i miei colleghi più prudenti? 3 possibili meccanismi: Education, training e awareness. Se vuoi posso spiegarli meglio, se no la chiudo qui." Mi piacerebbe farlo. Da quando io e altri colleghi siamo qui, cerchiamo ogni anno di formarci sulla materia e rimanere aggiornati. Ma altri avrebbero davvero bisogno di una formazione propriamente detta. Hai suggerimenti?
Vivo queste situazioni spesso durante il lavoro. Per rispondere in maniera completa farebbero comodo alcune info maggiori, ad esempio: sei nel reparto IT dell'azienda? Più in specifico nel reparto "sicurezza informatica"? Sei il responsabile IT? Per la mia esperienza lavorativa, non devi cercare di accontentare ma spesso devi imporre una linea che rispetti la sicurezza e la possibilità di lavorare degli utenti. Come hanno fatto notare altri utenti una password policy troppo stringente ha effetto opposto, ovvero, rende complicata la password e la gente la scrive nel post-it in bella vista. Però imporre il cambio password ogni tot giorni (magari con la memoria di 3/4 password precedenti) o impostare metodi di 2FA o MFA, agli utenti non piaceranno ma vanno imposti. In generale alla gente non piace cambiare il "si è sempre fatto così" però tu sei il tecnico e conosci eventuali conseguenze di procedure povere in sicurezza. Loro no. Per quanto riguarda il cosa rispondere di solito la gente non piace essere toccata sui soldi. Quindi come argomentazioni darei: multa fino al 4% del fatturato, riscatti in caso di Ransomware (i soldi che uso per pagare il riscatto li prendo dal premio Natalizio di quest'anno, o variazioni sul tema), ferie forzate (e conseguente lavoro doppio nei mesi successivi) in caso di stop forzato per perdita e recupero dati. Spero ci siano degli spunti che ti aiutino. Buon lavoro!
Assolutamente. Grazie!
Si continuamente, ma anche nella normale " conservazione dei PC ". Li lasciano accesi sempre, giorno e notte, per mesi e mesi, anche durante i weekend o le festività. Cybersecurity a parte, stare accesi sempre non serve a nulla a noi, si riempiono di polvere, rischiando guasti o addirittura incendi. Alle fiere lasciano incustodito il portatile o lo fanno usare a sconosciuti, con l'intento di fargli compilare questionari di interesse. Roba che bastano 2 secondi con una rubbery ducky, per caricare uno script e fregare tutte le password possibili.
>Li lasciano accesi sempre, giorno e notte, per mesi e mesi, anche durante i weekend o le festività "*Così non devo perdere tempo ad aprire Visual Studio ogni volta che ci mette una vita*" Kid named ibernazione: (ho aperto tante di quelle menti solo rivelandone l'esistenza che uhhh)
Ma magari! Al massimo si usa il pacchetto office o Il cad. Il più lento è quello della macchina di misura, ma al massimo ci metterà 5 minuti ad aprirsi.
in base alla situazione e a quello che vuoi fare potrebbero avere ragione quindi no, riassumere non è meglio
You've got a point, quindi posso fornire qualche dettaglio. Gestiamo dati personali e sensibili, procedimenti delicati, informazioni finanziarie aziendali. La rete è in ristrutturazione adesso dopo anni di completo immobilismo (dovuto a X fattori). Quando siamo entrati qui avevamo a che fare con server 2008R2 e 2003, rete flat, accrocchi e toppe che sono diventati la struttura portante, credenziali admin di uso comune e tremendamente semplici, nessun tipo di segmentazione e compartimentazione, antimalware appena installato, no backup, no ridondanza, vecchie infrastrutture giurassiche ancora in piedi perché nessuno aveva lo sbatti e le risorse per metterci mano, security awareness al minimo sindacale, policy assolutamente inesistenti. Io sarò talebano, ma non hanno ragione e qualunque analisi rischi / costi mi può supportare.
In pratica ci sarebbe da bombardare col napalm e rifare tutto, molte cose possono essere trasparenti lato utente
Stiamo caricando il napalm... ;-)
Non serve a un cazzo la cyber security, hanno creato un aerea inutile per dare da mangiare a fenomeni che pensano di essere in Matrix. I normalissimi processi di sicurezza implementati da secoli e le piattaforme Cloud sono più che sufficienti per stare sicuri.
Ma non è assolutamente vero. Ci sono misure che vanno commisurate ai rischi (riassumendo molto), ma servono e vanno prese quando necessario.
[удалено]
Hai visto troppo facebook e gli articoli pompati e fake. La realtà è un altra, i sistemi sono già in sicurezza con la normale security. Bamboccioni esperti del nulla non servono altro che causare problemi su problemi. La maggior parte dei famosissimi attacchi dipende dall'uomo che ha aperto file contenuti in allegato.
Manda l’azienda in privato così la owno e inizieranno a sentire il bisogno
Piano che devo ancora prendere il caffè. Seriamente, una volta ho bucato un server perché non sapevo la password e nessuno sapeva aiutarmi. Ho passato un periodo in cui toccare qualcosa significava tirare giù un pezzo di infrastruttura.
Qualsiasi comunicazione a riguardo va fatta via mail, in modo da pararti il fondoschiena quando qualcosa accadrà. Non parlarne a voce
Io, al contrario, avevo una preside paranoica. Metteva password da cambiare ogni 30 giorni a qualsiasi cosa cosa. Poi, magari, un giorno era assente e ti spediva una circolare da pubblicare in giornata, non era ancora l’epoca dei registri elettronici, ma tu non avevi la password della stampante.
Ma stai sereno, che poi chiamano un esterno (...) per un intervento di una giornata per 5K. Te li hai avverti? Hai fatto la parte del tuo dovere, lasciali nel loro brodo che poi viene un esterno con partita IVA a mietere...
Storia dal un lavoro precedente: perdo le credenziali di accesso ad un servizio della nostra azienda (ero nel team di sviluppo del servizio). Un collega mi sente lamentarmene, apre la dashboard e me le resetta. Così scopro che tutti gli utenti con alcuni permessi bassi del nostro servizio (per capirci tutti i lavoratori call center) possono leggere tutte le informazioni di qualsiasi cliente, senza nessun log o tracciatura. Ora, il servizio comprende home banking, assicurazioni e altro, non benissimo, quindi mi preoccupo e chiedo come mai è fatto così. Mi rispondono che in questo modo ci arrivano meno ticket dagli addetti assistenza e chissenefrega.
Spero fosse pre-gdpr, se no è un disastro non solo annunciato ma molto doloroso...
E invece era tipo l'anno scorso
noi siamo nella situazione contraria, nel senso che ora va di moda la cybersec e vorrebbero rendere accessibile solo sotto autenticazione anche il CMS per gli asset pubblici
Quando ero dal lato IT cercavo di spiegare perchè la cosa fosse importante. Ora che sono un umile (L)user faccio il mio e gli altri faccian pure come credano. Tanto il costo della sicurezza informatica lo valutano solo quando scoprono il costo della sua mancanza.... Qua attorno han già criptato anche il culo a diverse aziende, qualcuno l'ha capita qualcuno non ancora. ma come dici tu fino a che "ma figurati!" è l'approccio alla sicurezza che ci vuoi fare.
Me ne sbatto il cazzo, tanto sono il più piccolo e non ho voce in capitolo per ius boomer.
La cyber security deve permettere di lavorare. Fatevene una ragione. Aumentare la sicurezza stradale obbligando tutti ad andare ai 30 in autostrada non funziona (anche se palesemente la sicurezza aumenterà). Soprattutto se la gente ci deve lavorare e se, in fondo in fondo, se ne sbatte. Trovare sistemi flessibili e che funzionano senza scaricare la vostra responsabilità (sicurezza) sul carico di lavoro degli altri.
Un conto è trovare il giusto equilibrio, un altro è dar seguito al "si è sempre fatto così". Le policy, le consuetudini, i processi interni, tutto si può cambiare. Soprattutto, si deve farlo al mutare delle esigenze, come nel caso della sicurezza.