CaseBlue
Active member
Ik ben IT'er (infrastructuur specialist met een voorliefde voor netwerken).Ik herriner me nog het voorbeeld van mensen die spotify op die manier gebruikten.
Ik heb 14 jaar ervaring in IT en consultancy gaande van kleine KMO's tot europese instellingen.
Dit voorbeeld die je hier aan haalt, is... zo typerend van alles wat er mis is met IT security naar mijn mening.
Als je eind-gebruikers het leven zuur maakt, gaan de gebruikers zich bezighouden met "hoe moet ik die klote-blokkade voorbij steken". En dan krijg je gekke toestanden. Ik kan er lange verhalen over schrijven. Zoals mensen die hun coorporate windows pc virtualisen, linux installeren en dan met de vm op volledig scherm naar local IT gaan: "kan je eens mijn ad account bekijken? Ik ben precies de trust relationship kwijt". En twas fixed, want de helpdesk had zelfs niet door dat ze in een full-screen VM aan't werken waren...
"security boven alles"
Tja, you do you. Maar vraag aan 10 IT'ers wat security is, je krijg 20 antwoorden en andere insteken. De insteek van een O365 administrator is volledig anders van iemand die netwerk-segmentatie doet en weer helemaal anders vaniemand die windows-server beheer doet. Linux-mensen zijn ofwel de beste of de ergste want die denken soms dat hun OS volledig imuun is voor inbraak en security (heartbleed, anyone?), maar zijn meestal wel technisch capabel, kinda sorta.
Een losse greep uit 10 jaar "security boven alles"
****
Er is eens een ziekenhuis die in niet ga benoemen (inclusief operatiezaal en intensieve zorg) die een 5 tal uur volledig plat gegaan omdat de cisco ISE vastgelopen was en alle .1X authenticatie op gans het netwerk uitlag. Dus alle draadloos en bekabelde verbindingen waren onbruikbaar want volgens security guidelines mocht geen enkele verbinding zonder .1X en change of authorization.
...Inclusief de administrators die alles moeten beheren en fixen. De beste analogie die ik kan bedenken was dat je uit uw eigen huis buitengesloten bent. Je staat op straat zonder sleutels en het huis vecht actief terug op al uw pogingen om terug binnen te raken, want het systeem is zo opgezet dat zonder de ISE het netwerk iedereen moet buiten weren. Gelukkig was er ergens een trunk-poort waarop een native vlan stond die net net genoeg toegang had om een RDP te starten naar nen semi-personal server ergens die dan nog nekeer nen RDP kon starten naar de jumphost en van daaruit RDP naar de ESX-ILO/(of was't VSphere...) om de virtuele ISE nen reboot te geven. Godzijdank was dat voldoende, want als dat niet hielp ging dat echt moeilijk worden.
(voor de nerds: we hadden al eerst geprobeerd om het mac-adress van nen printer te spoofen omdat die MAB zijn. Maar toen hadden we door dat de ISE effectief op zijn gat lag, dus dat hielp niet...)
Die situatie is gekomen na vele vergaderingen van: "alles moet dichtgenageld worden, veiligheid boven alles" en een lijvig document van een "security specialist" dat veel teveel geld gekost heeft om te schrijven.
Godzijdank is er niemand gestorven (letterlijk, het scheelde niet veel), maar toen zijn ze ook beetje terug gekomen van dat principe.
***
Een europese instelling was de tweede core switch vastgelopen omdat er een corrupte IOS image op stond (nog altijd niet duidelijk hoe, ma bon). De oplossing was om via een seriele console letterlijk naast de core te staan en via tftp op uw laptop een transfer te doen (ftp gaat ook, maar kon niet, we hadden geen admin rechten om iets te installeren...).
Bon, we beginnen er aan, met alle stress van dien. De klokt tikt... Want de message queue van de core-business buffert ongeveer 40 minuten. Ik zeg niets waar het exact was, maar als het probleem er nog is na deze 40 minuten, komen we in gans europa (en eigenlijk gans de wereld)in het nieuws...
Na 15 minuten komt uit: die klote-laptop is zo ingesteld dat je geen IP adres kan statisch instellen omdat dat administrator-rechten vereist. Dat is een andere afdeling en die begint pas om 8 uur smorgens ten vroegste. Gesprint naar de wagen, een spare laptop gepakt en daarmee verder gedaan. Met 10 minuten spare alles opgelost gekregen, als je rekent dat een catalyst 6500 ongeveer 8 minuten moet booten, het was spannend....
Maar iedereen weet dat voor netwerk-engineers een IP adres instellen een security issue is eh...
***
Bij Thomas Cook intijde was het zo dat je 0 rechten had nergens. Zelfs IT has geen rechten op hun eigen laptop en die moesten via de first line alles doen.
...Tot je bij "de gerard" eens ging luisteren, die had de locale domain-admin het wachtwoord op nen post-it liggen in zijne bureau. Totale kost: 15 minuten naar zijn gezever luisteren en een slechte koffie uit een muffe automaat die ouder dan mij was.
"security boven alles"
O, ja: in TC was het wachtwoord van de server van deur-controle ook schitterend. "administrator" en ww "a". Moest je het vergeten, de post-it hing aan het scherm in het DC...
Maar die mensen die spotify ofzo wilden installeren (daar ook tegengekomen), die waren de duivel op security uiteraard.
***
Dat je eind-gebruikers geen admin-rechten moet geven, vind ik persoonlijk logisch. Maar als eind-gebruikers spotify ofzo willen installeren, geef ze dan ook geen shit want dat gaan je ook niet in dank afgenomen worden. Ik gebruik dat even als ad nauseam als voorbeeld maar het is over heel de lijn zo.
Security is belangrijk maar je moet ook beseffen dat security niet de core-business in het gedrang mag brengen.
Een ziekenhuis moet mensenlevens kunnen redden 24/7 en niemand mag sterven omdat "ja, die tool is vastgelopen omdat uw java een oude versie is die niet meer security-compliant is. Pech."
Een fabriek die stilvalt omdat de SAP server partieel onbereikbaar is door een over-ijverige firewall admin, is ook niet grappig. (dit al zoveel meegemaakt...). Of productie PLC's die stoppen omdat de EDR plots beslist dan PLC traffiek "niet normaal gebruikers traffiek" is...
Een office 365 tenant die volledig afgesloten raakt voor de admins omdat er iemand een vinkje op 2FA aanzet verkeerd... Yup, been there.
Security is belangrijk. Maar laat security nooit tussen mensen en hun werk komen. Het zal je zuur opbreken.
Want wat wil je bereiken? Dat er geen spotify is? Of dat mensen vlot hun werk op een veilige manier kunnen doen?
Laatst bewerkt: