当你得到报酬,以评估计算机安全的做法,你得到了很多知名度到什么起作用和整个企业范围不起作用。我很幸运,足以做到这些作为安全顾问超过20年,20至50家企业变的之间的任何分析,每年的大小。如果有一个结论,我可以从经验中吸取,那就是成功的安全策略不是工具 - 它是关于团队。
有了很好的人在正确的地方,支持性的管理,并执行良好的保护过程中,你有一个非常安全的公司的气质,无论您使用的工具。具有的重要性和计算机安全作为企业的重要组成部分的价值的理解公司,而不是仅仅作为一个必要的邪恶,是那些最可能遭受灾难性的破坏。每家公司都认为他们有这样的文化;很少有人这样做。
以下是常见的做法,最高度安全的公司我有机会工作,多年来的策略的集合。认为这是保持公司的王冠安全的秘密武器。
关注正确的威胁
一般的公司正面临着反对的威胁无数真正前所未有的,历史性的挑战。我们被恶意软件,人类的敌人,公司的黑客,黑客行动主义者,政府(国内外),甚至是值得信赖的业内人士的威胁。我们可以通过铜线被黑客攻击,使用能量波,无线电波,即使光。
正因为如此,我们被告知要想“真正安全”,有成千上万的事情需要做好。“我们被要求每年为操作系统、应用程序、硬件、固件、电脑、平板电脑、移动设备和手机安装数百个补丁但我们仍然可以砍死有我们最有价值的数据被锁定,为勒索赎金。
伟大的公司意识到大多数安全威胁都是无关紧要的噪音。他们知道在任何时候,一些基本的威胁构成了他们的大部分风险,所以他们关注这些威胁。花点时间找出你公司的头号威胁,对这些威胁进行排序,把大部分精力集中在头号威胁上。就是这么简单。
大多数公司都没有做到这一点。相反,他们玩弄几十到几百持续安全的项目,大部分含情脉脉未完成或只针对威胁的最轻微的实现。
想想吧。你有没有被使用矢量于包括SNMP或未打补丁的服务器管理界面卡破解?你甚至看在现实世界中这样的攻击?那你为什么问我,包括他们在我的审计报告的首要任务(因为我是一个客户)?同时,环境被破坏通过其他,更常见的攻击近乎每天的基础。
为了成功降低风险,确定哪些风险现在就需要集中注意力并可以留待以后。
知道自己拥有什么
有时候最不性感的东西也能帮你赢。在计算机安全中,这意味着建立组织的系统、软件、数据和设备的准确目录。大多数公司对于在其环境中实际运行的内容几乎一无所知。你怎么能开始保护你不知道的东西呢?
问问你自己,你的团队对公司电脑刚启动时运行的所有程序和流程了解多少。在这个世界上,每一个额外的程序都为黑客提供了另一个攻击面,所有这些东西都是需要的吗?您的环境中有多少个程序的副本,它们是什么版本?有多少关键任务程序构成了公司的支柱,它们有哪些依赖关系?
最好的公司都在什么地方运行,严格控制。你不能开始这一过程中没有您当前的IT库存的丰富,地图准确。
删除,那么安全
不需要的程序是不必要的风险。最安全的公司仔细研读他们的IT资源,消除他们并不需要,然后减少后所剩的风险。
最近,我咨询了一个公司,有超过80,000未打补丁的Java装置,分布在五个版本。工作人员从来不知道有这么多的Java。域控制器,服务器,工作站 - 它是无处不在。至于有人知道,正是一个关键的程序所需的Java,以及只有几十应用服务器跑。
他们询问工作人员,并立即减少了他们的Java足迹到几百台计算机和三个版本,在大多数机完全修补它们。不能被修补的几十成为真正的工作。他们联系厂商,找出原因的Java版本无法更新,在少数情况下改变供应商,并实现风险抵消缓解那里打补丁的Java必须保持。
想象一下风险概况和总体工作成果的差异。
这不仅适用于软件和硬件的每一位,但数据为好。先消除不需要的数据,然后固定休息。故意删除是最强的数据安全策略。使每一个新的数据采集器定义他们的数据需要多长时间保存。把到期日期就可以了。届时,请与店主,看其是否可以被删除。然后固定休息。
运行最新版本
最好的安全公司会关注最新版本的硬件和软件。是的,每个大公司都有旧的硬件和软件,但是它们的大部分库存是由最新版本或最新的以前的版本(在业界称为N-1)组成的。
这又不仅是硬件和操作系统,但对于应用程序和工具集也是如此。采购成本不仅包括购买价格和维护,但是将来的更新版本。这些资产的所有者负责让他们更新。
你可能会想,“为什么更新更新的缘故?”但是,这是旧的,不安全的思考。最新的软件和硬件配备了最新的安全功能内置,往往默认打开。到了最后版本的最大威胁是最有可能固定在当前版本中,留下的旧版本的黑客多少多汁希望利用已知漏洞的。
在补丁速度
它的建议是如此的常见以至于看起来像是陈词滥调:在供应商发布补丁的一周内修补所有的关键漏洞。然而,大多数公司都有数千个未修补的关键漏洞。不过,他们会告诉你他们已经控制了补丁。
如果你的公司的时间超过一个星期的补丁,它在妥协的风险增加 - 不仅是因为你已经敞开了大门,但因为你最安全的竞争对手将有已被锁定他们。
正式地说,您应该在应用程序之前测试补丁,但是测试很困难,而且浪费时间。要真正安全,应用补丁并快速应用它们。如果需要,请等待几天,看看是否报告了任何故障。但在短暂的等待之后,申请,申请,申请。
批评者可能会主张应用补丁“过快”会导致操作问题。然而,最成功的企业安全告诉我,他们没有看到很多的问题,因为修补。许多人说他们从来没有遇到过宕机事件是由于其体制内存补丁。
教育,教育,教育
教育是最重要的。不幸的是,大多数企业用户查看教育作为一个伟大的地方,以削减成本,或者如果他们的教育,他们的训练是远远过时,充满场景不再适用或专注于罕见的攻击。
良好的用户教育的重点是公司目前面临的威胁,或者是最有可能的脸。教育是由专业人员带领下,甚至更好,它涉及的同事自己。其中一个我见过着重介绍如何一些最流行的和很受欢迎的员工受骗了警告的社会工程尝试的最有效的视频。通过分享自己的易错的真实故事,这些同事们能够培养人的步骤和技术,以避免成为受害者。这样的举动让同事少不愿报告自己的潜在错误。
保安人员也需要最新的保安培训。每个成员,每年。要么把培训带给他们,要么让你的员工参加外部培训和会议。这意味着不仅要对你买的东西进行培训,还要对当前的威胁和技术进行培训。
保持配置一致
最安全的组织有相同角色的计算机之间几乎没有偏差一致的配置。大多数的黑客比聪明更持久。他们只是探头和探测器,寻找在数千台服务器,你忘了修复的一个漏洞。
在这里,一致性是你的朋友。做同样的事情,同样的方式,每次。确保安装的软件是一样的。没有10周的方式连接到服务器。如果安装一个应用程序或程序,确保相同的版本和配置安装在同一个类中的所有其他服务器上。您希望您的计算机孔审阅的对比检查。
这一切都不是可能的,而不配置基线和严格的变更和配置控制。管理员和用户应该教,没有什么被安装或未经事先书面批准记录重新配置。但要注意与满足每月只有一次充满变化委员会挫败你的同事。这是企业瘫痪。查找控制和灵活性的最佳组合,但要确保任何变化,一旦获得批准,是跨计算机一致。和惩罚那些谁不尊重的一致性。
请记住,我们正在谈论的基线,而不是全面的配置。事实上,你可能会得到价值的99%进行了十几个或两个建议。弄清楚你真正需要的设置而忘记了休息。但是,是一致的。
宗教实践最小特权访问控制
“最小特权”是一个安全格言。然而,你会捉襟见肘找到实现其公司林立,他们可以。
最小权限包括向那些需要它们完成基本任务的人授予最基本的权限。大多数安全域和访问控制列表充满了过度开放的权限和很少的审计。访问控制列表变得毫无意义,没有人愿意谈论它,因为它已经成为公司文化的一部分。
以Active Directory森林信托为例。大多数公司都有,可以将它们设置为选择性身份验证或完全身份验证信任。在过去10年里,我审计的几乎每一个信托(数千个)都是完全认证的。当我推荐对所有信任进行选择性身份验证时,我听到的都是抱怨它们实现起来有多么困难:“但我必须触摸每个对象,并明确地告诉系统谁可以访问它!”“是的,这就是问题所在。这是最小特权。
访问控制,防火墙,信任 - 最安全的企业时时处处部署最小特权权限。最好有自动化是要求资源的重新验证所有者的权限和访问定期进程。用老板的电子邮件通知,说明资源的名称以及谁有权访问什么,然后被要求确认当前设置。如果业主未能响应后续的电子邮件,资源被删除或与其先前删除的权限和访问控制列表移到别处。
环境中的每个对象 - 网络,VLAN,虚拟机,电脑,文件,文件夹 - 应以相同方式处理:最小特权与侵略性审计。
获取尽可能接近零,你可以
最坏的情况是,坏人寻求控制高权限的管理帐户。一旦他们控制了一个根、域或企业管理帐户,游戏就结束了。大多数公司都不擅长让黑客远离这些证书。作为回应,高度安全的公司正在“零管理”,取消这些账户。毕竟,如果您自己的管理团队没有超级帐户或不经常使用它们,它们被窃取的可能性要小得多,或更容易发现和停止时,他们是。
在这里,凭证卫生的艺术是关键。这意味着使用永久超级管理员的最低金额占越好,以实现零排放的目标或接近零,你可以。永久超级管理员帐户应高度跟踪审计,并只限于少数的预定区域。你不应该使用广泛使用的超级账户,尤其是服务帐户。
但如果有人需要一张超级证书呢?尝试使用委托。这允许您仅向需要访问的特定对象授予足够的权限。在现实世界中,很少有管理员需要完全访问所有对象。这很疯狂,但这是大多数公司的工作方式。相反,授予修改一个对象、一个属性的权限,或者最多只修改对象的一个更小的子集。
这种“刚刚好”的方法应该与“及时”访问相结合,高级访问仅限于单个任务或一段时间。添加位置约束(例如,域管理员只能在域控制器上),您就拥有了非常强的控制能力。