注意:这并不总是需要一个超级管理员账户都是几个强大。例如,在Windows中,有一个特权,比如调试,作为操作系统的一部分,或备份——是足够的对于一个老练的攻击者来说,是很危险的。权限提升治疗像尽可能提升账户。
代表团——及时、足够的在正确的地方,还可以帮助你吸烟坏人,因为他们不可能知道这个政策。如果你看到一个superaccount移动网络或利用其特权在错误的地方,你的安全团队将所有。
研究所基于角色的配置
最小特权也适用于人类和电脑,这意味着所有对象在您的环境中应该配置为他们执行的角色。在完美的世界里,他们将获得一个特定的任务只有当执行它,而不是其他。
首先,你应该在每个应用程序调查所需的各种任务,收集通常执行的任务尽可能少的工作角色,然后根据需要分配这些角色用户帐户。这将导致分配每个用户帐户,每个人只允许必要的权限来执行他们的任务。
基于角色的访问控制(RBAC)应该应用到每台计算机,每台计算机具有相同的作用是相同的安全配置。没有专门的软件很难实践application-bound RBAC。操作系统和网络RBAC-based任务更容易完成使用现有的操作系统工具,但即使是那些可以更容易通过使用第三方RBAC管理工具。
在未来,所有将RBAC访问控制。有意义因为RBAC是最小特权和零管理的体现。最高度安全的公司已经在那里他们可以练习它。
单独的,分开,分开
良好的安全域卫生是另一个关键。安全域是一个(逻辑)分离的一个或多个安全凭据可以访问对象的域。从理论上讲,同样的安全凭据不能用于访问两个安全域事先协议或访问控制变化。例如,防火墙是最简单的安全域。人们一边无法轻易到达另一边,除了通过协议、端口等由预定义的规则决定的。大多数网站是安全域,大多数公司网络,尽管他们可能,并且应该包含多个安全域。
每个安全域应该有它自己的名称空间,访问控制、权限,权限,角色,等等,这些工作只在该名称空间。确定你应该多少安全域可能会非常棘手。这里,最小特权的想法应该是你的向导,但是每台电脑是自己的安全域管理可能是一个噩梦。关键是要问自己你可以忍受多少伤害如果访问控制下,允许入侵者访问在一个给定的总面积。如果你不想因为其他一些人的错误,考虑自己的安全域。
如果安全域之间的沟通是必要的(如森林信托),给出了最小特权访问可能的域之间。“外国”账户应该几乎没有获得任何超出了几个应用,在这些应用程序和基于角色的任务,他们需要的。一切在安全域应该无法访问。
强调智能监测实践和及时响应
绝大多数实际捕获的窃听事件日志,没有人看着,直到事实后,。最安全的公司积极监控和针对特定异常普遍,设置警报和应对它们。
最后一部分是很重要的。良好的监测环境不会产生太多的警报。在大多数环境中,事件日志记录,当启用,生成成百上千每天数十亿的事件。不是每一个事件都是一个警告,但不当定义环境将产生数百成千上万的潜在的警告——如此多的噪音,他们最终成为每个人都忽略了。一些最大的黑客过去几年的警报,被忽略了。这是设计不良监控环境的标志。
最安全的公司创建一个比较矩阵的所有日志来源和警报。他们比较这个矩阵的威胁列表,匹配任务的威胁,可以检测到当前日志或配置。然后他们调整事件日志记录尽可能多的差距。
更重要的是,当生成警报,他们回应。当我告诉一个团队监控特定的威胁(比如密码猜测),我试图引爆一个警告在日后是否生成警报和任何回应。大多数时间他们不喜欢。安全公司人跳下座位时得到一个警告,询问别人什么。
问责制和所有权从一开始练习
每个对象和应用程序应该有一个业主(或业主)控制其使用和是谁负责它的存在。
大多数对象在典型的公司没有所有者,和它不能指向的人最初要求的资源,更不用说知道它仍然是必要的。事实上,在大多数公司,创建了团体的数量大于活动用户帐户的数量。换句话说,它可以指定每一个他或她自己的个人,自定义组和公司将有更少的组比他们目前的管理。
但是,没有人知道任何给定组可以被删除。他们生活在恐惧中删除任何团体。毕竟,如果集团需要一个关键操作和删除它无意中带来mission-dependent特性?
之后,另一个常见的例子是当一个成功的,一个公司需要重置密码的环境。然而,你不能这么做不管因为一些服务帐户连接到应用程序和需要改变密码内部应用程序和服务帐户,如果它可以改变。
但是没有人知道如果任何给定的应用程序正在使用中,如果它需要一个服务帐户,或者如果可以更改密码,因为所有权和责任不是一开始就建立了,还有没有人问。最终,这意味着应用程序单独留下,因为你更容易得到比你解雇的原因是造成一个关键操作中断让黑客呆。
优先快速决策
大多数公司都发育不良分析瘫痪。缺乏一致性、问责制和所有权使每个人都害怕改变。和快速行动的能力在it安全至关重要。
最安全的公司建立一个强有力的平衡控制能力迅速作出决定,他们促进作为文化的一部分。我甚至见过专业,专门的项目经理将长时间运行的项目只是草草完成项目。这些特殊的经前综合症有适度的预算控制,事后文档更改的能力,和余地犯错。
最后一部分是快速移动时的关键。在安全,我是一个超级粉丝的“任何决定做出决定,我们会道歉之后如果我们需要”的方法。
与典型的公司相比,大多数问题审议死亡,让他们解决当安全顾问建议修复被称为明年回来。
玩得开心
友情不能被忽视。你会惊讶有多少公司认为做正确事情意味着缺乏自由和乐趣。对他们来说,仇恨从同事必须表明安全专业是好工作。没有什么可以进一步从真相。当你有一个有效的安全购物,您不要背负的压力不断地重建电脑和服务器。你不要强调想知道下一个成功的电脑黑客。你别担心,因为你知道你情况得到控制。
我并不是说在最安全的公司工作是一个微风。但总的来说,他们似乎有更多的乐趣和彼此喜欢超过在其他公司。
得到它
上述的共同特征高度安全的公司似乎是常识,甚至长期在一些地方,像快速修补和安全配置。但是不要沾沾自喜你良好的安全实践的知识。区别的公司成功地获得企业王冠和那些遭受破坏的两个主要特征:专注于正确的元素,和灌输一种普遍的文化做正确的事,并不是在谈论他们。这里的秘诀都是在本文中。现在由你来卷起袖子,执行。
祝好运和对抗战斗!
相关文章
- 深潜水:11确定迹象已经被黑客入侵,如何反击
- 深潜水:如何考虑安全的新世界吗
- 一个免费的,几乎万无一失的方法检查恶意软件
- 10钓鱼攻击的原因比以往任何时候都严重
- 10安全技术的垃圾箱
- 偏执:10可怕的极端的黑客
- 6安全优点必须学会忍受残酷的事实
- 7警告标志一个员工已经流氓
- 10安全错误,你会如愿以偿
- 7的暗中攻击使用当今最狡猾的黑客
- 真实的故事(大部分)白帽黑客
- 14个肮脏的把戏,安全专业版
- 6经验教训的可怕的安全威胁
- 这是最大的安全威胁
- 9流行的IT安全实践只是不工作
- 10疯狂实际上安全技巧的工作
这个故事,“有效高度安全公司的IT安全习惯”最初发表的信息世界 。