当你得到报酬,以评估计算机安全的做法,你得到了很多知名度到什么起作用和整个企业范围不起作用。我很幸运,足以做到这些作为安全顾问超过20年,20至50家企业变的之间的任何分析,每年的大小。如果有一个结论,我可以从经验中吸取,那就是成功的安全策略不是工具 - 它是关于团队。
有了优秀的员工在正确的位置,支持性的管理,以及执行良好的保护程序,无论你使用什么工具,你都是一个非常安全的公司。理解计算机安全作为业务的关键组成部分(而不仅仅是必要之恶)的重要性和价值的公司,是最不可能遭遇灾难性入侵的公司。每个公司都认为自己有这种文化;很少人这么做。
以下是我多年来有机会与之共事的那些最安全的公司的一些常见做法和策略。把它看作是保证公司王冠上的宝石安全的秘密武器。
关注正确的威胁
一般的公司正面临着反对的威胁无数真正前所未有的,历史性的挑战。我们被恶意软件,人类的敌人,公司的黑客,黑客行动主义者,政府(国内外),甚至是值得信赖的业内人士的威胁。我们可以通过铜线被黑客攻击,使用能量波,无线电波,即使光。
正因为如此,有数以千计的事情,我们被告知,我们需要做好成为“真正的安全。”我们问到数百个补丁的安装每年操作系统,应用程序,硬件,固件,计算机,平板电脑,移动设备和手机 -但我们仍然可以砍死把我们最有价值的数据锁起来,然后索取赎金。
大公司认识到,大多数的安全威胁是噪音不要紧。他们明白,在任何特定时间的几个基本的威胁构成了大部分的风险,所以他们专注于这些威胁。以识别您的公司的首要威胁,排名这些威胁,并集中你的大部分上在列表顶部的威胁努力的时间。就这么简单。
大多数公司不会这样做。相反,他们不停地应付数十到数百个安全项目,其中大多数项目要么未完成,要么只针对最轻微的威胁而完成。
想想吧。你有没有被使用矢量于包括SNMP或未打补丁的服务器管理界面卡破解?你甚至看在现实世界中这样的攻击?那你为什么问我,包括他们在我的审计报告的首要任务(因为我是一个客户)?同时,环境被破坏通过其他,更常见的攻击近乎每天的基础。
为了成功地降低风险,探明哪些风险现在需要你的焦点并可以留待以后。
知道你拥有什么
有时,最不性感的东西可以帮助你赢了。在计算机安全,这种方式建立你的组织的系统,软件,数据和设备的准确库存。大多数公司都有一点线索,以什么在他们的环境真的不多。你怎么能甚至开始,以确保你不知道吗?
问问自己,你的团队如何理解正在运行时,公司的PC第一次启动的所有程序和进程。在当今世界,每一个额外的程序给黑客提供另一个攻击面,是所有的东西需要的?该项目的多少份你的环境中有哪些版本是什么人?有多少的关键任务项目,形成公司的中坚力量,他们有什么样的依赖?
最好的公司都在什么地方运行,严格控制。你不能开始这一过程中没有您当前的IT库存的丰富,地图准确。
卸下,然后安全
不需要的程序是不必要的风险。最安全的公司仔细研读他们的IT资源,消除他们并不需要,然后减少后所剩的风险。
我最近为一家公司提供咨询,该公司有超过8万个未打补丁的Java安装,分布在5个版本中。工作人员从来不知道它有这么多Java。域控制器、服务器、工作站——它无处不在。据大家所知,只有一个关键任务程序需要Java,并且只在几十个应用服务器上运行。
他们询问了工作人员,并立即将Java内存缩减到几百台计算机和三个版本,并在大多数机器上完全打上补丁。几十个无法修补的补丁成了真正的工作。他们联系了供应商,以了解为什么Java版本不能更新,在一些情况下更改了供应商,并在未打补丁的Java必须保留的地方实现了抵消风险缓解。
试想一下,在风险和总体工作量的差异。
这不仅适用于软件和硬件的每一个比特,也适用于数据。首先消除不需要的数据,然后保护其余的数据。故意删除是最强的数据安全策略。让每个新的数据收集器定义需要保存它们的数据的时间。在上面注明有效期。当时机到来时,请与所有者联系,看看是否可以删除它。那就把剩下的弄好。
运行最新版本
最好的安全商店熬夜对硬件和软件的最新版本。是的,每个大公司都有老的硬件和软件游逛,但他们的库存是由最新版本还是最新的前一版本(称为N-1在行业)的。
这又不仅是硬件和操作系统,但对于应用程序和工具集也是如此。采购成本不仅包括购买价格和维护,但是将来的更新版本。这些资产的所有者负责让他们更新。
你可能会想,“为什么更新更新的缘故?”但是,这是旧的,不安全的思考。最新的软件和硬件配备了最新的安全功能内置,往往默认打开。到了最后版本的最大威胁是最有可能固定在当前版本中,留下的旧版本的黑客多少多汁希望利用已知漏洞的。
在补丁速度
这是一个很常见的建议,似乎是陈词滥调:在供应商发布补丁后的一周内修补所有关键的漏洞。然而,大多数公司都有数千个未修补的关键漏洞。尽管如此,他们还是会告诉你他们的补丁已经在控制之中。
如果你的公司的时间超过一个星期的补丁,它在妥协的风险增加 - 不仅是因为你已经敞开了大门,但因为你最安全的竞争对手将有已被锁定他们。
据官方统计,你应该在应用之前测试补丁,但是测试是很难和浪费时间。为了实现真正的安全,适用的补丁和快速应用它们。如果需要,再等几天,看任何毛刺是否报告。但经过短暂的等待,应用,应用,应用。
批评者可能会说应用补丁“太快”会导致操作问题。然而,最成功的安全公司告诉我,他们没有看到很多问题,因为补丁。许多人说,他们从来没有因为机构记忆中的一个补丁而发生过停机事件。
教育,教育,教育
教育是至关重要的。不幸的是,大多数公司都将用户培训视为削减成本的好地方,或者即使他们进行了培训,他们的培训也非常过时,充斥着不再适用的场景,或者专注于罕见的攻击。
良好的用户教育集中在公司目前面临或最有可能面临的威胁。教育是由专业人士领导的,或者更好的是,它涉及到同事自己。这是我看过的最有效的视频之一,通过强调一些最受欢迎和受欢迎的员工是如何被欺骗来警告社会工程的尝试。通过分享他们易犯错误的真实故事,这些同事能够训练其他人如何避免成为受害者。这样的举动使得同事们不太愿意报告他们自己潜在的错误。
保安人员也需要跟上时代的安全培训。每一个成员,每一年。无论是把培训,他们或让你的员工参加外部培训和会议。这意味着培训不仅你买的东西,但在最新的威胁和技术,以及。
保持配置一致
最安全的组织有相同角色的计算机之间几乎没有偏差一致的配置。大多数的黑客比聪明更持久。他们只是探头和探测器,寻找在数千台服务器,你忘了修复的一个漏洞。
在这里,一致性是你的朋友。做同样的事情,同样的方式,每次。确保安装的软件是一样的。没有10周的方式连接到服务器。如果安装一个应用程序或程序,确保相同的版本和配置安装在同一个类中的所有其他服务器上。您希望您的计算机孔审阅的对比检查。
这一切都不是可能的,而不配置基线和严格的变更和配置控制。管理员和用户应该教,没有什么被安装或未经事先书面批准记录重新配置。但要注意与满足每月只有一次充满变化委员会挫败你的同事。这是企业瘫痪。查找控制和灵活性的最佳组合,但要确保任何变化,一旦获得批准,是跨计算机一致。和惩罚那些谁不尊重的一致性。
请记住,我们正在谈论的基线,而不是全面的配置。事实上,你可能会得到价值的99%进行了十几个或两个建议。弄清楚您真正需要的设置忘掉其他的吧。但是是一致的。
虔诚地实行最低权限访问控制
“最少特权”是一个安全准则。然而,你很难找到在任何地方实现它的公司。
最小特权包括给予最低限度的权限那些谁需要他们做的一项重要任务。最安全域和访问控制列表已满过于开放权限,很少审计。访问控制列表成长为没有意义的点,没有人愿意谈论它,因为它已经成为公司文化的一部分。
以Active Directory林信任。大多数公司都有他们,他们也可以被设置为选择性认证或完全认证的信任。几乎每一个我在过去10年(千)经审计的信任已经充分验证。当我建议选择身份验证的所有信任,我听到的背面抱怨他们是多么难以实现:“但后来我有接触的每个对象,并告诉该系统明确谁可以访问它!”是的,这就是问题所在。这是最小特权。
访问控制,防火墙,信任 - 最安全的企业时时处处部署最小特权权限。最好有自动化是要求资源的重新验证所有者的权限和访问定期进程。用老板的电子邮件通知,说明资源的名称以及谁有权访问什么,然后被要求确认当前设置。如果业主未能响应后续的电子邮件,资源被删除或与其先前删除的权限和访问控制列表移到别处。
您环境中的每一个对象——网络、VLAN、VM、计算机、文件、文件夹——都应该以同样的方式对待:使用主动审计的最小特权。
获取尽可能接近零,你可以
要做到最糟糕的,坏人寻求高权限的管理员帐户的控制。一旦他们拥有控制权根,域或企业管理员帐户,它的比赛结束了。大多数公司都在保持黑客这些凭据走坏。对此,高度安全的企业通过与这些帐户做掉去的“零管理”。毕竟,如果你自己的管理团队没有超级帐户或不经常使用他们,他们是不太可能被窃取或更容易及时发现并制止,当他们。
在这里,证书卫生的艺术是关键。这意味着使用尽可能少的永久超级管理帐户,目标是使其为零或尽可能接近于零。永久的超级管理帐户应该被高度跟踪、审计,并限制在一些预定义的区域内。您不应该使用广泛使用的超级帐户,特别是作为服务帐户。
但是,如果有人需要一个超级凭证?尝试使用,而不是委托。这可以让你只给足够的权限的特定对象是人需要访问。在现实世界中,很少有管理员需要对所有对象的完全访问权限。这是疯狂的,但它的大部分公司是如何工作的。相反,授予权限来修改一个对象,一个属性,或者在最小型的物件子集。
这种“刚好足够”的方法应该与“刚好及时”访问相结合,将高级访问限制在单个任务或一段时间内。添加位置约束(例如,域管理员只能在域控制器上),你就可以有很强的控制能力。