高度安全的公司有效的IT安全习惯

以前 12 第二页

注：它并不总是需要一个超级管理员帐户是全能的。例如，在Windows中，具有单个特权 - 像调试，充当操作系统的一部分，或备份 - 是足够熟练的攻击者是非常危险的。对待像高架提升账户的权限尽可能。

授权——及时、恰到好处、恰到好处——还能帮你赶走坏人，因为他们不太可能知道这个政策。如果您看到一个超级帐户在网络中移动，或者在错误的地方使用它的特权，您的安全团队将会对它进行全面检查。

研究所基于角色的配置

最少的特权也适用于人和计算机，这意味着您环境中的所有对象都应该具有与其所执行的角色对应的配置。在一个完美的世界里，他们只有在执行某项任务的时候才能接触到它，而不是在其他情况下。

首先，你应该调查需要在每个应用程序的各项任务，凝聚经常执行的任务到尽可能少的工作角色越好，然后分配这些角色所必需的用户帐户。这将导致每个用户帐户和个人被分配仅需要执行他们的任务允许的权限。

应该将基于角色的访问控制(RBAC)应用于每台计算机，使具有相同角色的每台计算机具有相同的安全配置。没有专门的软件，实践应用程序绑定的RBAC是困难的。使用现有的OS工具更容易完成基于操作系统和网络RBAC的任务，但是使用第三方RBAC管理工具也可以使这些任务变得更容易。

在未来，所有的访问控制都将是RBAC。这是有意义的，因为RBAC是最小特权和零管理的体现。最安全的公司已经在力所能及的地方实施了。

单独的,分开,分开

良好的安全领域卫生是另一个关键。安全域是一个(逻辑)隔离，其中一个或多个安全凭据可以访问域内的对象。从理论上讲，没有事先的协议或访问控制更改，不能使用相同的安全凭据访问两个安全域。例如，防火墙是最简单的安全域。一方的人员无法轻易到达另一方，除非通过预定义规则确定的协议、端口等。大多数网站都是安全域，就像大多数公司网络一样，尽管它们可能而且应该包含多个安全域。

每个安全域应该有自己的名称空间、访问控制、权限、特权、角色等等，这些应该只在该名称空间中工作。确定应该拥有多少安全域可能比较棘手。在这里，您应该以最低权限的思想为指导，但是让每台计算机都成为自己的安全域可能是一场管理噩梦。关键是要问问自己，如果访问控制失效，允许入侵者对给定区域拥有全部访问权限，您可以承受多大的损失。如果你不想因为别人的错误而摔倒，可以考虑建立自己的安全域。

如果需要在安全域之间进行通信(如林信任)，则在域之间提供尽可能少的权限访问。“外国”账户应该几乎没有访问权限，除了他们需要的少数应用程序和这些应用程序中的基于角色的任务之外。安全域中的其他所有内容都应该是不可访问的。

强调智能监控和及时反应

绝大多数黑客行为实际上是通过事件日志捕获的，直到事件发生后才会有人去查看这些日志。最安全的公司会积极、全面地监控特定异常情况，设置警报并对其做出反应。

最后一部分很重要。良好的监控环境不会生成太多警报。在大多数环境中，启用事件日志记录后，每天会生成数十万到数十亿个事件。并非每个事件都是警报，但定义不当的环境将生成数百至数千个潜在警报——数量之多最终会成为每个人都忽略的噪音。过去几年来一些最大的黑客攻击都涉及到被忽略的警报。这是监测环境设计不良的标志。

最安全的公司会创建一个比较矩阵，其中包含他们拥有的所有日志源以及他们所关注的内容。他们将这个矩阵与他们的威胁列表进行比较，匹配可以通过当前日志或配置检测到的每个威胁的任务。然后，他们调整事件日志以尽可能多地缩小差距。

更重要的是，当警报生成时，它们会做出响应。当我被告知一个团队正在监视一个特定的威胁(比如密码猜测)时，我会尝试在稍后启动一个警报，以查看是否生成了警报并有人响应。大多数时候他们不会。安全公司会让人们在接到警报时从座位上跳起来，询问其他人发生了什么事。

从一开始就实践责任和所有权

每个对象和应用应该有谁控制它的使用，是其存在的责任（所有者或组）的所有者。

您典型的公司中的大多数对象都没有所有者，并且它不能指向最初请求资源的人，更不用说知道是否仍然需要它了。事实上，在大多数公司，已经创建的群组数量比活跃用户账户的数量还要多。换句话说，它可以为每个人分配他或她自己的个人定制组，这样公司需要管理的组就会比他们当前拥有的少。

不过，没有人知道任何给定的组是否可以被删除。他们生活在恐惧中删除任何一组。毕竟，如果需要什么组的重要作用，并删除其在不经意间带来了下来依赖任务功能？

另一个常见的例子是，在成功入侵之后，公司需要重置环境中的所有密码。但是，无论您是否愿意，您都不能这样做，因为有些是附加到应用程序的服务帐户，并且需要在应用程序内部和服务帐户的密码都要更改(如果可以更改的话)。

但是，没有人知道是否有任何给定的应用程序正在使用，它是否需要一个服务帐户，或者是否可以更改密码，因为在一开始没有建立所有权和责任，也没有人可以询问。最后，这意味着应用程序不会受到影响，因为您更有可能因为造成严重的操作中断而被解雇，而不是让黑客呆在那里。

优先快速决策

大多数公司都受到分析瘫痪的阻碍。缺乏一致性、责任感和所有权使得每个人都害怕做出改变。当涉及到it安全时，快速行动的能力是至关重要的。

最安全的公司会在控制和快速决策能力之间建立强有力的平衡，并将其作为企业文化的一部分加以推广。我甚至看到过专门的、手工选择的项目经理被放在长时间运行的项目上，只是为了完成项目。这些特殊的项目经理被赋予了适度的预算控制，事后记录变更的能力，以及在过程中犯错误的余地。

最后一部分是快速行动的关键。在安全方面，我非常喜欢“做出决定，任何决定，如果需要我们会道歉”的方法。

相比之下，与典型的公司，大多数问题都审议死亡，使他们没有得到解决时，谁推荐一个修复安全顾问叫来明年再来。

玩得开心

同志情谊不容忽视。你会惊讶于有多少公司认为做正确的事情意味着缺乏自由和乐趣。对他们来说，同事之间的仇恨，一定表明安全专家做得不错。没有什么比这更偏离事实的了。当你拥有一个高效的安全商店时，你就不会承受不断重建计算机和服务器的压力。你不会因为想知道下一次成功的电脑黑客什么时候到来而感到紧张。你不用太担心，因为你知道情况在你的控制之下。

我并不是说，在最安全的公司工作是一件轻而易举的事。但总的来说，他们似乎有更多的乐趣和喜欢对方超过其他公司。

得到它

高安全性公司的上述共同特征可能看起来是常识性的，甚至在某些地方存在已久，比如快速补丁和安全配置。但是不要自满于你对安全实践的了解。成功获得企业“皇冠上的宝石”的企业与那些遭遇违约的企业的区别在于两个主要特征:专注于正确的要素，以及灌输一种无处不在的文化，即做正确的事情，而不是空谈。秘诀就在这篇文章里。现在轮到您卷起袖子执行了。

祝你好运，好好战斗吧!

相关文章

• 深潜水:你被砍死11个确定标志 - 以及如何反击
• 深潜水:如何重新思考安全IT的新的世界
• 一种免费的、几乎是万无一失的检查恶意软件的方法
• 十大理由为何网络钓鱼攻击比以往厉害
• 往垃圾箱10项安全技术
• 保持偏执:10个可怕的极端技巧
• 安全专家必须学会接受严酷的事实
• 员工行为不检点的7个警告信号
• 10次​​安全失误，将让你被炒鱿鱼
• 今天最狡猾的黑客使用的偷袭
• 白帽黑客的真实故事(主要是)
• 14个脏IT技巧，安全专家版
• 关于最可怕的安全威胁的6个教训
• 它是9大安全威胁
• 9个流行的IT安全实践只是不工作
• 10个疯狂的IT安全技巧真的有用

这个故事，“高度安全的公司的有效IT安全习惯”最初是由信息世界 。