我发现很多关于审计和网络安全的出版材料都是针对经验丰富的专业人士的. 事实上,这并没有错, 大多数人在他们的职业生涯中已经有足够的时间阅读关于审计或网络安全的文章或博客文章,他们可能会理解这些材料,并将其应用到现实世界中.
对于新晋的IT审计员或网络安全从业者, 然而, 信息量会让人感觉巨大. 从学习框架, 最佳实践, 专业组织(如ISACA), 创建审核程序, 理解行业术语, 学习供应商工具, 这对任何人来说都是相当大的挑战. 经常, 您会看到类似“物理安全”这样的常见短语,网络安全,“减少你的攻击面。,“加固你的系统”和“保护你的端点”.“为了解释和标记概念,这些都是必要的广义术语, 但是,在更细粒度的级别上,“保护端点”意味着什么,则留给他们自己的设备.
让我们来改变这一点,看看您可以添加到下一个审计或检查表中的一些特定控制,以改进您的安全状态. 毕竟,IT审计的核心是控制. 你可能已经熟悉控件类别了,但只是刷新一下, ISACA将它们描述为:
- 行政 ——规则, 有关运作效率的程序和惯例, 效率和遵守法规和管理政策.
- 侦探 -检测和报告错误,遗漏和未经授权的使用或输入
- 预防 -用于避免不良事件发生的内部控制, 澳门赌场官方下载确定的错误和其他事件可能对过程或最终产品产生负面的实质性影响
- 纠正 -旨在纠正错误,遗漏和未经授权的使用和入侵一旦发现
在现实中, 像“保护您的端点”这样简单的事情并不意味着使用防病毒程序并就此收工. 相反,它是审查多个控制并确保它们按照您组织的风险偏好标准实现的组合. 虽然下面的列表并不是一个全面的指导指南, 我包含了一些可能不太常见的控件,以便在审计或修复时考虑. 我希望它能激发你的思维,让你的思维从宽泛到细致,并强化控制的概念.
任务:保护您的端点
- 地方政策
这种行政控制通过指导和阻止疏忽使用创造了问责制. 不能指望人们遵守不存在的规则. 找出它们是否存在.
- 地方行政权限
这种预防性控制可能是您可以在端点上审计和实现的最佳控制. 如果有人下载了恶意文件,此操作通常会阻止文件执行,并且可以限制攻击者在获得对该设备的访问权限时所能做的事情. - 加密
这对手机设备尤其重要,对笔记本电脑和平板电脑也同样重要. 与未加密的设备相比,如果它丢失或被盗,这种预防性控制可以让您安心. - 安装了恶意软件或防病毒软件
这是一种典型的预防控制. 你可能一辈子都听说过杀毒软件的必要性, 甚至在成为该领域的专业人士之前. 该软件可以帮助停止和/或报告发生的不良事件. - 软件和操作系统更新
如果存在详细说明如何操作的政策, 何时更新,更新什么内容, 这既可以是行政控制,也可以是预防控制. 如果设备没有更新最新的安全更新,会发生什么? 你这是在敞开大门. 可以操纵未修补的漏洞以允许特权升级. 简单地说,威胁行为者可以从未打补丁的软件中获得进入和管理权限. - SIEM实现
此检测控件监视端点(以及其他事项),并向组织发出各种不良事件的警报. 例如,当有人试图暴力登录尝试或在设备上执行不受欢迎的进程时, 它可以让你的网络安全团队做出反应.
任务:保护你的网络
- 修补防火墙
这种预防性控制有助于防止入侵者进入您的网络, 但它需要安装在已选择的最新固件版本上,以保持其受保护. 即使你不是技术人员, 让你的IT团队给你发送防火墙版本的截图,并将其与制造商的最新补丁信息进行比较. - 网络市场细分
分段是一种预防性控制,可以帮助减少威胁行为者通过将其隔离到网络的特定部分而造成的损害. 这使得网络内的横向移动变得困难或不可能. 在基本术语中,威胁行为者被限制在网络中的特定位置. - 强密码
强密码是一种预防性控制,是安全性的基本组成部分. 你可能认为每个人都使用强密码,但事实并非如此. 组织是否有密码政策? 它遵守它们吗? 该政策与被广泛接受的标准(如NIST)有多远? - 多因素认证(MFA)
MFA是一种强有力的预防性控制措施,应尽可能多地使用, 尤其是在云环境中. 请求MFA被广泛启用的证据, 或者至少是启用的, 为了获取敏感材料. - 活动目录锁定
这种预防性控制可能有点棘手. 还有其他缓解措施,可以允许在锁定之前进行不同次数的登录尝试,但似乎没有可接受的标准. 我个人在审计期间观察到以下情况:活动目录锁定设置为数百. 为什么? 通用共享帐户正在域范围内使用, 这是一种防止多个同时账户被锁定的方法. 这就产生了问责问题, 这也意味着有人可以尝试暴力破解多个提升账户,而不被发现. - 一般账户
如上所述,通用账户造成了问责问题. 如果这个帐户碰巧也有本地管理特权,那将是一场灾难. 从一个拥有足够技术知识的好奇员工到一个真正的恶意威胁者, 你有一个需要弥补的缺口.
任务:保护数据
- 及时终止政策
一项重要的管理控制是制定一项政策,概述因某种原因离开组织的员工的流程. 此控制所涵盖的此过程对于保护您免受数据泄露,甚至可能违反HIPAA等规定非常重要. 如果某人通常在电子邮件报告中收到涵盖的数据并被终止, 当他们不再有业务需求时,他们还在接收数据吗? - 邮件转发规则
我很少看到审计的一个预防性控制是邮件转发规则. 是否允许员工创建邮件重定向规则到他们的个人电子邮件? 结果是什么数据正在离开组织? 主要包含规范数据的未加密文档? 商业秘密? - USB设备
一个真正恶意的威胁行为者可以欺骗设备作为输入设备,在情况下绕过USB阻塞,但需要物理访问. 通过实施这种预防控制和禁用USB访问存储设备, 组织可以让心怀不满或疏忽的普通员工更难将数据转移到USB驱动器或向环境引入病毒等威胁. - 备份和灾难恢复
数据备份是一种纠正控制,可以在需要时访问数据,从而保护数据. 在勒索软件时代,这是必须的. 通过屏幕截图或日志询问备份和成功测试恢复的证据. 确定是否保留了某种类型的异地备份副本. - 提升的特权和分离的管理帐户
这是一个管理控制,详细说明了应该如何确定访问. 遵循最小特权原则, 偶尔需要管理权限的系统管理员和其他员工应该只在必要时使用它们. 注意那些为了让工作更方便而几乎全天都登录高级权限账户的员工. 他们也可以点击精心设计的网络钓鱼邮件.
我希望这能帮助您在下次审计或修复时从笼统的口头禅转向一些实际的细节. 如果你想进一步讨论,你可以通过 rickyhmltn@outlook.com or 在LinkedIn上联系我.