ИТ-администраторы и аудиторы безопасности

Опубликовано: 7 Апреля, 2023

Введение

Недавно я работал с компанией над ежегодным аудитом серверов Windows и Active Directory. Эта компания не уникальна среди компаний, с которыми я работаю, скорее, они отражают общие проблемы, возникающие во время ежегодного аудита. Мне еще предстоит понять эгоизм ИТ-администраторов, когда дело доходит до аудита. Хотя, с другой стороны, я также не понимаю недостатка усилий, которые аудиторы хотят приложить для полного понимания того, что они одитируют, а также широты охвата, который они должны одитировать. Эта статья не предназначена для того, чтобы открыть глаза обеим организациям в надежде, что каждая из них будет более сердечной и понимающей во время аудита, чтобы организация могла лучше защититься в случае атаки на вычислительную среду.

Работайте друг с другом

Во-первых, администраторы и аудиторы должны стать командой, а не наоборот. Мы все понимаем спортивные аналогии, и я думаю, что использование простой спортивной аналогии является ключевым моментом. Рассмотрим футбольную команду — каждая футбольная команда состоит из оборонительных и наступательных ролей. Нападение предназначено для стратегической атаки защиты, чтобы забить тачдаун. Нападение должно иметь арсенал игр, позиций, ролей и оружия для достижения своей цели. Точно так же администраторы в организации являются правонарушителями. Большинство ИТ-отделов состоят из разных администраторов с разными специальностями и опытом. Например, это могут быть следующие ИТ-администраторы:

  • Активный каталог
  • Обмен
  • IIS/Интернет
  • Настольные компьютеры
  • Безопасность
  • Сиско
  • Юникс/Линукс
  • Брандмауэр/защита периметра

Без ведома каждого сеть не будет правильно администрироваться. Если возникнет проблема с Exchange, в атаке появится брешь в том, чтобы гарантировать, что у пользователей есть все, что им нужно. Точно так же, как если бы у вас не было тайт-энда в нападении, это было бы огромной дырой в вашей наступательной атаке.

Аудиторы — это защита, как защита вашей футбольной команды. Защита предназначена для защиты от всех атак и уязвимостей в вашей защите вашей цели. Защита предназначена для защиты, подобно тому, для чего предназначены одиторы.

Конечно, аудиторы защищаются от того, что контролируют администраторы. Однако ключевая стратегия остается прежней. Цель администраторов не в обеспечении безопасности, а в обеспечении доступности вещей. Аудиторы предназначены не для обеспечения доступности вещей, а для обеспечения безопасности настроек в случае атаки.

В конце концов, нападение может расстроиться из-за защиты, если защита не защитит ворота. Нет ничего более разочаровывающего в том, что нападение футбольной команды набрало 35 очков, но проиграло со счетом 35-42! Точно так же, когда защита имеет 3 перехвата и ограничивает нападение соперника только 3 очками, а нападение вашей команды даже не может набрать больше 3 очков, это расстраивает.

Не будь трудным

Мораль приведенной выше аналогии заключается в том, что каждый должен хорошо выполнять свою работу, а также понимать роль других товарищей по команде. Проверки будут! Аудиты должны происходить. Поверьте мне, я видел одни из самых отвратительных конфигураций безопасности в сетях!

Поэтому поймите, что они идут, и работайте в рамках правил взаимодействия. Трудно пытаться стать препятствием на пути к успеху — это все равно, что скрывать игру квотербека только для того, чтобы попытаться доказать, что вы можете показать, что он идиот! Вы должны держать его в руках, чтобы убедиться, что он может набрать больше очков.

В качестве примеров с обеих сторон баррикад посмотрите на следующие ситуации:

Аудитор, будучи трудным:

  • Инфраструктура Active Directory включает 100 организационных единиц (OU). Аудитор знает, что делегирование может нарушить безопасность, так что неправильное делегирование может дать большую власть над некоторыми объектами в AD. Вместо того, чтобы аудитор исследовал структуру OU и содержимое OU, аудитор запрашивает ACL безопасности для каждой OU!

Админ сложный:

  • Аудитор запросил 15 различных отчетов. Одитор поместил все команды в электронную таблицу, чтобы детализировать широту того, что должно быть сгенерировано. Администратор создает отчеты, но в электронном письме говорится, что команды должны быть предоставлены в файле блокнота, чтобы администратор мог просто скопировать и вставить команды из файла в приглашение CMD, чтобы упростить создание!

Будь умным

Большинство администраторов и аудиторов были вокруг блока. Если это ваш первый аудит, все знают, что «должно» быть сделано и как выполнить поставленные задачи. Генерация дополнительной информации без причины — пустая трата времени. Генерация неверной информации, чтобы доказать, что она была запрошена неправильно, также является пустой тратой времени. Просто работайте вместе как одна команда, и аудит будет завершен быстрее и эффективнее.

Поэтому, как одитор, знайте, о чем вы просите, и будьте точны, когда это возможно. Например, запрашивая информацию у AD, не запрашивайте ее более чем у одного контроллера домена на домен.

Как администратор, не наказывайте аудитора за то, что он не запрашивает информацию со 100% точностью. Создание отчета с неверной информацией приведет к тому, что вы создадите второй отчет с правильной информацией. Например, если аудитор опускает тот факт, что предоставленная команда не включает переключатель для сбора информации для более чем 10 000 объектов, просто добавьте переключатель для включения всех объектов, поскольку вы знаете, что это то, что нужно аудитору для выполнения своей рабочей задачи..

Быть гибким

Аудит редко «возлагается» на администратора. Администраторы полностью осведомлены о предстоящем аудите и могут планировать работу, которую необходимо выполнить. Таким образом, администраторы должны планировать время для создания отчетов, необходимых для завершения аудита. Для этого потребуются гибкие графики и время для работы с аудиторами, чтобы гарантировать получение правильной информации.

Аудиторы должны понимать, что администраторы — занятые люди. Администраторы делают больше, чем ждут возникновения проблем. Администраторы постоянно работают над новыми проектами, оптимизируя системы, оценивая производительность систем и т. д. Не оставляя без внимания ежедневное администрирование систем, пользователей, групп, ресурсов и т. д. Аудиторы должны следить за тем, чтобы все администраторы знали, какова область аудита, насколько подробным будет аудит, и временными рамками, которые аудитор должен провести для завершения аудита.

Резюме

В конце концов, нам нужно работать всем вместе. Я работаю как с администраторами, так и с аудиторами. Я нахожу, что оба очень мелочны, когда дело доходит до их жалоб. Каждому нравится проявлять свои знания, власть и контроль над аудитом. Вместо этого оба должны понимать, что работа выполняется для компании, а не для их собственной выгоды. Компания получает выгоду, а это означает более высокие рейзы, если аудит проходит гладко, в рамках бюджета, и в результате системы защищены лучше. Никто не хочет, чтобы их компания попала на первую полосу Wall Street Journal из-за нарушения безопасности!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023