Минимизация инцидентов безопасности
Одной из наиболее подходящих стратегий, которые вы можете реализовать, является минимизация количества и, конечно же, серьезности инцидентов безопасности. Одна из самых больших проблем, которую я вижу, глядя на инфраструктуру безопасности, заключается в том, что не прилагается больших усилий к возможности того, что проблема вообще может возникнуть. На самом деле, в большинстве случаев, когда я прихожу в организацию, никто особо не задумывается о безопасности. Из-за этого многие проблемы безопасности остаются в тени рассматриваемых сетей. Ваша роль как аналитика по безопасности заключается в том, чтобы действительно рассмотреть эти возможные проблемы и атаковать их в лоб, одну за другой в процессе выявления и устранения, чтобы вы могли фактически свести к минимуму проблемы до того, как они возникнут.
Минимизация инцидентов безопасности
«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».
Упреждающее и реактивное управление безопасностью
Слишком много раз я видел, что это «старая шляпа» — просто решать проблему по мере ее возникновения. Не называя имен (в юридических целях), я связался с предприятием, которое работало только в реактивном режиме… то есть решало проблемы по мере их возникновения. «Реагирование» на проблемы по мере их возникновения никогда ничего не исправит… в итоге вы просто заклеиваете сосущую рану на груди. Вы никогда полностью не узнаете, каковы были первоначальные основные проблемы, и, что еще хуже, у вас никогда не было возможности предотвратить проблемы на перевале. Рассмотрим эти различия:
Попытка решить проблемы до того, как они возникнут, является проактивной. Проактивно (слово, которое вам нужно освоить как аналитику безопасности) — это то, как вы хотите работать каждый день, чтобы устранять проблемы до того, как они возникнут. С точки зрения безопасности это приведет к возможному аудиту ваших систем и созданию плана реагирования на инциденты. Когда вы работаете на опережение, вы можете овладеть искусством минимизации инцидентов безопасности, потому что вы бы видели, как некоторые из них подкрадываются до того, как они произошли (проактивно), вместо того, чтобы просто реагировать на них по мере их возникновения.
Поскольку инциденты на самом деле будут происходить (вы не можете спасти мир!), вам нужно тренироваться, чтобы аккуратно справляться с проблемами и инцидентами. В сети на основе Microsoft (или любой другой сети, если уж на то пошло) вы должны подумать о следующих элементах, которые я называю своим «десятью основными предотвращенными инцидентами». Этот список поможет вам свести к минимуму воздействие, ущерб и стресс от любого инцидента, с которым вы можете столкнуться, когда произойдет инцидент безопасности, а также как с ним справиться, когда он произойдет:
- Создавайте политики, которые написаны и поддерживаются руководством. Это может включать политику безопасности, политику аварийного восстановления, план обеспечения непрерывности бизнеса… все, что вы создаете, должно быть записано, прочитано сотрудниками, поддержано руководством и постоянно обновлено. Без этого вам не хватает основы всех мер безопасности в вашей организации.
- Тестируйте все. Теперь, когда у вас есть планы и политики, они работают? Другими словами, если у вас есть политика аварийного восстановления, в которой говорится об использовании горячего сайта, что ж, вы действительно пробовали это? Есть ли конкретное время, когда вы хотите снова начать работать… и если да, то было ли оно проверено или определено по времени? В большинстве случаев (в 90% случаев) я получаю ответ «нет». Вам нужно сделать это.
- Постоянно проводите аудит и оценивайте свою сеть, системы и персонал. Знаете ли вы, кто получает доступ к вашим системам? Вы знаете, когда они получают доступ к системам? Знаете ли вы, у кого именно есть административные права на всю вашу Active Directory? Кому были делегированы права? Что ж, все это нужно знать. Когда-то, когда я был администратором Novell, я постоянно проверял дерево, чтобы увидеть, у кого есть права опекуна, которые были чрезмерно чрезмерными и ненужными. В большинстве случаев при опросе пользователь, у которого могли быть права, в любом случае даже не нуждался в них. Теперь, взяв те же знания и применив их к службе каталогов Microsoft, это почти то же самое. Вам нужно провести аудит своих систем, чтобы убедиться, что вы контролируете, что люди могут делать в ваших системах.
- Проверьте решение для резервного копирования и восстановления. Вы должны знать, где хранятся резервные копии, кто может получить к ним доступ, а также ваши процедуры восстановления данных и системы. Убедитесь, что вы регулярно проверяете резервные копии и носители, выборочно восстанавливая данные. Если у вас нет поддающихся проверке резервных копий, то зачем вы их вообще делали?
- Внедрите эшелонированную защиту. Если вы думаете, что установка брандмауэра в сети является ключом к успеху в обеспечении безопасности, то вы серьезно ошибаетесь и, возможно, подвергаетесь серьезной опасности. Я думаю, что брандмауэр, вероятно, является одним из самых важных элементов в сети, но далеко не единственным элементом всей головоломки, который вам необходимо учитывать.
- Внедрение решений по управлению изменениями. Необходим полный контроль над вашей сетью и системами. Когда я говорю это, на меня обычно смотрят пустые взгляды, и я быстро теряю друзей… но это нормально. Как аналитик по безопасности, отвечающий за безопасность инфраструктуры предприятий, приготовьтесь прямо сейчас столкнуться с головами и нажить себе врагов. Убедитесь, что каждое изменение в сети задокументировано, и создайте резервную копию с помощью плана возврата. Вы будете удивлены, сколько раз случаются инциденты, связанные с тем, что ваши собственные люди совершают ошибки или что-то скрывают, это случается очень часто.
- Обучение безопасности является ключом к постоянному совершенствованию. Создание программ обучения безопасности как для ИТ-персонала, так и для конечных пользователей имеет важное значение для обеспечения безопасности ваших сетей. Да, есть опасность, когда люди знают больше, чем вы, но в этом и смысл… обучайте своих пользователей и персонал, но также убедитесь, что вы в курсе всего. Некоторые из лучших сотрудников службы безопасности продвинулись по служебной лестнице во всех областях, связанных с сетями, системами, поддержкой и развитием.
- Когда вы полностью заблокированы, проведите независимый аудит. Когда все ваши системы вам по душе, тогда вы вызываете независимого аудитора. (Высшее существо, если хотите). Пригласите команду и проверьте вашу безопасность. Это вершина вашего сервиса для вашей сети и компании… вы знаете, что группа аудиторов безопасности не смогла проникнуть в ваши системы, и вы должны этим гордиться. Если они прошли, это просто означает, что вам есть чему поучиться, и это хорошо.
- Составьте план реагирования на инциденты. Теперь вам нужно создать единый план на случай, когда все развалится. Вы подверглись нападению, и возникла проблема, скажем, вы потеряли файловый сервер из-за того, что злоумышленник взломал систему и удалил ваши жесткие диски. Что теперь? Убедитесь, что у вас есть задокументированный план, доступный нужным людям (вашей команде), когда инцидент действительно произойдет.
- Создайте группу реагирования на инциденты компьютерной безопасности (CSIRT). CSIRT — это группа людей или команда, которую вы создаете с обязанностями по устранению любого инцидента, связанного с безопасностью. Ваша CSIRT должна состоять из членов, чьи обязанности четко определены, чтобы гарантировать, что ни одна область не останется нераскрытой в вашем ответе. Ссылка, которую я предоставил ранее в этой главе, поможет вам создать CSIRT, если вы заинтересованы в ее создании.
При чтении списка первой десятки вы можете начать думать о «других» областях, в которых вы, возможно, захотите сосредоточиться. Это хорошо, потому что это означает, что ваши мыслительные процессы были стимулированы и мотивированы на сетевую безопасность. Другие идеи, о которых вы, возможно, захотите подумать, — это привлечение местных правоохранительных органов к созданию группы реагирования на инциденты для минимизации рисков безопасности. Помните, что вы пытаетесь свести к минимуму возможность угроз безопасности, и наличие правоохранительных органов на вашей стороне (и известность) может удержать злоумышленников от мысли даже попытаться что-то предпринять, особенно при попытке предотвратить внутренние угрозы, которые встречаются чаще, чем внешние.. Когда внутренние пользователи думают, что компания может привлечь к ответственности за ущерб, вы будете удивлены тем, как быстро прекращаются игры и махинации в сети и ее системах. Это также помогает узнать, как работает отдел, поэтому, когда возникает проблема, вы, по крайней мере, «в курсе» политики и процедур отдела, что может значительно ускорить работу.