Odaklanacak iki büyük alan var:
- İçeri girmek zor.
- Birisinin geçmiş noktaya girme olayını sakin ve verimli bir şekilde ele almak için politikalar ve prosedürler oluşturmak
İçeri girmek zor
Bu çok karmaşık bir konudur ve birçoğu, WTF'den sonra gerçekleştiğini anlamak için yeterli bilgiye sahip olduğunuzdan emin olmaya odaklanmaktadır. Soyut madde işareti basitliği işaret eder:
- Günlükleri tutma (ayrıca bkz. Güvenlik Bilgileri Olay Yönetimi)
- Başarılı ve başarısız olan her türlü yetkilendirme girişimi, tercihen kaynak bilgileri bozulmamış olarak yapılır.
- Güvenlik duvarı erişim günlükleri (kullanılıyorsa, sunucu başına güvenlik duvarlarını içermesi gerekebilir).
- Web sunucusu erişim günlükleri
- Veritabanı sunucusu kimlik doğrulama günlükleri
- Uygulamaya özel kullanım günlükleri
- Mümkünse, SIEM şüpheli kalıplara uyarı verebilir.
- Uygun erişim denetimlerini zorunlu kılın
- Hakların her yerde doğru bir şekilde ayarlandığından emin olun ve mümkün olduğunda 'tembel haklardan' ("oh sadece herkese okuyun") kaçının.
- Prosedürlerin gerçekten takip edildiğinden emin olmak için ACL'lerin periyodik denetimleri ve sorun giderme işlemleri tamamlandıktan sonra geçici sorun giderme adımları ("herkese okumasını sağlayın, çalışıp çalışmadığını görün") doğru şekilde kaldırıldı.
- Tüm güvenlik duvarı geçiş kurallarının gerekçelendirilmesi ve periyodik olarak denetlenmesi gerekir.
- Hem web sunucusu hem de dosya sistemi EKL'leri olan web sunucusu erişim denetimlerinin de denetlenmesi gerekir.
- Değişim yönetimini zorunlu kılın
- Güvenlik ortamında yapılacak herhangi bir değişikliğin birden fazla kişi tarafından merkezi olarak izlenmesi ve gözden geçirilmesi gerekir.
- Yamalar bu sürece dahil edilmelidir.
- Ortak bir işletim sistemi yapısına (şablon) sahip olmak, ortamı basitleştirecek ve değişiklikleri izlemeyi ve uygulamayı kolaylaştıracaktır.
- Konuk hesaplarını devre dışı bırakın.
- Tüm şifrelerin varsayılanlara ayarlanmadığından emin olun.
- Hazır uygulamalar, kullanıcıları önceden tanımlı parolalarla ayarlayabilir. Onları değiştir.
- BT cihazlarının birçoğu çok iyi bilinen kullanıcı / şifre çiftleriyle birlikte gönderilir. Yılda sadece bir kez giriş yapsanız bile bunları değiştirin.
- En az ayrıcalık uygulayın. Kullanıcılara gerçekten ihtiyaç duydukları erişimi verin.
- Yönetici kullanıcılar için iki hesaplı bir kurulum akıllıca olur. E-posta ve diğer ofis görevleri için kullanılan normal hesaplardan biri ve özel çalışmaların yükseltilmesi için ikinci hesap. VM'ler bunu yaşamayı kolaylaştırır.
- Genel yönetici / kök hesaplarının düzenli kullanımını teşvik ETMEYİN, kimin ne zaman ne yaptığını izlemek zordur.
Birinin içeri girme olayını sakin ve verimli bir şekilde ele almak için politikalar ve prosedürler oluşturmak
Bir güvenlik olayı politikası tüm kuruluşlar için zorunludur. İnsanlar, bu gibi olaylarla karşılaştıklarında mantıksız olma eğiliminde olduklarından, "kafalarımız kesilmiş halde koşmak" yanıt aşamasını büyük ölçüde azaltır. Saldırılar büyük, korkutucu işler. Bir saldırıya maruz kaldığında utanç aksi halde düz başlı sistem yöneticilerinin yanlış tepki vermeye başlamasına neden olabilir.
Kuruluşun tüm düzeylerinin politikaların farkında olması gerekir. Olay ne kadar büyük olursa, üst yönetimin bir şekilde katılımı o kadar olasıdır ve bir şeyleri ele almak için belirlenmiş prosedürlere sahip olmak, "yardım" ı yüksek seviyeden atmaya büyük ölçüde yardımcı olacaktır. Ayrıca, olay yönetimine doğrudan katılan teknisyenler için, orta yönetimin kuruluşun geri kalanıyla arayüz oluşturma prosedürleri şeklinde bir kapsam sunar.
İdeal olarak, Afet Kurtarma politikası zaten belli hizmetlerinde DR politikası tekmeler önce kullanım dışı olabilir ne kadar tanımlamıştır. Olayların bu tür gibi bu olay tepkisini yardımcı olacaktır vardır afetler. Olay, kurtarma penceresinin karşılanmayacağı bir türdeyse (örnek: etkin yedek DR sitesi, değiştirilen verilerin gerçek zamanlı beslemesini alır ve davetsiz misafirler DR sitesine çoğaltılmadan önce bir grup veri siler Bu nedenle, soğuk kurtarma prosedürlerinin kullanılması gerekecektir), o zaman üst yönetimin risk değerlendirme görüşmelerine dahil edilmesi gerekecektir.
Herhangi bir olay müdahale planının bazı bileşenleri:
- Güvenliği ihlal edilmiş sistemleri ve açıkta kalan verileri belirleyin.
- Nihai kovuşturma için yasal delillerin saklanmasının gerekip gerekmediğine erken karar verin.
- Eğer kanıtlar saklanacaksa , kesinlikle gerekli olmadıkça bu sistemle ilgili hiçbir şeye dokunmayın . Oturum açmayın. Günlük dosyaları arasında gezinmeyin. Yapmak. Değil. Dokunma.
- Delil muhafaza edilecekse, güvenli olmayan sistemler bırakılmaması gerekir çevrimiçi ama kopuk sertifikalı bilgisayar adli tıp uzmanı kanıt taşıma kuralları ile uyumlu bir şekilde sisteme teşrih gibi bu zamana kadar.
- Güvenliği ihlal edilmiş bir sistemin kapatılması verileri bozabilir.
- Depolama sisteminiz buna izin veriyorsa (ayrık SAN cihazı), bağlantıyı kesmeden önce etkilenen LUN'ların anlık görüntüsünü alın ve salt okunur olarak işaretleyin.
- Kanıt işleme kuralları karmaşıktır ve çok kolay vidalanır. Onlarla ilgili eğitim almadıkça yapmayın. Çoğu genel SysAdmins'in bu tür bir eğitimi YOKTUR.
- Kanıtlar saklanıyorsa, hizmet kaybını bir donanım kaybı felaketi olarak kabul edin ve yeni donanımlarla kurtarma işlemlerine başlayın.
- Ne tür afetler için önceden belirlenmiş kurallar, ne tür bildirimler gerektirir. Yasalar ve düzenlemeler bölgeye göre değişir.
- 'Maruz kalma' ve 'kanıtlanmış uzlaşma' ile ilgili kurallar değişiklik gösterir.
- Bildirim kuralları İletişim departmanının katılmasını gerektirecektir.
- Gerekli bildirim yeterince büyükse, üst düzey yönetimin dahil edilmesi gerekecektir.
- DR verilerini kullanarak, hizmeti tekrar çevrimiçi duruma getirmeden önce ne kadar "WTF oldu" zamanının harcanabileceğini belirleyin.
- Hizmet kurtarma süreleri, tabi olanların ne olduğunu anlama işini gerektirebilir. Eğer öyleyse, hizmetler geri yüklendikten sonra diseksiyon için etkilenen cihazın bir sürücü görüntüsünü alın (bu bir delil kopyası değildir, tekniklerin mühendisleri tersine çevirmesi içindir).
- Hizmet kurtarma görevlerinizi yalnızca karışıklığı temizlemekle kalmayıp, etkilenen sistemin tamamen yeniden oluşturulmasını içerecek şekilde planlayın.
- Bazı durumlarda servis kurtarma süreleri, bir uzlaşma oluştuktan ve yasal kanıtların saklanmayacağını belirledikten hemen sonra disk görüntülerinin alınması gerektiği kadar sıkıdır. Hizmet yeniden kurulduktan sonra, ne olduğunu bulma işi başlayabilir.
- Saldırganın nasıl içeri girdiğine ve bir kez içeri girdiklerine ilişkin bilgiler için günlük dosyalarını gözden geçirin.
- İçeri nasıl girdiklerine ve girdikten sonra ne yaptıklarına ilişkin bilgi için değiştirilmiş dosyaları gözden geçirin.
- Nereden geldikleri, nereye veri gönderdikleri ve ne kadarının gönderildiği hakkında bilgi için güvenlik duvarı günlüklerini gözden geçirin.
Bir uzlaşma öncesinde politikalar ve prosedürler uygulamak ve bir uzlaşma durumunda bunları uygulayacak insanlar tarafından iyi bilinmek, yapılması gereken bir şeydir. İnsanların düz düşünmeyeceği bir zamanda herkese bir yanıt çerçevesi sağlar. Üst yönetim, davalar ve cezai suçlamalar hakkında şimşek çakabilir, ancak aslında bir vakayı bir araya getirmek pahalı bir süreçtir ve önceden öfkeyi hafifletmeye yardımcı olabileceğini bilmek.
Ayrıca bu tür olayların genel Afet Müdahale planına dahil edilmesi gerektiğini de not ediyorum. Bir uzlaşma, 'kayıp donanım' yanıt politikasını tetikleyecek ve ayrıca 'veri kaybı' yanıtını tetikleyecektir. Hizmet kurtarma sürelerinizin bilinmesi, güvenlik yanıt ekibinin hizmet kurtarma işlemine gerek duyulmadan önce gerçek güvenliği ihlal edilmiş sistemden (yasal kanıt tutmuyorsa) ne kadar süre kalması gerektiğine ilişkin beklentinin belirlenmesine yardımcı olur.