Cosa aggiungere a una lista di controllo di sicurezza ripetuta?

7

Lavoro in un'azienda di piccole dimensioni (100-200 computer e una manciata di server) e sto cercando di trovare una lista di cose da controllare regolarmente, ad esempio settimanali, mensili, ecc. Usiamo Windows server e note Lotus. Attualmente ho: controlla i registri, controlla gli utenti in Active Directory e le Note che non funzionano più qui, controlla i diritti di amministratore e controlla i buchi nel firewall. Ho delle conoscenze di base sulla sicurezza, quindi dove dovrei cercare di ripulire i buchi di sicurezza e controllare i segni di un attacco inosservato?

    
posta Mobojo 18.08.2011 - 22:53
fonte

2 risposte

5

checklist of things to check at a regular basis, such as weekly, monthly,

Controlla i tuoi backup! Questo è un compito spesso trascurato, ma i backup sono fondamentali per l'integrità e la disponibilità. Il modo migliore per recuperare da alcuni compromessi è quello di ripristinare dal backup. Usa i tuoi backup per eseguire ripristini su computer reali. Meno frequentemente utilizzare i backup per ripristinare il backup effettivo delle macchine. Se si dispone di backup offsite, testarli periodicamente. La frequenza di ciascun test di backup dipende dalle risorse e dalle esigenze di recupero.

check logs

Non dimenticare di controllare i log per le tue stampanti, coppiers e altri dispositivi collegati alla rete. Se si utilizzano le key card per l'accesso fisico, controllare anche tali registri.

check for users in AD and Notes that no longer work here

È buono da controllare, ma dovresti anche avere una procedura che quando un utente non ha più bisogno di accesso (contratto completato, non più impiegato, ecc.), o l'ufficio responsabile ti avvisa immediatamente. Il controllo dovrebbe comportare un confronto e una sincronizzazione con il database delle risorse umane.

check admin rights

Controlla anche tutte le modifiche apportate dagli utenti con diritti amministrativi.

check for holes in the firewall.

Effettua anche analisi del traffico e confronta con una previsione.

clean up security holes

La buona pratica per prevenire lo sfruttamento dei vulnerabilità di sicurezza è di rimanere aggiornati sui prodotti che usi.

SANS ha un ottimo blog link

US-CERT link

Rapporto Microsoft Security Intelligence link

Forum sulla sicurezza di Microsoft Windows Server link

Manuale di Lotus Security link

check for signs of an unnoticed attack?

Un approccio semplice consiste nel misurare il tuo sistema (computer, rete e dispositivi) in uno stato pulito (sicuro). Esegui semplici statistiche sul monitoraggio del traffico e sull'utilizzo, quindi valuta periodicamente e automaticamente il sistema corrente e confrontalo con la tua linea di base. Un approccio più proattivo consiste nell'utilizzare Intrusion Detection System (IDS) e Intrusion Prevention System (IPS).

    
risposta data 19.08.2011 - 10:24
fonte
10

La checklist di Windows Intruder Detection del CERT è un buon inizio.

This document outlines suggested steps for determining whether your Windows system has been compromised. System administrators can use this information to look for several types of break-ins. We also encourage you to review all sections of this document and modify your systems to address potential weaknesses.

Indica in particolare che i registri, sebbene utili, non sono affidabili per rilevare l'intrusione.

Proactive auditing and monitoring are essential steps in intrusion detection. It is ineffective to audit altered data or compromised systems -- their logs are unreliable. Establish a baseline for what you consider normal activity for your environment so you can determine unusual events and respond appropriately. See section C16 of this document for more information on audit settings and events useful to detect successful attacks or attacks in progress.

A livello generale, la loro lista di controllo è

  1. A Word on Rootkits
  2. Examine Log Files
  3. Check for Odd User Accounts and Groups
  4. Check All Groups for Unexpected User Membership
  5. Look for Unauthorized User Rights
  6. Check for Unauthorized Applications Starting Automatically
  7. Check Your System Binaries for Alterations
  8. Check Your Network Configurations for Unauthorized Entries
  9. Check for Unauthorized Shares
  10. Check for Any Jobs Scheduled to Run
  11. Check for Unauthorized Processes
  12. Look Throughout the System for Unusual or Hidden Files
  13. Check for Altered Permissions on Files or Registry Keys
  14. Check for Changes in User or Computer Policies
  15. Ensure the System has not been Joined to a Different Domain
  16. Audit for Intrusion Detection
    
risposta data 19.08.2011 - 03:41
fonte

Leggi altre domande sui tag