Il problema principale è che questi strumenti inducono comportamenti sospetti (attività di rete sospette, file sospetti, comportamento di processo sospetto, ecc.). Dal punto di vista del monitoraggio della rete, in che modo rileveresti in modo affidabile un attaccante effettivo se la sua attività si fonde semplicemente con il rumore di fondo di "sospetto comportamento" normale sulla rete e sui sistemi?
Fornire lo strumento giusto per le persone giuste per svolgere il proprio lavoro rimane ancora possibile, ma ciò richiede una chiara definizione degli strumenti coinvolti, delle persone e del lavoro in modo che tutti possano essere d'accordo su quale sia il comportamento normale e previsto.
Questo è chiamato un criterio.
Tale politica coprirebbe quindi domini come:
-
Gli strumenti : hai davvero bisogno di consentire al tuo sviluppatore e architetto di scaricare qualsiasi cosa da qualsiasi luogo da Internet? Certamente no. Puoi costituire un elenco di software di sicurezza approvato scaricato da una fonte attendibile, la cui autenticità è stata attentamente verificata e resa disponibile internamente alle persone che ne hanno realmente bisogno.
-
Le persone : invece di aprire buchi nel proxy aziendale, disporre di un set specifico di strumenti condivisi internamente da una singola posizione può consentire un maggiore controllo sull'accesso a questi strumenti. La politica può descrivere il processo che dovrebbe essere seguito quando qualcuno vuole accedere a questo repository: chi deve contattare, quali informazioni deve fornire, quale motivo sarebbe considerato legittimo.
-
Il lavoro : i tuoi sviluppatori e architetti autorizzati hanno davvero bisogno di scansionare o hackerare qualsiasi cosa, in qualsiasi momento? Qui di nuovo, certamente no. Sarai quindi in grado di decidere da e verso quali macchine possono verificarsi gli scenari di attacco, potresti addirittura pianificare un tipo di rete confinata dedicata a tale utilizzo per garantire che la rete e il sistema esterni non siano interessati.