Quando si effettua una revisione delle regole su un firewall, come si aggiunge credibilità / soddisfazione del cliente alla considerazione finale?

Potresti considerare di utilizzare i risultati di uno strumento di valutazione di firewall di terze parti per darti la forza extra di persuasione.

Nipper è relativamente economico e funziona: link

Nipper [...] perform your own comprehensive security audit of your own network switches, routers and firewalls without requiring any specialist security expertise.

Ci sono molti altri strumenti di valutazione del firewall, ma sono molto costosi.

Guarda i modelli di benchmark disponibili qui il Centro per la sicurezza di Internet . Ad esempio: link
Un sacco di informazioni eccellenti e copia pronta per la scrittura del tuo rapporto.

Nota: Nessus ha molti dei modelli CIS codificati nei file di controllo Nessus in modo da poter eseguire rapidamente una scansione Nessus per confrontare una configurazione del dispositivo con un benchmark CIS.

Non ho mai sentito di aver bisogno di legittimare le mie recensioni di firewall con qualche chiamata a un "potere più alto". Mentre ho avuto clienti tornare con risposte del tipo "Mostrami dove dice che non posso avere l'applicazione di trasferimento su un laptop condiviso utilizzato per le presentazioni webcast", i firewall sono un po 'più facili da giustificare. La regola è: Tutto ciò che non è richiesto legittimamente è un rischio e la tua maggiore spesa per mitigare questo rischio è trascurabile poiché tutto ciò che stai facendo è aggiungere una regola al tuo sistema firewall esistente. Il costo per farlo è inferiore al costo per discutere con me;)

In ogni caso, il traffico imprevisto è una configurazione errata o un compromesso. Se devo giustificare da solo ogni regola senza quel principale, perché tu (come mio cliente) hai un firewall in primo luogo?

Sto iniziando a pensare che cercherò in persone che dovrebbero iniziare con un sistema Fort Knox e rimuovere quello che è troppo costoso per il beneficio piuttosto che iniziare con una chiazza di erba e iniziare a costruire muri come meglio credono . Quando inizio, citerò questa domanda (e avrai un +1 su di essa).

Un approccio che cerco sempre di convincere le persone a utilizzare, poiché è supportato da una vasta gamma di indicazioni e pubblicazioni sulla sicurezza, è quello di iniziare con un firewall senza buchi e convincere l'azienda a giustificare ogni porta .

La loro giustificazione dovrebbe essere "per l'applicazione x, richiediamo la connessione dalla porta di origine y alla porta di destinazione z in uscita" e potrebbe includere una data di revisione, un caso di test ecc. La sicurezza dovrebbe informarli delle implicazioni dei porti ad alto rischio e non consenti loro di richiedere "qualsiasi permesso".

Questo rende quindi il tuo lavoro molto più semplice, quindi rivedi il firewall confrontandolo con l'elenco delle porte aziendali richieste. Eventuali buchi aggiuntivi dovrebbero essere bloccati fino a quando non verrà fornita una giustificazione aziendale e firmata.