Rilevazione e rilevamento degli incidenti di sicurezza aziendali

6

Ho una comprensione e un'esperienza decenti con la messa in sicurezza e la creazione di reti più piccole, anche se assolutamente nessuna esperienza aziendale. Capisco che su così vasta scala ci sono diverse tecnologie per gestire il semplice numero di macchine e la complicata topologia.

Quali tecnologie di sicurezza sono uniche per gli ambienti aziendali? I firewall non contano poiché sono prevalenti anche negli ambienti non aziendali.

A occhio e croce penso che ci sarebbe un monitoraggio maggiore e una registrazione aggregata che potrebbe essere centralizzata, forse un modo per isolare rapidamente le macchine compromesse dal resto della rete (al volo vlans?) ... che altro? / p>

Non sto chiedendo versioni più sofisticate della tecnologia, come ovviamente un firewall aziendale con più funzioni / funzionalità di uno per una piccola azienda.

Ho dato un'occhiata a dispositivi come Cisco MARS e ArcSight ... che sembrano fare aggregazione dei registri centralizzata e previsione dei rapporti ... sono questi gli unici esempi di tecnologie specifiche per gli ambienti aziendali?

Quante informazioni aggiuntive avrebbero gli amministratori a disposizione da tali tecnologie esclusive, rispetto a quelle standard di registrazione e strumenti di reporting.

    
posta Sonny Ordell 05.06.2011 - 17:01
fonte

2 risposte

1

What security technologies are unique to enterprise environments? Firewalls would not count as they are prevalent in non enterprise environments as well.

Non c'è nulla che sia "unico" per un ambiente aziendale. Esistono vari livelli e alcuni "ostacoli" al software che vengono implementati al di fuori di questi ambienti (costo I.E), ma ciò non significa che non lo vedrete accadere.

I am not asking about more sophisticated versions of technology, as obviously an enterprise firewall with have more features/functionality than one for a small business.

Questo è davvero ciò che una soluzione 'enterprise' è ... una versione più sofisticata della tecnologia utilizzata a livello consumer.

Dai un'occhiata a cose come lo spiceworks, che gestisce la gestione della rete, e poi i sistemi di rilevamento delle intrusioni come Snort e Suricata. (Nota: ti sto dicendo versioni gratuite di questo tipo di software in modo che tu possa giocare con loro!) Le versioni "commerciali" di queste cose faranno lo stesso tipo di compiti .. solo su una scala più grande / migliore.

Un'altra soluzione "aziendale" è costituita da firewall hardware / a livello di circuito integrati in switch e / o router.

    
risposta data 23.06.2011 - 18:12
fonte
4

Dal tuo titolo sembra che tu stia chiedendo quali sono le tecnologie di risposta agli incidenti di sicurezza e le tecnologie di rilevamento sono uniche per i grandi ambienti aziendali?

Tecnologia esclusiva:

  • Un sistema SIEM (Security Information and Event Management) centrale: le grandi organizzazioni devono essere in grado di raccogliere centralmente registri e avvisi da un gran numero di sistemi disparati (ad esempio firewall, AV, piattaforme, database, applicazioni) per la correlazione e il monitoraggio . Un'organizzazione più piccola può farcela con la configurazione degli avvisi e-mail o la revisione dei log
  • Un sistema di tracciamento e flusso di lavoro centrale per gli incidenti - qualcosa come Remedy o meglio per registrare gli incidenti di sicurezza, gestire la proprietà, assegnare le attività e tracciare fino al completamento. Un'organizzazione più piccola può utilizzare la posta elettronica o un foglio di calcolo per questo

Persone e processo:

  • Un Security Operations Center (SOC) 24 x 7 composto da lavoratori a turni o segue il pool geografico di persone di sole
  • Prove formali per incidenti di sicurezza sia su carta che su esercizi di squadra rossa / squadra blu

Quasi tutto richiede anche modelli più potenti, cluster, capacità di crescita orizzontale per far fronte alla scala e alle esigenze di ridondanza e distribuzione geografica che le organizzazioni più piccole non avranno.

Tecnologia di sicurezza unica al di fuori della risposta agli incidenti e rilevamento che si vede di più nelle organizzazioni di grandi dimensioni a causa sia di scala, complessità, requisiti normativi e di controllo (probabilmente non un elenco completo):

  • Prevenzione della perdita di dati
  • Crittografia email
  • Controllo multimediale rimovibile
  • Gestione identità e accessi
  • Conformità della configurazione e monitoraggio dell'integrità dei file, ad es. Tripwire
  • Single sign-on
  • Gestione degli accessi web (ad es. Siteminder)
  • Identità federata
  • analisi del codice sorgente della sicurezza automatica e scansione delle vulnerabilità delle applicazioni
  • moduli di sicurezza hardware
  • Autorità di certificazione interna (CA)
  • appliance di crittografia / decrittografia di backup
  • Servizio di filtraggio DDOS
  • IPS dedicato (cioè non in un UTM)
risposta data 23.06.2011 - 18:29
fonte

Leggi altre domande sui tag