Un modo efficace per dimostrare il valore dei miglioramenti di sicurezza di Active Directory?

4

Lavorare duramente sulla sicurezza di Active Directory in un ambiente aziendale: sbarazzarsi delle autorizzazioni in eccesso, monitoraggio, patching, ecc. Niente è disponibile e per mantenere il budget in corso, ho bisogno di spiegare in qualche modo questi miglioramenti al livello C. A loro piacciono i grafici e i dati quantificabili, il che rende questo compito facile per le vendite, ma difficile per noi in IT Security.

I dirigenti capiscono la frase "diminuire l'esposizione ai rischi per la sicurezza", ma ovviamente non è abbastanza. E non posso realisticamente portarli in una stanza e mostrare cos'è un attacco pass-the-hash.

Quindi, come posso dimostrare il valore dei miglioramenti di sicurezza di Active Directory?

    
posta David_Springfield 01.02.2016 - 17:17
fonte

2 risposte

1

Hai due cose di base che devi risolvere:

1) Soddisfa le attuali best practice per la sicurezza delle informazioni nella tua organizzazione?

Ci sono molte buone risorse incluso il Microsoft Baseline Analyzer e l'uso di risorse come NIST e SANS.

  • Se la tua organizzazione è abbastanza grande per un ambiente AD, è probabile che abbia bisogno e dovrebbe avere un'assicurazione in caso di perdita di dati. La maggior parte delle agenzie di assicurazione richiedono una certa base, altrimenti il vostro SOL al momento del risarcimento e buona fortuna con il contenzioso.

  • Tornando al contenzioso, pisciare gli standard poveri imposta anche la tua organizzazione per cause legali da più fonti. E.G Dipendente, clienti, venditori, ecc. Se il livello C è stato reso consapevole, non ha fatto nulla e ha cercato di incolpare te o la tua squadra, avresti anche una causa di licenziamento illecita, ecc.

2) Quali sono i tuoi rischi?

Sicurezza delle informazioni è molto simile ai rischi finanziari, è necessario comprendere i propri obiettivi, ciò che è accettabile per la propria organizzazione e ciò che è necessario ridurre. Tendiamo a guardare questo attraverso quantitativo e qualitative rischio.

Per essere sinceri, i Livelli C non si preoccupano veramente di evitare un attacco specifico, si preoccupano che il rischio specifico si riduca a livelli gestibili. Ad esempio, non dirai al CEO che hai migliorato la sicurezza richiedendo e utilizzando solo certificati SSL di terze parti da verisign o ovunque. Dite loro che avete ridotto il rischio di attacco MITM e implementato le politiche per gestire il rischio. I certificati di terze parti sono la rappresentazione quantitativa di tale rischio e i tuoi server che lo utilizzano sono la sua esposizione.

A proposito, questo non sta cercando di aggirare un problema o che il tuo livello C è denso per comprendere SSL / TLS. È comunicare con loro nella lingua con cui hanno familiarità e qualsiasi persona d'affari buona si trova a rischio.

Per il tuo esempio particolare, semplificare le autorizzazioni è una funzione tecnica per ridurre il rischio:

  • ridurre i problemi di fornitura che espongono a rischi aggiuntivi?
  • esposizione di informazioni privilegiate agli utenti non autorizzati?
  • tutto?

Questi sono gli elementi di cui vogliono sentire parlare, le modifiche che apporti sono i tuoi dati per ridurre tale rischio, anche questo è un modo estremamente semplificato di guardare a questo.

    
risposta data 01.02.2016 - 19:38
fonte
0

Il modo migliore per spiegare il valore di un miglioramento della sicurezza a una persona IT è descrivere gli attacchi che il miglioramento impedisce.

Il modo migliore per spiegare il valore di un miglioramento della sicurezza a un dirigente è menzionare l'attacco (i) che stai impedendo e una stima del costo per la tua organizzazione se gli attacchi dovessero verificarsi, rispetto al stima dei costi per eseguire i miglioramenti.

Si noti che qualcuno (forse il CFO) vorrà inevitabilmente conoscere la probabilità che si verifichino gli attacchi se i miglioramenti non vengono eseguiti, al fine di valutare il rapporto costi-benefici dei miglioramenti. (Buona fortuna a calcolare quel calcolo ...)

    
risposta data 01.02.2016 - 17:44
fonte

Leggi altre domande sui tag