Indurimento del sistema: esternalizzare l'esperto di sicurezza o farlo eseguire dall'amministratore del sistema? [chiuso]

Naviga le tue risposte
3

Qualcuno di voi esperti di sicurezza può aiutarmi a prendere una decisione su come gestire lo staff per un iniziale rafforzamento per un server Apache che esegue MySQL e PHP?

Stiamo lavorando su un nuovo sito che deve fare il primo hardening e non so se dovremmo farlo funzionare da sysadmin o se dovremmo ottenere un esperto di sicurezza per farlo. So che il nostro sysadmin può farlo, ma è "un esperto di sicurezza" , decisamente no. Ho trovato questo vecchio post su come rafforzare un server Apache e penso che potrebbe seguire il Istruzioni. Leggo anche il post su sicurezza in outsourcing e voglio chiarire che la maggior parte non era rilevante perché dovremmo assumere qualcuno locale per questo.

Quindi le mie domande:

Esistono vantaggi / svantaggi per un esperto di sicurezza fare un primo rafforzamento per un server MySQL? Se l'esperto di sicurezza fa l'iniziale rafforzamento, finirò per dover ricominciare con l'esperto di sicurezza per le modifiche di routine?

Possiamo pagare di più per un lavoro migliore, ma non so se è una buona idea a lungo termine e puoi usare il tuo parere di un esperto.

    
posta SuziG 04.05.2014 - 12:18
fonte

3 risposte

6

Ciò che generalmente viene fatto è assumere un esperto di sicurezza che crei uno standard e una linea di base per l'indurimento del server web personalizzato, adattato alle esigenze della tua azienda. Lo standard definisce quali controlli di sicurezza dovrebbero essere in atto, tecnologia indipendente. Quindi la linea di base può essere specifica per la tecnologia, ad es. IIS o Apache, ...

La linea di base può essere implementata dagli amministratori di sistema, tuttavia, è necessario eseguire audit di routine (che possono essere eseguiti dall'esperto o da un altro revisore indipendente) sulle macchine (una volta all'anno o mezzo anno) per confermare che la linea di base è implementata correttamente. Eventuali difetti della linea di base devono essere documentati durante l'audit e presentati agli amministratori e una risposta sul motivo per cui il server Web in particolare non ha rispettato la linea di base.

    
risposta data 04.05.2014 - 12:24
fonte
2

Fai l'indurimento iniziale da solo, in modo da avere un'idea delle possibilità. Quindi assumere un professionista della sicurezza per effettuare un controllo di sicurezza più approfondito. In questo modo più occhi l'hanno guardato, il che sta generalmente aumentando la qualità del lavoro (e della sicurezza).

    
risposta data 04.05.2014 - 14:14
fonte
2

La formulazione della domanda sembra implicare, almeno per me, che si tratta di un approccio molto binario. Personalmente non mi interessa molto quel livello di siloismo e credo che il processo dovrebbe essere molto più collaborativo.

  1. Il benchmark iniziale dovrebbe essere determinato principalmente dalla persona responsabile della sicurezza, con l'input della persona del sistema.
  2. La persona del sistema dovrebbe determinare i metodi tecnici con i quali implementare il benchmark, con l'input della persona responsabile della sicurezza.
  3. La persona di sicurezza dovrebbe quindi convalidare il piano e approvarlo o raccomandare le modifiche laddove appropriato. (ripetere 2 e 3 fino all'approvazione)
  4. La persona dei sistemi implementa quindi il piano.
  5. Il responsabile della sicurezza convalida l'implementazione per verificare che sia stata implementata in base al piano e in effetti indirizzi il benchmark.

È anche molto importante quindi convalidare regolarmente l'implementazione tecnica rispetto al benchmark per assicurarsi che il sistema non vada alla deriva nel tempo e, altrettanto importante, che il benchmark abbia ancora senso.

Nel tempo dovremmo assumere che le patch siano applicate, che il software sia aggiornato e anche il modo in cui le persone usano l'applicazione cambia. Tutto questo e molto altro influisce sul profilo delle minacce e può eventualmente modificare le protezioni che hanno senso per il sistema. Può significare che il sistema non segue più il benchmark, il benchmark è troppo severo o non abbastanza severo. La sicurezza del sistema è non un punto nel tempo che è esattamente il motivo per cui spesso vedi la frase "Programma di sicurezza" usato.

    
risposta data 04.05.2014 - 17:02
fonte

Leggi altre domande sui tag

Come viene determinata una "password comunemente usata"? È sicuro (o una buona idea) pubblicizzare l'uso di bcrypt?