Sto cercando di condurre uno studio comparativo tra gli standard utilizzati per condurre un audit di configurazione della sicurezza. Ho trovato solo CIS benchmark . Se potresti suggerire alcuni standard più noti, sarebbe utile.
Sto cercando di condurre uno studio comparativo tra gli standard utilizzati per condurre un audit di configurazione della sicurezza. Ho trovato solo CIS benchmark . Se potresti suggerire alcuni standard più noti, sarebbe utile.
Oltre ai benchmark CIS, suggerisco che cosa il governo degli Stati Uniti utilizza per i FedRAMP cloud quali liste di controllo USGCB e DISA STIGS.
I CIS sono validi per qualsiasi organizzazione da implementare, sebbene siano datati. Al momento il lavoro è in fase di aggiornamento per aggiornare le politiche e tenere il passo con la versione del software, ma sono molto indietro nel tempo. Vedo questi come standard basati su "non audit", in quanto alcune impostazioni consentono agli utenti di cancellare la cronologia (Internet Explorer) e simili.
Microsoft ha le proprie politiche basate sul CIS, che raccomandano come "standard di sicurezza". Questi sono ora parte del loro Security Compliance Toolkit e possono essere trovati qui . Ci sono pochissime differenze tra CIS e Microsoft, anche se le politiche della SM tendono ad essere più indulgenti quando si tratta di accedere ai sistemi e chi ha i diritti di fare qualsiasi cosa.
DISA è un po 'più bloccato e più basato su audit, il che significa che vogliono i dati rimasti sul tuo dispositivo in modo che abbiano la prova di ciò che stai facendo, e di essere in grado di tenere traccia di ciò che hai fatto, dovresti fare Qualcosa non va. Questi sono un po 'più coinvolti da implementare e la formulazione delle politiche è molto semplice. Le norme per i dipendenti governativi abilitati CAC si trovano qui , anche se danno accesso ad alcuni STIGS per non-CAC . Gli utenti non governativi che hanno un indirizzo email .mil o .gov possono ricevere STIGS tramite SPAWAR qui .
E come indicato da LPT, USGCB è per il resto di noi, e può essere trovato qui .
Ho visto un post precedente su impostazioni DISA, in cui qualcuno stava chiedendo perché è necessario rimuovere Domain and Enterprise Admins da diritti utente specifici. Ricorda, vogliono che tu rimuova perché vogliono che tu crei la tua soluzione per renderla più sicura. Crea un nuovo gruppo. Aggiungi le persone che hanno bisogno dei diritti e distribuisci la tua soluzione. Il minimo privilegio è la chiave!
Se hai ancora bisogno di un foglio di calcolo comparativo su DISA, CIS e Microsoft, ho iniziato a costruirne uno alcuni mesi fa per mostrare le differenze tra loro. Con il controllo delle versioni di Windows, le colonne hanno iniziato a diventare un po 'indisciplinate, quindi ho smesso di lavorarci su. Ha davvero bisogno di essere inserito in un database.
Leggi altre domande sui tag audit