Ho sempre avuto problemi con le "migliori pratiche" in quanto la maggior parte di quelle "migliori pratiche" sono state scritte su reti specifiche, attività commerciali e non sulla mia. TUTTE le aziende differiscono e storicamente, vediamo che le migliori pratiche non hanno fatto nulla per rallentare il compromesso. Non sono contro le migliori pratiche, penso che le persone non dovrebbero fare affidamento su di loro come qualsiasi santo graal.
Hai nominato le best practice di livello superiore, quindi ti informerò su ciò che le persone tendono a perdere riguardo alle best practice.
FIREWALL: Giusto. Ora, quante persone implementano cose come le regole bidirezionali o tutte le registrazioni. Una cosa è "bloccare" che la Cina non entri nella porta, ma se si lancia una regola sullo "stato", non c'è nulla che impedisca alla macchina di avviare una connessione OUTBOUND con la Cina. Le regole e le politiche relative ai firewall devono essere posizionate su entrambi i lati del recinto.
Pensaci per un minuto, hai un laptop per un dirigente che va in viaggio d'affari. Quali sono i suoi obiettivi durante quel viaggio. Forse per fare una presentazione, dove potrebbe aver bisogno di connettersi da e per le imprese per fare una presentazione, o un passo? Una regola, da e verso, blocca tutti gli altri. Non è necessario arrivare a questo estremo, ma i firewall sono spesso configurati in modo errato, sono inutili.
Antivirus: poco per gli attacchi mirati, dal momento che molte firme per minacce avanzate non vengono nemmeno create. Uno strumento più efficace sarebbe una forma di notifica quando l'exec sta viaggiando. Es .: "La tua macchina sta iniziando una connessione a (ESEGUI UNO SGUARDO A CUI CERCA CAPIRE DI LUI) e provando ad accedere a QUESTO DATI"
L'aggiornamento di tutti i software non si difende da (non mi piace questo termine): attacchi di 0 giorni.
La crittografia del laptop (ad esempio con Truecrypt) non funzionerà se il tuo exec RICHIEDE che la sua password sia semplice.
Ci sono metodi per difendersi dagli attacchi APT, tuttavia, la maggior parte sono cerotti. Dico questo perché la maggior parte delle PERSONE è la causa degli attacchi. Aprire email di spear phishing, visitare siti che non dovrebbero visitare. Sostituisci Adobe Acrobat con Foxit, rimuovi Flash, blocca java + javascript, passa a Chrome usando un proxy e osserva fino a dove scendono gli attacchi. Allo stesso tempo, prova a gestire i reclami di dirigenti di alto livello che vogliono essere belli, "apri questo subito", rispetto alla sicurezza. Risolvi il problema e ti preoccuperai meno delle minacce APT.