Come verificare un sistema di posta elettronica

3

Sto lavorando a un processo di verifica per il sistema di posta elettronica della mia azienda (Exchange 2010). Da questo processo, speriamo di estenderlo ad altri sistemi e iniziare a ripulire i problemi di sicurezza dilaganti che abbiamo (il mio posto di lavoro ha trascurato la sicurezza per anni e sta raggiungendo loro). Alcuni dei problemi che stiamo riscontrando sono la mancanza di baseline, scorrimento dei privilegi, configurazione povera / inesistente, porte non necessarie, protocolli, servizi, mancanza di patch tempestive ... Continua.

In ogni caso, siamo principalmente interessati agli aspetti tecnici. Di seguito è riportato quello che ho già illustrato:

  1. Software installato per necessità, supporto contrattuale, se necessario, EOL / software obsoleto / non aggiornato.
  2. Audit di base CIS, DISA e Microsoft SCM per il sistema operativo e altri software installati (parte del nostro lavoro consiste nel definire una gerarchia delle best practice del settore che utilizzeremo)
  3. PPS recensito per ogni macchina per determinare se il PPS "ha senso" (una macchina ha le regole del firewall per tutte le porte di Quake Arena).
  4. Sono in procinto di determinare l'ampiezza degli utenti (interna, esterna, di terze parti, appaltatori, ecc.)
  5. Politiche correlate come conservazione delle e-mail / backup / archiviazione e gestione degli account (SPOILERS: Slim to none).

Sto rivedendo NIST 800-53 e 800-137, valutando e monitorando documenti, e recentemente ho trovato il NIST 800-45 che sembra promettente.

L'obiettivo finale è assegnare un valore di rischio al sistema e alle vulnerabilità, quindi utilizzare il processo per diramarlo verso altri sistemi. Vedi qualche grosso buco nel mio approccio?

    
posta Tchotchke 11.04.2017 - 18:14
fonte

1 risposta

1

Prima di iniziare a controllare i controlli di sicurezza intorno a questo sistema di posta elettronica e raccomandare eventuali modifiche che migliorerebbero la sicurezza, sarebbe utile fare un passo indietro e valutare il rischio attraverso una valutazione del rischio. Alcune domande per aiutarti a guidare:

What is the "business value" of the data stored within this email system?

Prendere in considerazione la perdita di dati consentiti (RPO) e il tempo di inattività massimo consentito (RTO)

What is security classification / labeling of the data stored within this email system? Is it considered confidential / sensitive?

Più i dati dell'applicazione sono sensibili, più stretto sarà il controllo che circonderà l'applicazione. Sebbene sia importante considerare le minacce e le vulnerabilità associate che insieme costituiscono un rischio generale, in questo caso, ti suggerirei di concentrarti sui controlli di sicurezza che mitigano i rischi per Riservatezza e Integrità.

La riservatezza dovrebbe essere una priorità assoluta in quanto l'e-mail può contenere dati sensibili, come piani aziendali imminenti o previsioni, nonché informazioni personali su clienti / dipendenti. La divulgazione di questi dati a parti non autorizzate può comportare la perdita di vantaggio competitivo, multe legali ecc.

L'integrità è importante, poiché per garantire la sicurezza delle informazioni, è necessario assicurarsi che le informazioni non siano state modificate da quando sono state inviate al momento della ricezione. A seconda della classificazione di sensibilità delle e-mail, potresti anche voler firmare digitalmente l'e-mail in modo che il mittente dell'e-mail possa essere rintracciato e qualsiasi messaggio di manomissione rilevato.

What can happen if the threats to this email system is realized? - Impact

Se disponi dei dati disponibili, puoi quantificare la tua valutazione del rischio in termini di perdita numerica. Se tali dati non sono disponibili, è possibile dichiarare qualitativamente potenziali esiti avversi quali la perdita di dati riservati che potrebbero portare a reputazione danneggiata, multe legali ... ecc.

Per quanto riguarda il set specifico di procedure che hai elencato, sono un buon inizio ma aggiungerei quanto segue a tale elenco:

  1. Rivedi le misure di salvaguardia contro specifici vettori di attacco che spesso sfruttano l'e-mail come phishing / spear phishing / whaling

  2. Riesamina le politiche di utilizzo accettabili in merito alle e-mail e, se esistenti, salvaguardie contro la fuga di dati come una soluzione DLP.

L'e-mail è uno dei metodi principali attraverso cui vengono diffusi gli attacchi che possono comportare una compromissione dei dati, come le varianti del phishing che ho elencato.

Per quanto riguarda il punto 2, l'estrazione dei dati è un grave rischio che può avere gravi conseguenze per la tua organizzazione. Ad esempio, l'e-mail aziendale contenente comunicazioni sensibili può essere inoltrata da un dipendente incauto a un account e-mail personale o essere copiata su una penna USB e trasportata all'esterno dell'azienda dove l'IT aziendale perde il controllo su come le e-mail possono essere utilizzate e / o distribuite .

    
risposta data 01.06.2017 - 05:39
fonte

Leggi altre domande sui tag