Sto lavorando a un processo di verifica per il sistema di posta elettronica della mia azienda (Exchange 2010). Da questo processo, speriamo di estenderlo ad altri sistemi e iniziare a ripulire i problemi di sicurezza dilaganti che abbiamo (il mio posto di lavoro ha trascurato la sicurezza per anni e sta raggiungendo loro). Alcuni dei problemi che stiamo riscontrando sono la mancanza di baseline, scorrimento dei privilegi, configurazione povera / inesistente, porte non necessarie, protocolli, servizi, mancanza di patch tempestive ... Continua.
In ogni caso, siamo principalmente interessati agli aspetti tecnici. Di seguito è riportato quello che ho già illustrato:
- Software installato per necessità, supporto contrattuale, se necessario, EOL / software obsoleto / non aggiornato.
- Audit di base CIS, DISA e Microsoft SCM per il sistema operativo e altri software installati (parte del nostro lavoro consiste nel definire una gerarchia delle best practice del settore che utilizzeremo)
- PPS recensito per ogni macchina per determinare se il PPS "ha senso" (una macchina ha le regole del firewall per tutte le porte di Quake Arena).
- Sono in procinto di determinare l'ampiezza degli utenti (interna, esterna, di terze parti, appaltatori, ecc.)
- Politiche correlate come conservazione delle e-mail / backup / archiviazione e gestione degli account (SPOILERS: Slim to none).
Sto rivedendo NIST 800-53 e 800-137, valutando e monitorando documenti, e recentemente ho trovato il NIST 800-45 che sembra promettente.
L'obiettivo finale è assegnare un valore di rischio al sistema e alle vulnerabilità, quindi utilizzare il processo per diramarlo verso altri sistemi. Vedi qualche grosso buco nel mio approccio?