Cosa controllare per la rimozione delle autorizzazioni del server?

Naviga le tue risposte
1

Ho letto che i team di sicurezza delle informazioni dovrebbero essere coinvolti nel processo di disattivazione dei server (ad esempio questa risposta oppure questa guida ai processi di esempio ). Dovrebbero esaminare e approvare la richiesta di decompressione.

Cosa si suppone che infosec riveda esattamente? Ci sono cose specifiche che il team di sicurezza dovrebbe fare quando vedono la richiesta? Ad esempio, dovrebbero archiviare i registri degli eventi o acquisire altre informazioni a fini di controllo?

Sto solo cercando di capire cosa non sto facendo, ma dovrei esserlo quando dichiaro ciecamente "Approvato" su ogni richiesta.

    
posta Palisade Tobblestock 18.04.2018 - 23:42
fonte

2 risposte

1

Diciamo che tra qualche mese la tua azienda ha motivo di credere che ci sia un attore malintenzionato nella rete che si è verificato attraverso l'utilizzo di server nel cluster A. Tuttavia, l'attore è stato nella rete per un po 'e ha stabilito la persistenza in molte aree. Sfortunatamente, hai rimosso il cluster A il mese scorso e tutti i dati sono spariti. Ora non ci sono registri per vedere a cosa l'attore ha avuto accesso, come sono arrivati e dove sono andati tutti da lì. Se solo avessi fatto una rapida occhiata al sistema e salvato i log, avresti potuto capire quali altri sistemi sono stati compromessi!

In altri scenari, in base al contenuto dei server VM, è possibile scegliere di azzerare lo spazio su disco per garantire che i dati non siano recuperabili. Forse è in corso un sondaggio di prova o un'indagine scientifica che coinvolge quel server che è sconosciuto agli altri team che sono pronti a eliminarlo.

Ci sono varie ragioni per cui un particolare team di sicurezza potrebbe voler esaminare questo processo e le aziende potrebbero avere casi d'uso più specifici, ma questa è l'idea generale.

    
risposta data 19.04.2018 - 08:27
fonte
0

Ciò che devono fare gli infosec dipende dal modo in cui l'organizzazione gestisce il suo IT, quali requisiti di conformità sono applicabili e come sono configurate le risorse.

Un singolo host avrà un ingombro molto più grande del proprio filesystem - sarà referenziato in sistemi di monitoraggio, sistemi di provisioning, sistemi di backup, accesso remoto, DNS .... non avendo la certezza che l'host sia rimosso da questi fornisce un copertura per un cuculo per assumere l'identità della macchina (per non parlare dell'impatto operativo degli errori che si accendono su questi - anche se questo non è il regno di infosec).

Potrebbero esserci account configurati appositamente per accedere alla risorsa, certificati / altre chiavi di crittografia, regole del firewall che dovrebbero essere rimosse. Potrebbero esserci allocazioni di licenze software / hardware associate al dispositivo o anche file di licenza specifici distribuiti sul dispositivo che dovrebbero essere ripristinati.

Di solito è una buona idea mantenere una certa capacità di ripristinare il servizio per un breve periodo dopo la disattivazione del servizio, e potrebbe esserci un requisito per preservare i dati per scopi legali / di audit più a lungo.

In breve:

  • la configurazione di sicurezza per il dispositivo deve essere esclusa dall'infrastruttura
    • Potrebbe essere necessario recuperare le risorse
  • i dati potrebbero dover essere conservati
risposta data 19.04.2018 - 11:08
fonte

Leggi altre domande sui tag

Previene CSRF sul sito Web pubblico senza accesso Che cosa può fare un file javascript iniettato localmente?