Zapomeňte na drahé IDSes, IDS založené na hostiteli a jednotná zařízení pro správu hrozeb. Zde je návod, jak opravdu získat nejlepší bezpečnost za peníze:
1. Zabraňte instalaci nebo spuštění neautorizovaného softwaru nebo obsahu. Zjistěte, co běží na vašich počítačích a proč. Pokud nevíte, co je ve vašich systémech, nemůžete je adekvátně chránit.
2. Nedovolte, aby uživatelé bez oprávnění správce byli přihlášeni jako správci nebo root.
3. Zabezpečte svůj e-mail. Převeďte veškerý příchozí obsah HTML na prostý text a ve výchozím nastavení zablokujte všechny přípony souborů, kromě hrstky nebo dvou, které chcete povolit.
4. Zabezpečte svá hesla. Vyžadovat dlouhá hesla, 10 znaků nebo déle pro běžné uživatele, 15 znaků nebo déle pro účty správce. Implementujte výluku účtu, i když pouze s minutovou výlukou. Ve Windows zakažte hash hesla LM. V systému Unix / Linux použijte novější hash krypty (3), hash stylu MD5 nebo ještě lépe hash bcrypt, pokud to váš operační systém podporuje.
5. Procvičujte si odepření výchozího nastavení a nejnižší oprávnění, kdykoli je to možné. Při vývoji zásad zabezpečení s nejmenšími oprávněními použijte zabezpečení založené na rolích. Místo jedné „skupiny zabezpečení IT“ byste měli mít skupinu pro každou roli IT.
6. Definujte a vynucujte bezpečnostní domény. Kdo k čemu potřebuje přístup? Jaké typy provozu jsou legitimní? Odpovězte na tyto otázky a poté navrhněte obvodovou obranu. Vezměte základní linie a zaznamenejte abnormální provoz.
7. Šifrujte všechna důvěrná data, kdykoli je to možné, zejména na přenosných počítačích a médiích. Neexistuje žádná omluva, proč to neděláte - špatné PR, které získáte ze ztracených dat (viz AT&T, americké ministerstvo pro záležitosti veteránů, Bank of America), by mělo být dostatečně reaspm.
8. Aktualizujte správu oprav pro OS a všechny aplikace. Opravili jste v poslední době Macromedia Flash, Real Player a Adobe Acrobat?
9. Implementujte antivirové, anti-spamové a anti-spywarové nástroje na bránu nebo na hostitelské úrovni.
10. Přijměte bezpečnost pomocí neznáma. Přejmenujte své účty správce a root na něco jiného. Nemáte účet s názvem ExchangeAdmin. Nedávejte svým souborovým serverům názvy, například FS1, Exchange1 nebo GatewaySrv1. Pokud je to možné, dávejte služby na jiné než výchozí porty: SSH můžete přesunout na 30456, RDP na 30389 a HTTP na 30080 pro interní použití a obchodní partnery.
11. Vyhledejte a prozkoumejte neočekávané naslouchající porty TCP nebo UDP ve vaší síti.
12. Sledujte, kde a jak dlouho všichni procházejí internet. Zveřejněte tato zjištění v online zprávě v reálném čase, která je přístupná komukoli. Toto doporučení má tendenci zajistit, aby si uživatelé zvykli na surfování po internetu. (Vsadím se, že to také povede k náhlému zvýšení produktivity.)
13. Automatizujte zabezpečení. Pokud to automatizujete, nebudete to dělat důsledně.
14. Poučte zaměstnance a zaměstnance o bezpečnostních rizicích a vytvořte vhodné zásady a postupy. Procvičujte správu změn a konfigurace. Vymáhat pokuty za nedodržování předpisů.
Vím, že jsem vynechal spoustu dalších věcí, například fyzickou bezpečnost, ale toto je začátek lepší než dobrý. Vyberte si jedno doporučení a zaměřte se na jeho implementaci od začátku do konce. Pak začněte na další. Přeskočte ty, které nemůžete implementovat, a zaměřte se na to, co můžete dělat. A pokud absolutně musíte mít ten drahý IDS, jděte si ho pořídit - ale až poté, co dokončíte tyto základní informace.
