趋势与观点 | 远离术语套话:新手可以使用的具体控制措施
我发现,许多关于审计和网络安全的材料都是给经验丰富的专业人士看的。这并无不妥——事实上,大多数在职业生涯中走得足够远的人,在阅读有关审计或网络安全的文章或博文时,他们都能理解并将其应用于现实世界中。
然而,对于一个新入行的IT审计师或网络安全从业人员来说,可能会感到信息量过大。从学习框架、最佳实践、专业组织(如ISACA)、创建审计程序、理解行业术语和学习工具,这对任何人来说都是一个相当大的挑战。通常,您会看到一些常见的短语,如“物理安全”、“网络安全”、“减少攻击面”、“加固系统”和“保护端点”。这些都是为了解释和标记概念所必需的宽泛术语。但“确保端点安全”在更细化的层面上意味着什么,只能任凭各人自己理解了。
让我们改变这种情况,看看您可以在下一次审计或检查清单中加入一些具体的控制措施,以改善您的安全状况。毕竟,IT审计的核心是控制。您可能已经熟悉了控制类别,但只是为了复习一下,ISACA将它们描述为:
管理——涉及运营效率、效益以及遵守法规和管理政策的规则、程序和实践。
检测——当出现错误、遗漏和未经授权的使用或输入时,存在以检测和报告。
预防——用于避免企业确定可能对流程或最终产品产生负面重大影响的不良事件、错误和其他事件的一种内部控制。
纠正——旨在纠正被侦测到的错误、遗漏、未经授权的使用和入侵。
事实上,像“确保您的端点安全”这样简单的事情并不意味着装上一个防病毒程序就可以结束了。相反,它是一个审查多种控制措施的组合,并确保它们按照您的组织的风险偏好的标准来实施。虽然下面的清单并不意味着是一个全面的指南,但我已经包括了一些可能不那么常见的控制措施,以便在审计或补救时考虑到。我希望它能激发您的思维从宽泛到细化,并加强控制的概念。
任务:保护端点
1.已实施的政策
这种管理性控制通过指示和阻止疏忽的使用来建立问责制。不能指望人们遵守不存在的规则。找出它们是否存在。
2.本地管理权限
这种预防性控制也许是您能在一个端点上审计和实现的唯一最佳控制。如果有人下载了一个恶意文件,此操作通常会阻止文件的执行,并且可以限制攻击者在获得对该设备的访问权限时可以做什么。
3.加密
对移动电话设备尤其重要,但对笔记本电脑和平板电脑也很重要。如果加密的设备丢失或被盗,这种预防性控制可以让您比一个不加密的设备更安心。
4.安装了防恶意软件或杀毒软件
这是一种典型的预防性控制。您应该一直听说需要杀毒软件,甚至在成为该领域的专业人士之前。这个软件可以帮助阻止和/或报告一个不良事件发生。
5.软件和操作系统更新
如果存在详细说明如何、何时和什么内容得到更新的政策,这既可以是管理性的,也可以是预防性的控制。如果一个设备没有更新到最新的安全更新,会发生什么?您会让它敞开大门自由进入。未打补丁的漏洞可以被操纵以允许提升权限。简单地说,威胁者可以通过未打补丁的软件获得进入和管理权限。
6.SIEM的实施
这种检测控制监控端点(以及其他控制),并对各种不良事件向组织发出警报。例如,当有人试图进行暴力登录尝试或在设备上执行不良程序时,它可以让您的网络安全团队做出反应。
任务:保护网络
1.修补防火墙
这种预防性控制有助于将入侵者挡在您的网络之外,但它需要使用防火墙的最新固件版本,以保持其受到保护。即使您不是技术人员,也可以让您的IT团队给您发一张所用设备的固件版本的截图,并与设备制造商的最新补丁信息进行比较。
2.网络分段
分段是一种预防性控制,通过将威胁者隔离在网络的特定区域,来帮助减少其所造成的损害。这使得网络内的横向移动很难或不可能。基本上,威胁者被限制在网络中的一个特定位置。
3.强密码
强密码是一种预防性控制,是安全的基本构件。您可能会认为每个人都使用强密码,但事实并非如此。该组织是否有关于密码的政策?是否遵守了这些政策?该政策与广泛接受的标准(如NIST)有多少差距?
4.多因素认证(MFA)
多因素认证是一种强有力的预防性控制,应该在可行的情况下尽可能多地使用,特别是在云环境中。要求组织提供MFA被广泛启用或至少被启用的证据,以便访问敏感资料。
5.活动目录锁定
这种预防性控制可能有点棘手。有一些其他的缓解措施,可以允许在锁定前有不同的登录尝试次数,而且似乎没有公认的标准。我个人在审计过程中观察到以下情况:活动目录锁定被设定为数百次。为什么?通用共享账户在全域范围内使用,这是一种防止多个账户同时被锁定的方法。这就产生了一个问责问题,同时也意味着有人可以试图用暴力攻击多个高阶账户而不被发现。
6.通用账户
如上所述,通用账户造成了一个问责问题。如果这个账户碰巧也有本地管理权限,那就是灾难的源头了。从一个有着足够的技术能力的好奇的工作人员到真正恶意的威胁者,您有一个需要修补的漏洞。
任务:保护数据
1.及时终止政策
有一项重要的管理控制就是制定一项政策,概述由于某种原因员工离开组织的流程。此控制所涵盖的这个过程对于保护组织免受数据泄露,甚至可能发生违反HIPAA等是非常重要的。如果某人经常在电子邮件报告中收到涵盖数据(covered data)并被终止,那么当他们不再有业务需求时,他们是否仍在接收数据?
2.邮件转发规则
我在审计时没怎么见过的一个预防性控制是邮件转发规则。是否允许员工创建邮件重定向规则到他们的个人邮箱?哪些数据会因此而离开组织?主要包含受监管的数据的未加密文件?商业机密?
3.USB设备
一个真正的恶意威胁者,只要有坚定的意图,就可以欺骗一个设备作为输入设备,并在需要物理访问的情况下绕过USB封锁。通过实施这种预防性控制和禁用存储设备的USB访问,组织可以使心怀不满或疏忽大意的普通员工难以将数据转移到USB驱动器上或将病毒等威胁引入环境。
4.备份和灾难恢复
数据备份是一种纠正性控制,通过在需要时能够访问到数据来保护您的数据。在勒索软件的时代,这是必须的。要求组织通过屏幕截图或日志提供备份和成功测试恢复的证据。确定是否保留了某种异地备份副本。
5.特权提升和管理账户分离
这是一项管理控制,详细说明了应该如何确定访问权限。遵循最小特权的原则,系统管理员和其他偶尔需要管理权限的员工应该只在必要时使用它们。注意那些为了使工作更方便而几乎全职全时保持登录高权限账户的员工。他们也能去点击一封精心设计过的钓鱼邮件。
我希望这些能帮助您在下一次审计或补救时,脱离宽泛的套话术语,转向为一些实际的具体内容。如果您想进一步讨论,您可以通过rickyhmltn@outlook.com或在LinkedIn上联系我。
编者按: 本文于2023年2月15日首次发表 于ISACA官网News and Trends/Newsletter/@ISACA。文章内容仅代表作者本人观点。
作者:Ricky Hamilton,CISA,CCSK,LSSGB,Network+,A+。
翻译:王岩(Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC,ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。