軟件發現
發現準則:
A、***都會搭建***表面最脆弱的地方,例如老版本的SSH或者Apache;
B、什麼是你不知道的,什麼就會傷害你;刪除/關閉你不需要的特殊軟件包,清楚授權的實際使用情況,可有助你花費較少的授權費用;
C、缺乏備份將導致kinddom waslost;備份資產將有助於減少你的恢復開銷。
BOOT CAMP
1、建立完整的資產列表:可以採用資產發現或者脆弱性管理工具,例如tripwire asset discovery or tripwire ip360,或者excel,免費的數據庫記錄安裝在終端上的授權軟件;
2、掃描你的網絡:掃描開放的端口與服務;
3、終端角色扮演:明確終端角色,例如一臺服務器不需要安全word,一個工作站不需要運行WEB服務,會計不需要visio;針對每個機構和商業單元,需要有一份針對硬件設備所需的授權的軟件清單;
4、越少越安全:軟件安裝越少越安全。
ADVANCED TRAINING
5、文件完整性監控與安全配置管理:現在你有了準確的終端硬件以及安裝其上面的軟件清單,下一步就是確保授權更改;要到實現這個目標,你需監控終端來確保配置的完整以及減少針對已知良好狀態的“drift”;抓住並補救未經授權的改變將會幫助你快速地識別破壞;一些產品,例如像tripwire enterprise,擁有牛逼的監視器依託於高級的能力,例如自動修復,詳細的更改日誌,依照合適的環境區別好與壞的改變;
6、白名單機制;一個非法端口將是最好地違反策略和最差的IOC;我們家的產品可以識別在終端上運行的端口和服務,並且監控正在使用的未授權的端口,你可以發起自動告警和修復功能,當一個未授權的服務出現並且運行;
7、異常處理:每個組織單位都有一些遺留的應用和一次性的資產名單,並且這些玩意兒不好保障其安全,針對這些東西,你需要有一個明確的清單,知曉哪些人擁有這些資產,並且他們是如果使用的;使用一些輕量級的安全防護手段去保障他們的安全也是非常必要的;
COMBAT READY
8、電網:目前你知道有哪些需要運行在你的每個資產類型,你可以開始識別未授權的應用,比如端口,未授權的應用,因此快速地找到他們是非常重要的,當你的終端檢測方案識別一個未授權的應用,審查是非常重要的,因爲他可能是破壞的一部分,好消息是,一旦你定義了授權軟件,通過消除過程來定義未授權的軟件要簡單得多。
9、自動化:你的環境不是靜態的,你日常需要更新你的終端軟件清單使用完整性監視器和白名單文件來保證準確性。確保老舊的軟件退役、針對新的軟件進行細緻的兼容性與政策複合性審查是明智的。當你的組織升級,你的終端、人數會發生改變,這些改變需要統一融合進一個能夠分辨出好的設備和配置的基準線,這樣可以幫助你識別壞點。
10、告警:開始加入告警當未授權軟件在你的環境當中發現時,防護門,例如PALO ALTO網絡的下一代防火牆,可以識別穿透防護門的應用。我們家的 IP360在盤點安裝在終端上的應用上是非常牛X的;
11、一體化性:一旦你有個人的安全工具可以地爲你效勞,通過你的安全堆棧找尋一些方法進行補充,一體化通過ITSM,SIEM,GRC,FIM可以使工作流自動化,保存有效的時間與資源,集成化可以讓在不通安全控制之間進行信息關聯變得可能,這將有助於提高威脅檢測與響應的準確性與時效性;