Tuesday, July 25th, 2017

Соответствие безопасности

Published on Февраль 2, 2009 by   ·   Комментариев нет

Внимательно смотрите, с кем вы имеете дело

Во время посещения выставки Infosec Europe я обнаружил множество компаний, которые занимаются обеспечением безопасности. Эти компании, которые я обнаружил, занимаются безопасностью, пока дела идут в гору. Некоторые из этих компаний хорошо укомплектованы высококвалифицированными специалистами и работают в правильном направлении. Другие же нет, и они лишь стригут деньги за консультации, т.к. оказались в нужном месте и в нужное время. Консенсус заключается в том, что обычно те компании, которые снимают сливки на рынке безопасности, объединяются в антивирусные компании, которые затем становятся предметом потребления.

Причина, по которой я говорю вам об этом, заключается в том, что вы должны знать о таких вещах при выборе поставщика услуг по безопасности, с которым вы собираетесь иметь дело. Опасайтесь тех компаний, занимающихся безопасностью, которые неизвестны или малоизвестны на рынке.

Кто защитит стражей? Бродя по Infosec, я спрашивал поставщиков, какой продукт для шифрования диска они используют. Я был удивлен обнаружив, что даже поставщики, продающие продукты шифрования, не шифруют свои мобильные устройства. То же самое касалось некоторых консультантов PCI и сотрудников компаний по QSV сканированию. Что же происходит? Советчики не следуют своим собственным советам?

Я выяснил, что многие организации для общественного сектора использовали зашифрованные USB устройства. Кажется, что это устойчивая тема на Infosec Europe в этом году. Но из-за большого количества поставщиков, предлагающих большое количество решений, рынок выглядит ошеломленным и сбитым с толку. Будем надеяться, рынок зашифрованных USB станет объединенным и общим, как рынок антивирусных продуктов.

Серия ISO 27000

Все мы слышали об ISO 17799 и ISO 27001 и серии документов в интервале 27000. Это базис минимальных требований для ведения бизнеса. Однако, очень немногие западные организации реализовали или даже видели эти стандарты. В Японии свыше 2000 компаний прошли сертификацию, что означает на 300% больше совместимости, по сравнению с UK и US вместе взятых.

Управляемые устройства

Читая о преимуществах и недостатках устройств, управляемых безопасностью, я выяснил, что многие организации отказались от этой возможности, т.к. им кажется, что их среда станет менее безопасной, если они будут использовать нечто, наподобие шифрования. В действительности, хорошо работающее управляемое устройство позволит освободить персонал, снизить нагрузку по поддержке и увеличить безопасность организации. В некоторых случаях улучшения еще более значительны, чем если организация самостоятельно управляет продуктами безопасности. В такой ситуации централизованное управление становится ключевым, и вы убедитесь, что управляемое устройство является гораздо более продвинутым решением, чем покупка продукта у поставщика.

Поможет ли все это?

В том случае, если все правильно реализовано, то ответ на этот вопрос — да. Но хороших людей сложно найти. На мой взгляд, что из 10 консультантов по безопасности, по крайней мере половина являются новичками, менее 5 лет в отрасли. Еще часть из оставшихся, являются узко специализированным. В результате остаются двое, которые имеют достаточно опыта, чтобы покрыть весь спектр. This means that a team is needed to make you compliant, or a seasoned individual. This is why compliance in some form or other is helping. There are quite a few security companies that begrudge PCI DSS and standards like it, but I feel that the standard is helping as there was nothing before it that helped organisations focus in a prerequisite way.

Большинство из того, о чем говорится в стандарте – лишь общий смысл, однако, когда общий смысл нас покидает, нужно иметь некоторые рамки, которых следуют придерживаться. Именно по этой причине очень важно использовать глобальный стандарт вроде ISO 27001.

С чего начать?

Существует много точек для начала, но лучше всего начать с того, чтобы выписать набор требований, а затем пытаться их удовлетворить. Документ, с которого вы начнете, а затем будите отслеживать изменения, будет не только отражать вашу зрелость в качестве профессионала IT, но также может использоваться для измерения производительности вашей команды. Существует много бесплатных инструментов, которые вы можете использовать для того, чтобы стать более безопасными. Ничто не может заменить опытного профессионала, но приложения позволяют сделать это проще.

Уменьшение количества дверей

Когда проектируют убежище, то, как вы можете увидеть из схемы, делают лишь одну точку входа. Остальная комната изолирована и хорошо защищена с помощью толстого сплава металла, чтобы злоумышленники не смогли прорваться внутрь. Единственная точка входа позволяет проще и дешевле защититься от неавторизованного проникновения. Усиленные стены являются сдерживающим фактором, но что один человек сделал, другой сможет сломать.

Работая с одной и ведущих компаний по шифрованию, я задал главному программисту вопрос: «Почему пользователь не может использовать несколько ключей для аутентификации?» Программист подтвердил концепцию уменьшения количества дверей. Уменьшение поверхности для атак в большинстве случаев является наилучшим подходом.

Что говорят исследователи?

В целом технический контроль, включающий шифрование, фильтрацию электронной почты, сканирование и мониторинг, все еще находится на ранней стадии своего развития. Это значит, что многие организации все еще работают над разработкой и реализацией таких решений, а большинство даже не имеют таких технологий на своем радаре. Подсчитано, что менее 1% организаций шифруют свои мобильные данные. Это не просто пугающая статистика. Я уверен, что вы согласитесь, что вы не будете использовать поставщика, который не обеспечивает безопасность ваших персональных данных.

На первый взгляд кажется, что такие технологии, как контроль над устройствами, должны стоять в списке приоритетов, но как быть с бумажными документами и камерами в мобильных телефонах? Безопасность – это немного больше, чем просто программный и аппаратный контроль и управление. Образование является часть защитной стратегии.

Обучайте ваш персонал

Образование является ключевым. Тратьте меньше времени на установку технических средств контроля и больше времени на обучение людей, и вы увидите, что изменится не только поведение ваших людей, они станут более заинтересованными в том, что они делают, что облегчит вашу задачу. Знание – сила. Awareness can go a long way. Попробуйте это, и, может быть, это спасет вашу организацию от следующей атаки.

Старые вещи по-прежнему работают

Обновления Windows, обновления приложений, обновления шаблонных файлов – все это помогает, когда дело касается безопасности. Однако, хотя это всем хорошо известно, многие организации по-прежнему игнорируют эти аспекты. Необходимо вспомнить об основных шагах, которые позволяют реализовать технический контроль вроде шифрования и двухфакторной аутентификации. Я обнаружил, что организации не справляются с простыми задачами, не говоря уже о продвинутых технологиях, которые требуют значительных навыков в области безопасности.

Заключение

Не важно сколько вы читаете или обсуждаете безопасность, считается лишь то, что вы делаете для своей организации. Эта статья будет полезна для вас, если вы способны классифицировать содержимое и применить эти знания для вашей организации. Я надеюсь, что эта информация была полезна для вас.

Источник www.windowsecurity.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]