Итак, описав в шести частях наше участие в противостоянии, неплохо было бы сделать выводы по результатам соревнований. Несмотря на то, что нас не победили, я понял, что нам еще есть куда расти как защитникам. Противостояние дало возможность поработать в считающихся нереальными условиях абсолютного админского косяка: default permit на пограничном firewall и неконтролируемое появление дырявых серверов в DMZ. Как некоторый итог, для проверки степени защищенности инфраструктуры необходим определённый checklist, с которым нужно сверяться.
Чтобы не распыляться на большое количество слов и фраз, я возьму за основу SANS Top 20 Critical Security Controls, в котором описаны точки контроля ИБ. Они применимы как к соревнованиям, так и к реальной жизни. В табличке попробую несколько разграничить зоны ответственности защитников (DEF) и SOC, несмотря на то, зачастую они плотно переплетаются.
По-хорошему, и защитники, и SOC должны быть озабочены всеми вопросами, но я расставил плюсики в соответствии с теми реалиями, которые нам продиктовали условия соревнований. Если где-то нет плюсиков - значит, неприменимо или я не заметил применимость именно в условиях "противостояния".
№
|
Control name
|
DEF
|
SOC
|
1
|
Inventory of Authorized and Unauthorized Devices | + |
+ |
2
|
Inventory of Authorized and Unauthorized Software | + |
+ |
3
|
Secure Configurations for Hardware and Software on Mobile Device Laptops, Workstations, and Servers | + |
+ |
4
|
Continuous Vulnerability Assessment and Remediation | + |
+ |
5
|
Controlled Use of Administrative Privileges | + |
+ |
6
|
Maintenance, Monitoring, and Analysis of Audit Logs | + |
|
7
|
Email and Web Browser Protections | + |
|
8
|
Malware Defenses | + |
+ |
9
|
Limitation and Control of Network Ports, Protocols, and Services | + |
|
10
|
Data Recovery Capability | ||
11
|
Secure Configurations for Network Devices such as Firewall Routers, and Switches | + |
|
12
|
Boundary Defense | + |
|
13
|
Data Protection | + |
+ |
14
|
Controlled Access Based on the Need to Know | + |
+ |
15
|
Wireless Access Control | ||
16
|
Account Monitoring and Control | + |
|
17
|
Security Skills Assessment and Appropriate Training to Fill Gaps | + |
+ |
18
|
Application Software Security | + |
|
19
|
Incident Response and Management | + |
|
20
|
Penetration Tests and Red Team Exercises | + |
+ |
Кроме выводов, конечно, стоит обозначить допущенные нами ошибки и дальнейшую стратегию защиты в будущих "противостояниях". Думаю, соревнования подобного формата будут довольно популярны теперь.
Какие ошибки мы допустили в противостоянии с хакерами:
Если при прочтении пунктов выше у вас возникли проблемы с отображением текста, но вы считаете, что там что-то должно быть - проверьте не столько технические параметры браузера своего ПК, сколько коэффициент наивности восприятия информации.
Согласитесь, было бы глупо с моей стороны раскрывать целому Интернету, в том числе, и противникам, все планы действий в будущих сражениях :)
Комментариев нет:
Отправить комментарий