Глава 16 Управление операциями безопасности
16.1 Применение концепций операций безопасности
- Основной целью практик обеспечения безопасности является обеспечение безопасности информационных активов в системе.
16.1.1 Знайте свои потребности и минимальные привилегии
- Знайте, что вам нужно, и наименьшие привилегии — два стандартных принципа, которые стоит принять в любой среде ИТ-безопасности.
- Знайте, какой доступ им необходим: используйте требования для авторизации пользователей и предоставляйте доступ только к тем данным или ресурсам, которые необходимы для выполнения назначенных задач, с целью сохранения конфиденциальности.
- наименьшая привилегия
- Указывает, что субъекту предоставлены привилегии только для выполнения назначенных рабочих задач и не будет иметь привилегий, выходящих за рамки его рабочих задач, в целях защиты целостности.
- Принцип наименьших привилегий распространяется не только на доступ к данным, но и на доступ к системе.
- Другие концепции персонала:
- Грант: Предоставление привилегий. Создайте серию привилегий, которые получает пользователь.
- Агрегация. Агрегация в среде с наименьшими привилегиями представляет собой набор привилегий, которые пользователь собирает с течением времени.
- Транзитивное доверие: транзитивное доверие без доверия возникает между двумя доменами безопасности, а транзитивное доверие расширяет доверительные отношения между двумя доменами безопасности и всеми их поддоменами.
16.1.2 Разделение обязанностей и ответственности
- Разделение обязанностей и ответственности гарантирует, что ни один человек не сможет контролировать критически важную функцию и всю систему, гарантируя, что ни один человек не сможет поставить под угрозу систему или ее безопасность.
- Стратегия разделения обязанностей создает взаимодополняющую и сбалансированную систему.
- разделение привилегий
- Разделение привилегий аналогично концепции разделения задач и ответственности. Оно построено на принципе наименьших привилегий и применяется к приложениям и процессам. Стратегия разделения привилегий требует использования детальных разрешений и разрешений.
- Разделение обязанностей
- Разделение обязанностей аналогично стратегии разделения задач и ответственности, но также включает в себя принцип наименьших привилегий с целью гарантировать, что отдельные лица не будут иметь дополнительного доступа к системе, который может привести к конфликту.
- Двойное управление
- Подобно разделению обязанностей, два человека должны согласовать ключевые задачи, обеспечивая параллельный взаимный обзор и уменьшая возможность сговора и обмана.
- разделение привилегий
16.1.3 Ротация должностей
- Ротация должностей как средство контроля безопасности может обеспечить одновременную проверку, уменьшить обман и облегчить перекрестное обучение.
16.1.4 Обязательный отпуск
- Обеспечьте форму экспертной оценки, которая поможет обнаружить мошенничество и сговор.
16.1.5 Мониторинг специальных разрешений
- Операция со специальными привилегиями — это деятельность, которая требует специального доступа или повышенных привилегий для выполнения многих административных и конфиденциальных рабочих задач.
- Обычно любой тип учетной записи администратора имеет высокие привилегии и должен контролироваться. Также возможно предоставить пользователям высокие привилегии, не предоставляя пользователю полный административный доступ.
16.1.6 Управление жизненным циклом информации
- Средства обеспечения безопасности защищают информацию на протяжении всего ее жизненного цикла, включая маркировку, обработку, хранение и надлежащее уничтожение данных.
- Тегирование данных. Чтобы пользователи могли легко определить ценность данных, им следует помечать данные вскоре после их создания.
- Обработка данных: в основном включает в себя передачу данных, и очень важно обеспечить тот же уровень защиты во время передачи, что и при хранении данных.
- Храните данные: место хранения данных должно быть защищено и предотвращено от потери.Данные в основном хранятся на дисках, и ценные данные необходимо периодически создавать резервные копии.
- Уничтожить данные: Уничтожьте их таким образом, чтобы они стали нечитаемыми.
16.1.7 Соглашение об уровне обслуживания
- SLA (Соглашение об уровне обслуживания) — это соглашение между организацией и внешней организацией, которое гарантирует, что ожидания в отношении производительности будут выполнены, со штрафами за невыполнение этих ожиданий.
16.1.8 Обратите внимание на безопасность персонала
- Уделение внимания безопасности персонала является очень важным фактором безопасности при проведении безопасных работ.
16.2 Предоставление ресурсов и управление ими
- Еще одним элементом области знаний в области операций безопасности является распределение активов и управление ими на протяжении всего жизненного цикла.
16.2.1 Управление аппаратными и программными активами
- Список оборудования
- Многие организации используют базы данных и приложения для инвентаризации для подсчета запасов и отслеживания аппаратных средств.
- Метки радиочастотной идентификации (RFID) могут сократить время, затрачиваемое на подсчет инвентаря.
- Авторские мультимедийные устройства, содержащие конфиденциальные данные, также считаются ресурсом.
- Лицензия на программное обеспечение
- Организации приобретают программное обеспечение и часто используют лицензионные ключи для его активации.Лицензирование программного обеспечения гарантирует, что в системах не будет несанкционированной установки программного обеспечения.
16.2.2 Защита физических активов
- Физические активы помимо ИТ-оборудования включают все физические объекты, такие как офисные здания и внутренние помещения, заборы, блокпосты, системы безопасности, системы видеонаблюдения и т. д.
16.2.3 Управление виртуальными активами
- Чтобы добиться значительной экономии средств, организации постепенно используют все больше и больше технологий виртуализации.
- Виртуальная машина (ВМ)
- Программно-определяемая сеть (SDN): отделение плоскости управления от плоскости данных.
- Виртуализированное устройство хранения данных виртуальной сети хранения данных (VSAN)
16.2.4 Управление облачными активами
- Модель облачного сервиса:
- Программное обеспечение как услуга (SaaS): полнофункциональные приложения, предоставляемые через веб-браузер.
- Платформа как услуга (PaaS): предоставляет потребителям вычислительную платформу, включая оборудование, операционные системы и приложения.
- Инфраструктура как услуга (IaaS): предоставляет базовые вычислительные ресурсы, включая серверы, хранилища и в некоторых случаях сетевые ресурсы, потребителям, которые сами устанавливают операционные системы и приложения.
- Облачный режим:
- Публичное облако: любые активы, арендованные потребителем, управляются внешним CSP.
- Частное облако: организуйте свои собственные ресурсы для создания частного облака и управления им.
- Community Cloud: две или более организации предоставляют ресурсы облачной инфраструктуры.
- Гибридное облако: комбинация двух или более облаков.
16.2.5 Управление медиа
- Медиа-менеджмент — это использование мер по управлению и защите носителей и данных, хранящихся на носителях.
- Если носитель содержит конфиденциальную информацию, эта информация должна храниться в безопасном месте со строгим контролем доступа.
- Управление мультимедиа может также включать использование технических средств контроля для ограничения доступа к устройствам из компьютерных систем.
- Управление ленточными носителями
- Ленты часто подвержены повреждениям из-за коррозии, поэтому лучше хранить две резервные копии.
- Чистота места хранения напрямую влияет на срок службы и доступность оборудования для хранения ленточных носителей.
- мобильное устройство
- Мобильные устройства включают смартфоны и планшеты.
- Управление ленточными носителями
16.2.6 Управление жизненным циклом носителя
- Уничтожьте резервный носитель, как только срок его службы подойдет к концу.
16.3 Управление конфигурацией
- Управление конфигурацией помогает защитить системы в согласованном и безопасном состоянии и поддерживать это состояние на протяжении всего их жизненного цикла.
16.3.1 Базовый уровень
- Когда система развернута с базовым уровнем безопасности, она будет более безопасной.
- Базовые показатели могут создаваться совместно с контрольными списками. Для реализации базовых показателей используются сценарии и инструменты операционной системы, а автоматизированные методы позволяют уменьшить потенциальные ошибки ручных базовых показателей.
16.3.2 Создание базовой линии с помощью зеркалирования
- Администратор устанавливает на компьютер операционную систему и необходимые приложения.
- Администраторы используют программное обеспечение для создания изображений для получения изображений системы.
- Вручную разверните образ в системе.
16.4 Управление изменениями
- Управление изменениями помогает уменьшить непредвиденные сбои, вызванные несанкционированными изменениями.Цель управления изменениями — гарантировать, что изменения не вызывают сбоев.
- Изменения могут ослабить безопасность
16.4.1 Анализ влияния на безопасность
- После того как эксперты оценят управление изменениями и определят влияние на безопасность, сотрудники приступают к внедрению изменений.
- Общие шаги для изменения:
- Запросить изменение: Сотрудник запрашивает изменение.
- Обзор изменений: Эксперты рассматривают изменения
- Утвердить/отклонить изменения: эксперты одобряют и отклоняют изменения.
- Планируйте и внедряйте изменения:
- Изменения в документах: документируйте изменения, чтобы все соответствующие люди были ознакомлены с изменениями.
16.4.2 Контроль версий
- Контроль версий относится к контролю версий, используемому в управлении сдерживанием программного обеспечения.Если изменения не могут контролироваться с помощью системы контроля версий определенного типа, это может привести к параличу веб-сайта, вызванному изменениями.
16.4.3 Документы конфигурации
- Документы конфигурации определяют текущую конфигурацию системы, определяют владельцев системы и цели системы, а также применяются к базовым изменениям.
16.5 Управление исправлениями и снижение уязвимостей
- Управление исправлениями и управление уязвимостями используются одновременно для защиты систем предприятия от угроз.
16.5.1 Управление исправлениями
- Патч — это общий термин, используемый для любого типа написания кода.
- Общие шаги по управлению исправлениями
- Оценка исправления: после того, как поставщик выпустит исправление, администратор оценивает исправление и определяет, подходит ли оно для его системы.
- Тестовые исправления: администраторы в любое время тестируют исправления для одной системы, чтобы убедиться, что исправление не вызывает других побочных эффектов.
- Утвердите исправление. После тестирования исправления и определения его безопасности одобрите исправление.
- Развертывание исправления. После тестирования и утверждения администратор развертывает исправление.
- Убедитесь, что исправление развернуто. После развертывания исправления администраторы регулярно тестируют и проверяют систему, чтобы убедиться, что системное исправление по-прежнему эффективно.
16.5.2 Управление уязвимостями
- Управление уязвимостями подразумевает регулярное обнаружение уязвимостей, их оценку и принятие соответствующих мер для снижения связанных с ними рисков.Общими элементами программ управления уязвимостями являются сканирование уязвимостей и регулярные оценки уязвимостей.
16.5.3 Сканирование уязвимостей
- Сканирование уязвимостей — это программный инструмент, используемый для проверки систем и сетей на наличие известных проблем безопасности. Злоумышленники используют сканирование уязвимостей для обнаружения уязвимостей в системах и сетях.
16.5.4 Оценка уязвимостей
- Оценки уязвимостей обычно включают результаты сканирования уязвимостей, а оценки сканирования уязвимостей часто являются частью анализа и оценки рисков.
16.5.5 Распространенные уязвимости и раскрытие информации
Список Common Vulnerability Exposure (CVE), база данных CVE предоставляет организациям удобство создания управления исправлениями и управления уязвимостями.