במהלך עבודתי אני שם לב כי רבים מארועי אבטחת מידע(Security Incident) הינם תוצאה ישירה של קונפיגורציה לא נכונה כאשר ההשלכות עלולות להיות מסוכנות החל מחשיפה לתביעות ועד לנזקים בעלי אומדן כלכלי רב.
במידה ולא מתבצע תיעוד מדוייק של שינוי הקונפיגורציה תקלה בסיסית הנובעת משינוי קונפיגורציה יכולה להמשך עד מספר שעות מאחר והשינויים אינם מתועדים כמו גם לא תמיד אנו מגלים כי התקלות אכן נובעות מהשינויים עצמם.
כבר נתקלתי במומחי IT אשר ביצעו הגדרות שגויות ולא זכרו להגיד במדויק מה עשו ,מערכות ללא תיעוד מלא של שינוי הקונפיגורציה ומערכות מושבתות למשך זמן רב.
כאשר מדובר בארגון הנדרש לעמוד בתקן כדוגמת PCI או ISO 27001 עליו להטמיע פתרון לניהול מרכזי אשר יתעד את כל השינויים הבוצעו במערכת.
להלן הצעדים אשר עלינו לנקוט כמנהלי אבטחה בארגון:
1.יש לבצע כיול למוצרים להגדרות ה-Audit וה-Logs עד לרמת fine-tuning :הדרך המקצועית ביותר על מנת לא לפספס דבר הוא להעזר במדריכים של ה-Vendors עצמם , ראו דוגמת Cisco,או דוגמת Microsoft במוצר Active Directory.
2.יש להטמיע מערכת SEIM/SOC בארגון ולבצע קורצליה וארכיב לכל קבצי ה-Logs בזמן אמת.
3.יש להטמיע פתרונות Integrity כדוגמת Scriptlogic, TripWire, NetIQ, ManageEngine המתריאים בפני כל נסיון לשינוי הגדרות החל משרת ה-Active Directory ,שרת ה-Exchange ה-Network Infrastructure ועוד.
4.יש הטמיע פתרון Configuration Management מרכזי, ל-ManageEngine יש פתרון איכותי לרכיבי רשת.
5.במידה ולא ניתן ליישם את הפתרונות הנ"ל מסיבות כאלו ואחרות , תמיד ניתן להטמיע שרת Syslog שיקל עלינו מאוד.
הנ"ל יקלו עלינו מאוד בפתירת תקלות ועד לסיום תחקיר האירוע והפקת לקחים.
אין תגובות:
הוסף רשומת תגובה