我最近担任一家将要接受审核的公司的单身表演。网络尚未准备就绪,我一直在寻找一份通用的审计清单,因为审计师没有提供一份清单,也没有发现很多好的信息。有没有人有一个不错的模板,它将为我提供一个良好的起点。我知道这将是高度定制化的公司,但起点将有助于概述管理层需要多少工作。
我最近担任一家将要接受审核的公司的单身表演。网络尚未准备就绪,我一直在寻找一份通用的审计清单,因为审计师没有提供一份清单,也没有发现很多好的信息。有没有人有一个不错的模板,它将为我提供一个良好的起点。我知道这将是高度定制化的公司,但起点将有助于概述管理层需要多少工作。
Answers:
我一直在寻找一般的审计清单,因为审计师没有提供清单
真令人失望。我做了很多年了,这是我们的惯例,是详细概述要评估的内容和原因(方法)。我们提交了正式的信息请求,为IT员工提供了运行和收集数据的工具,包括收集过程的任何潜在影响(如果有)。我们还必须安排带有详细议程的会议,这通常意味着他们知道会发生什么。在这样的主动行动中给某人打沙袋没有建设性的目的。问题通常很多,大多数IT人员愿意讨论是否适当开展了这项工作。
就是说,如果您看的话,那里有很多清单。但是,这项工作的主要目标应该是尽可能多地发现问题,确定优先级并制定补救措施计划。我不会太担心“准备”。既然您是最近开始的,应该了解这个地方并非一夜之间就崩溃了。
如果您确认需要改进的网络收到了良好的报告,那可能会浪费公司的钱。
我将做出一个粗鲁的假设,并假设您正在询问如何准备着重于技术(甚至可能是渗透测试)的内部安全审核。
在技术方面,如何准备安全审核将取决于审核的目标。如果目标是定义有关如何改进基础结构的规范,则可能什么也不做。如果目标是确保没有差距,建议您在审核之前进行差距分析并纠正发现的差距。
对于基本的IT最佳实践,我建议参考PCI DSS。当然,它包括您应该已经做的显而易见的事情,例如为安全漏洞修补软件。
为了复制安全审核,我将首先回顾《开源安全测试方法手册》中详细介绍的渗透测试方法。(OSSTMM)
如果您正在寻找更多细节,我建议您重写您的问题,以减少歧义。
当您制造机器时,应确保您达到了NSA安全指南中的所有实际要点(某些情况可能对您造成不利影响):
http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/
而且,当您设置机器时,应该以自动化的方式进行操作,因为每个机器都是彼此之间的千篇一律。通过安装介质“手动”构建可能会在您错过任何东西时容易出错。
自动化!自动化!自动化!
任何半常规过程都应尽可能编写成脚本。这包括系统安装,修补,漏洞扫描/审核,密码强度测试。
确保每台机器都完全更新是不切实际的。这就是为什么OpenVAS存在(OpenVAS是Nessus的新免费版)。您可以告诉OpenVAS扫描内部网络上的每台计算机,以找出问题区域。您还需要远程运行它以了解远程攻击面。您会发现防火墙规则集和计算机容易受到攻击的问题。
如果我理解得很好,则您需要一种检查清单,这似乎是一个很好的起点。您可以使用Internet挖掘很多建议的方法,但是我更喜欢这一方法。除了审核主题之外,您还可以及时找到其他需要的主题。