Security + certification: consolider vos défenses

Durcissement

fait référence au processus de faire des changements à un dispositif informatique ou réseau afin de le rendre moins vulnérables aux intrus. Ceci est important parce que les ordinateurs et les réseaux qui une utilisations de l'organisation sont censés continuer à fonctionner sans interruption- l'information commerciale contenue dans ou traitées par eux devrait maintenir son intégrité.

Pour un certain nombre de raisons qui sont sans rapport avec le sujet de la certification de sécurité +, systèmes ne viennent pas de leurs fabricants dans un état complètement durci. Il appartient à l'organisation qui utilise les systèmes d'effectuer toutes les procédures de durcissement qui sont appropriés pour leur environnement.

Le durcissement appropriée d'un système se résume à cinq principes:

• Gardez les correctifs de sécurité et des correctifs en cours. Pratiquement chaque fournisseur de matériel et logiciel de temps à autre publie des correctifs de sécurité. Il est essentiel que chaque organisation en utilisant le produit d'installer le correctif de sécurité dès que possible afin d'éviter les incidents de sécurité.

• Désactiver ou supprimer des composants inutiles. Si un composant logiciel sur un système est utilisé, il est probablement inutile. Chaque composant inutile sur un système doit soit être désactivée ou, mieux encore, entièrement supprimée. Quand un composant logiciel est supprimé d'un système, alors toute vulnérabilité découverte dans ce composant ne peut pas constituer un risque pour le système. Si le composant défectueux ne fonctionne pas ou est pas présent, alors il ne peut pas être utilisé pour briser à un système.

• Désactiver les configurations d'accès par défaut. Systèmes et dispositifs de réseau peuvent avoir des comptes et / ou des mots de passe par défaut qui, si elle reste inchangée, fournissent un accès facile par un intrus. Les comptes d'invités doivent être désactivés ou les mots de passe par défaut removed- doivent être changed- comptes sans mot de passe doit être désactivé ou mots de passe affectés.

• Serrer les contrôles d'accès. Trop souvent, les autorisations d'accès aux ressources telles que des programmes ou des fichiers sont trop laxistes. Dans un effort pour obtenir un nouveau service mis en place, les administrateurs système changent fréquemment des contrôles d'accès à "ouverts" et puis, dans leur hâte de terminer le projet, la négligence à serrer accès. Plus tard, l'accès "grande ouverte" peut être exploitée par un intrus qui peuvent voler ou endommager informations.

• Activez la journalisation d'audit. Beaucoup de systèmes d'exploitation et applications, alors qu'ils contiennent une fonctionnalité de journalisation événement / access / vérification, sont fréquemment livrés à l'exploitation forestière éteints ou handicapés. En utilisant la journalisation des événements, il peut être possible de re-tracer certaines des mesures prises par un intrus.

Ces principes universels applicables dans à peu près toutes les situations concernant les ordinateurs et les périphériques réseau. Si les ingénieurs système et réseau sont diligents et suivent ces principes, alors que la majorité des incidents de sécurité potentiels sera empêché.

Les failles de sécurité et des correctifs

Les ordinateurs et périphériques de réseau ont à leur plus des logiciels qui contrôlent leur fonctionnement de base d'un ou. En cours d'écriture, installés et gérés par les humains imparfaits, parfois les ordinateurs et les périphériques réseau contiennent des failles qui permettent un comportement inattendu. Une fois de temps en temps cette résultats inattendus de comportement chez quelqu'un d'être en mesure de contrôler ou de modifier le système. Ceci est généralement connu en tant que faille de sécurité.

Autres dysfonctionnements dans la suite de logiciels dans le système juste ne fonctionne pas comme prévu. Bien qu'ils ne peuvent pas prendre la forme de failles de sécurité, ils peuvent néanmoins être irritant.

Les entreprises qui fabriquent et les systèmes de soutien ont des gens dont le métier est de créer des mises à jour logicielles. Selon la raison de la création de la mise à jour, cela peut prendre plusieurs formes:

• Sortie de service. Aussi connu comme une mise à niveau de version ou service pack, le service de presse contiennent généralement de nombreux correctifs, et même disposent d'améliorations ou changements. Service de presse sont généralement produites à partir de une à trois ou quatre fois par an.

• Patch. Aussi connu comme un correctif, un patch est conçu pour changer un problème spécifique. Bien que les changements dans un patch sont généralement inclus dans un Service Release, généralement un patch est produit parce qu'il ya une urgence accrue. Typiquement un fournisseur produit un patch car il estime que ses clients doivent installer immédiatement au lieu d'attendre la prochaine version de service pour régler le problème.

Désactiver les services inutiles

Une application ou un service utilisé mais l'exécution peuvent augmenter le risque d'un système. Prenez, par exemple, le service FTP. FTP est une sécurité fiable et adéquate lorsqu'il est configuré correctement.

Supposons, par exemple, qu'une grave lacune a été découvert en FTP. Dites, si vous avez fourni un certain modèle dans le domaine de mot de passe, vous seriez en mesure de contrôler le système. Cela compromettrait l'intégrité du système. Toutefois, si FTP n'a pas été utilisé sur un système donné, alors il devrait être désactivés ou supprimés. Cela permettrait d'éliminer la menace causée par le défaut FTP, car si FTP ne fonctionne pas sur le système, alors il ne peut pas être exploitée afin de compromettre le système.

Accès par défaut Désactiver

Afin de faciliter leur configuration initiale ou utiliser, de nombreux systèmes sont expédiées au client avec un compte invité, et peut-être un mot de passe par défaut sur un ou plusieurs comptes administratifs. Si ces comptes ne sont pas modifiées ou désactivées, puis un intrus qui connaît les mots de passe par défaut d'usine ou d'autres méthodes d'accès pourrait être en mesure de contrôler un système.

Il est donc impératif d'effectuer tout ou partie de ce qui suit:

• Désactiver ou supprimer les comptes des clients.

• Changez les mots de passe par défaut sur les comptes.

• Assurez-vous que tous les comptes ont des mots de passe.

Comptes et mots de passe sont la première ligne de défense d'un système, il est donc important de ne pas faire aussi facile pour un intrus de compromettre votre système.

Serrer les contrôles d'accès

L'accès à tout ce qui touche à l'informatique et des réseaux doit être limité aux seules personnes qui ont une raison d'affaires de bonne foi pour y accéder. Considérez les indications suivantes:

• Résistez à la tentation de modifier les permissions d'accès à "grande ouverte" (permettant l'accès à toute personne et tout le monde).

• Adopter le principe de "nié sauf si explicitement autorisé". En d'autres termes, l'autorisation d'accès par défaut à une ressource devrait être "refusée." Ensuite, permettre explicitement l'accès à des groupes ou des individus spécifiques selon les besoins. Cela fonctionne mieux que «autorisé, sauf si explicitement refusé», qui permet aux utilisateurs de nouveaux accéder à une ressource autrement fermé (sauf si l'administrateur est de 100 pour cent diligent et ajoute chaque nouvel utilisateur à la "refusé" liste de chaque ressource gérée toujours).

• Adopter le principe de "utilisateurs ont seulement les moins de privilèges nécessaires pour effectuer leur travail." Ceci est connu comme le principe du «moindre privilège."

Activer la journalisation d'audit

L'enregistrement d'audit est une fonctionnalité présente dans la plupart des systèmes d'exploitation, bases de données et des applications plus importantes où la plupart (sinon tous) des transactions administratives utilisateur et sont enregistrées de façon indépendante. Ceci fournit une piste de vérification qui peut être utilisé pour reconstituer de routine ou d'événements inhabituels.

Journalisation d'audit au minimum doit contenir les éléments suivants qui décrivent une transaction ou d'un événement:

• Qui effectué la transaction. Ceci est généralement l'ID utilisateur associé à la transaction.

• Quand la transaction a été effectuée.

• Quoi a été contenue dans la transaction. Selon la nature de la transaction, ce qui peut contenir des «anciens» et «nouvelles» valeurs, ou une description de la transaction.

• Où la transaction a été effectuée. Ce sera généralement un ID terminal ou une adresse IP.