1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> skadelig programvare >>

Hvordan bruke forsvars i dybden for å skape en (nesten) usårbar computing environment

Q: Fra Anakin: " Vi er i ferd med å omstrukturere vår IT-miljøet (software og hardware) og leter etter en løsning der våre systemer vil ikke bli utsatt for noen form for trussel fra vår Internett-tilkobling. Den lett fikse er å omgi oss med dyre og kompliserte lag av deteksjon programvare og apparater. Men jeg føler meg som om det er en måte vi kan utforme et system som er usårbar i første omgang. Så langt har vi inkludert følgende i vårt design: tynne klienter, ASP vert apps, PC kniver, streaming OS og programmer, virtuelle PC-er og servere, diskløse Linux arbeidsstasjoner, ikke-mainstream leverandører, flere system domener og brukerprofiler, isolasjon servere , OS fryse type produkter, etc. Vi har også kommet opp med en rekke mulige strategier, men alle har vært mangelfull. Jeg er åpen for alle " utenfor-of-the-box " kreativ løsning. Vårt firma har ca 50 brukere, og kjører for øyeblikket Win NT, MS Office 97 Pro, Exchange 5.5 og Outlook 98. Eventuelle forslag "?
Mer informasjon

Discover
hvorfor organisasjoner bør distribuere en Intrusion Prevention System (IPS) ASAP

Lær ulike taktikker du kan benytte for å beskytte nettverket.

Vår Network Intrusion Prevention ressurssenter


A:
Fra bobkberg, " Det er et svar, men du vil ikke like det. Det kalles en avbitertang. (* klipp *) Den generelle konsensus i sikkerhetsmiljøet er forsvars i dybden - som betyr flere lag. Det beste alternativet er å sette alt gjennom applikasjonsspesifikke proxy-servere og sette opp følgende:
Ingen direkte tilgang - med antivirus all
E-post gateway via en proxy-server
Corporate, sentralstyrt og nedla antivirus
bedrifts patch kontroll
Validering på en MAC adresse nivå som en gitt maskin er autorisert og lappet, etc., eller det blir ikke på nettverket - det er satt i karantene på et eget VLAN
.
Lås ned Internet Explorer til den mest paranoide nivå
Deaktiver Autoplay for CDer innsatte
deaktivere muligheten til å starte opp av en diskett eller en CD
Utfør regelmessige kontroller for rogue trådløst utstyr
Få en topologi rapport fra telefonselskapet og sjekke hver linje for modemer "

A:.
Fra amigus, " Vel den gode nyheten er at i søket etter den hellige gral av Internet computing er du ikke alene. Faktisk vil omtrent alle hva du vil. Det største problemet med noen strategi /løsning du er sannsynlig å tenke ut er: a) Det vil ha iboende begrensninger eller mangler;. og b.) vil det kreve mye testing og vil fortsatt ha noen negativ innvirkning på produktiviteten. OK, nok filosofi, her er hva jeg vil anbefale, og har hatt mest suksess med:
Standard programvaren sett (s)
, fortrinnsvis med en ganske ny versjon av alt. Den nyere versjonen av omtrent alt har mer sikkerhet innebygd, og du stå en bedre sjanse til å kunne muliggjøre at sikkerhet og effektivt opprettholde den hvis du har en standard programvare sett.
Herding
. Det finnes bøker, webcasts, artikler, etc. alle over Internett som lærer deg hvordan du kan justere operativsystemer og applikasjoner, slik at de blir immune mot hele klasser av angrep. Jeg kan gjerne klikke på den nyeste IM-borne virus på min Windows XP boksen, og det har ingen innvirkning.
Engangs miljøer.
Harde virkeligheten er at du sannsynligvis ikke kommer til å få ditt hellige gral uansett hvor hardt du prøver. Du må innrømme for deg selv og ledelsen at uansett hva du gjør det vil alltid være angrepsvektorer i nettverket ditt. Trikset er å planlegge for og optimalisere utvinningen. Bygge systemer som kan bygges raskt og enkelt. Automat og regelmessig gjøre arbeidsstasjon installerer for eksempel

Jeg vil også se nærmere karantene med IPsec autentisert kommunikasjon, web-caching /Web-filtrering, HIDS og IPS "..;

A:
Fra Dargandk, " For en sikrere datamiljø, det hele koker ned til den tilnærmingen du tar. Her er noen punkter som jeg anser er viktig:
Sikring omkretsen er ikke den komplette løsningen Anmeldelser - Sikre dine ressurser, dine viktigste servere, bør søknader være godt beskyttet, sammen med omkretsen løsning. Innen sikkerhet design stole på multippel kontroll design. Noen av kontrollene skal være i form av forebyggende kontroller, samtidig må du vurdere avbøtende og kompenserende kontroller
Standardisere Anmeldelser -. Hvis du ønsker å bygge på en tynn klient miljø eller brukerbaserte maskiner (som jeg vil anbefale), sørg for at konfigurasjonen er basert på standarder, og det er konsekvent. For eksempel bør hardware /software og programpakkene være konsekvent
Standarder Anmeldelser -. Denne gangen jeg henviser til bransjestandarder, for eksempel protokoller og design. Et avvik kan være nødvendig hvis du har en sterk business case. Ellers følger KISS prinsippet holde det enkelt og rett og følge standardene
Utvikle sterke prosesser og rutiner som kan håndheves gjennom teknologi Z -.. Dette er det viktigste kravet for å fortsette operasjoner og viktige problemstillinger "

A:
Fra Tatworth, " Det er en nøkkel setning - forsvar i dybden.. Foruten de åpenbare antivirus, inkluderer antispyware i din standard bygge. Gitt din antall brukere, vurdere å bruke Smoothwall Linux som brannmuren (eller ytre brannmur). Aldri skryte om usårbarhet - for å gjøre det ville være å invitere hackere til å angripe "

A:.
Fra Erik, " Alle dere har gitt gode praktiske råd. Jeg tror imidlertid at du mangler noe: risikovurdering! For å finne problemet, må hver person å identifisere sine egne kritisk informasjon eiendeler og deres potensielle trusler - disse kan være fysisk, logisk, ekstern, intern, etc. Identifisere potensielle sårbarheter og etablere mulige fysiske, administrative og logiske /tekniske mottiltak samt som en definitiv strategi for å implementere dem. Husk at den største trusselen kan være en mangel på ansvarlighet eller brukeradministrasjon, en dårlig vedlikeholdt drenerings over datarommet, eller rett og slett en dør uten lås. Jeg innser at dette ikke er hva spørsmålet er om; Men jeg tror det er viktig for alle å innse at dette problemet ikke er en IT-problem - det er en informasjonssikkerhet ledelsen problemet "

Dette spørsmålet og svaret tråden ble opprinnelig postet i. ITKnowledge Exchange-forum
.

Bli med dine kolleger i dag og begynne å motta verdifulle svar på dine tøffeste informasjonssikkerhet spørsmål. Eller et nettverk med jevnaldrende for å utveksle tekniske råd og strategiske ideer om sikkerhetsaspekter. Besøk ITKnowledge Exchange.