¿Es aceptable que los ingenieros de seguridad tengan acceso de administrador a los servidores de producción?

5

En mi organización, nuestro equipo de infraestructura de servidores ha mantenido históricamente todo el acceso de los administradores a los servidores de producción. Recientemente intentamos fortalecer nuestra postura de seguridad, por lo que hemos contratado a varios nuevos ingenieros de seguridad. Estamos invirtiendo fondos significativos en nuevos conjuntos de herramientas para ellos, y también estamos tratando de identificar dónde necesitamos cambiar nuestras políticas y modelos de seguridad para permitirles hacer su trabajo de manera efectiva.

Algunos de los ingenieros de seguridad creen que deberían tener acceso de administrador a los servidores de producción para investigar actividades sospechosas, según lo informado por sus nuevas herramientas.

El equipo de infraestructura del servidor ha propuesto que podrían otorgar acceso a servidores individuales según sea necesario para incidentes específicos. Los ingenieros de seguridad argumentan que un proceso de alta fricción podría ralentizar las investigaciones, que por su naturaleza a menudo tienen lugar en situaciones en las que los minutos cuentan, y en los que no saben realmente a qué servidores necesitarán acceso hasta que estén a la altura. -después de la investigación, y hacer una pausa cada pocos minutos para solicitar acceso a un nuevo servidor sería innecesariamente engorroso. El equipo de infraestructura del servidor argumenta que las herramientas de los ingenieros de seguridad deberían proporcionar visibilidad de la mayoría de los datos que necesitan los ingenieros, y se muestran reacios a conceder a los ingenieros acceso general de administración.

¿Se recomiendan las mejores prácticas para tales situaciones? Entiendo el deseo del equipo de infraestructura del servidor de mantener el principio de privilegio mínimo por el bien de la seguridad. Pero también entiendo que los ingenieros de seguridad tienen cierta confianza implícita en la naturaleza de su función. En las grandes organizaciones, ¿cómo se gestiona el acceso de los ingenieros de seguridad a los servidores?

    
pregunta loneboat 12.04.2018 - 22:07
fuente

1 respuesta

4

Buena pregunta. Este es un tema difícil. La respuesta fácil es "depende" y no hay una respuesta perfecta. Además, no es posible dar una respuesta prescriptiva si deberían tener este acceso sin considerar el alcance detallado de los equipos. Pero intentaré proporcionar un mejor contexto.

Primero, el trabajo debe hacerse y los Ingenieros de Seguridad tienen un buen punto si no pueden realizar su trabajo. Asegúrese de que los Ingenieros de Seguridad necesitan acceso. Deberíamos desglosar el problema para identificar si los Ingenieros de Seguridad necesitan acceso o no. Estos pasos iniciales pueden ser obvios, pero los enumeraré de todos modos:

  1. ¿Qué tareas deben cumplir los ingenieros de seguridad? Se específico. ¡La respuesta a la pregunta depende en gran medida del alcance del trabajo de los Ingenieros de Seguridad!
  2. De estas tareas, ¿qué brechas existen en su acceso actual?
  3. ¿Hay algún medio para darles acceso a la información / controles necesarios sin proporcionarles acceso directo?
  4. ¿Vale la pena hacerlo? A menudo puede ser demasiado trabajo o demasiado costoso (es decir, no vale la pena) tratar de implementar una solución para que tengan la información y los controles necesarios. Y en este caso, el acceso directo es la solución mejor / más barata.

Si los Ingenieros de Seguridad requieren acceso (la mayoría de las veces lo hacen), entonces debe emplear la defensa en profundidad para tratar de estar lo más seguro posible. En otras palabras, la empresa debe intentar tomar medidas para prevenir un incidente y tener una capacidad de respuesta adecuada. Al hacerlo, el riesgo se puede reducir a un nivel manejable.

Algunas consideraciones:

  • Prevención de incidentes
    • Mínimo privilegio : proporcione el menor número posible de acceso a Ingenieros de seguridad. Más cuentas con acceso aumentan la superficie de ataque. Para cada cuenta que necesita preocuparse:
      1. la cuenta está comprometida, y
      2. el empleado causa daños intencionales o no intencionales.
    • Autenticación fuerte (multifactor): Imponga la autenticación fuerte para evitar que la cuenta se vea comprometida y ayuda a imponer el no repudio.
    • Limitar accesibilidad : si es posible, reduzca la capacidad de alcanzar el sistema de la red al requerir acceso a la intranet, VPN o desde un cuadro de salto.
  • Respuesta a incidentes : si ocurre un incidente, estos te ayudarán a enfrentar la situación.
    • No repudio : el acceso de los administradores a los sistemas debe estar bien documentado y auditado de manera que se evite, en la medida de lo posible, que un administrador niegue haber ejecutado las acciones.
    • Separación de tareas : por ejemplo, los ingenieros de seguridad no deberían tener la capacidad de modificar los registros. Esto ayuda con el no repudio. Además, asegúrese de que un ingeniero de seguridad no pueda causar daños irreparables al no darles acceso a las copias de seguridad de las configuraciones / software / datos.

Hay muchos más, pero personalmente creo que si lo anterior está bien establecido, entonces el Equipo de Infraestructura se sentiría más cómodo al dar acceso a los Ingenieros de Seguridad.

En resumen : Proporcione a los equipos el acceso que necesitan para hacer su trabajo. No limite su acceso a los recursos necesarios. Sí, esto significa que estás aumentando tu superficie de ataque, pero puedes usar la defensa en profundidad para minimizar el riesgo.

    
respondido por el theoneandonly2 13.04.2018 - 01:19
fuente

Lea otras preguntas en las etiquetas