Estoy tratando de realizar un estudio comparativo entre los estándares utilizados para realizar una auditoría de configuración de seguridad. Solo encontré puntos de referencia CIS . Si pudieras sugerir algunos estándares más conocidos, sería útil.
Estoy tratando de realizar un estudio comparativo entre los estándares utilizados para realizar una auditoría de configuración de seguridad. Solo encontré puntos de referencia CIS . Si pudieras sugerir algunos estándares más conocidos, sería útil.
Los CIS son buenos para que cualquier organización los implemente, aunque están fechados. Actualmente se está trabajando para actualizar las políticas y mantenerse al día con la versión del software, pero están muy atrasados. Los veo como estándares basados en "no auditorías", ya que algunas de las configuraciones permiten a los usuarios borrar el historial (explorador de Internet) y demás.
Microsoft tiene sus propias políticas basadas en CIS, que recomiendan como su "estándar de seguridad". Estos son ahora parte de su Kit de herramientas de cumplimiento de seguridad y se pueden encontrar en aquí . Existen muy pocas diferencias entre CIS y Microsoft, aunque las políticas de MS tienden a ser más tolerantes cuando se trata de acceder a los sistemas y quién tiene los derechos para hacer lo que sea.
DISA está un poco más bloqueado y más basado en la auditoría, lo que significa que quieren que los datos se queden en su dispositivo para que tengan evidencia de lo que está haciendo y para poder hacer un seguimiento de lo que hizo, si lo hiciera algo mal. Estos son un poco más complicados de implementar, y la redacción de las políticas es muy corta y seca. Las políticas para empleados gubernamentales habilitados para CAC se encuentran aquí , aunque sí dan acceso a algunos STIGS para no CAC . Los usuarios no gubernamentales que tienen una dirección de correo electrónico .mil o .gov pueden obtener STIGS a través de SPAWAR aquí .
Y según lo establecido por LPT, USGCB es para el resto de nosotros, y se puede encontrar aquí .
Vi una publicación anterior en la configuración de DISA, donde alguien preguntaba por qué necesitas eliminar los administradores de dominio y de empresa de los derechos de los usuarios específicos. Recuerde, ellos quieren que usted los elimine porque quieren que usted presente su propia solución para hacerlo más seguro. Crea un nuevo grupo. Agregue las personas que necesitan los derechos e implemente su solución. ¡El menor privilegio es la clave!
Si aún necesita una hoja de cálculo comparativa en DISA, CIS y Microsoft, comencé a construir una hace unos meses para mostrar las diferencias entre ellos. Con la versión de Windows, las columnas empezaron a ser un poco rebeldes, así que dejé de trabajar en ello. Realmente necesita ser puesto en una base de datos.
Lea otras preguntas en las etiquetas audit