Cómo auditar un sistema de correo electrónico

3

Estoy trabajando en un proceso de auditoría para el sistema de correo electrónico de mi empresa (Exchange 2010). A partir de este proceso, esperamos expandirlo a otros sistemas y comenzar a solucionar los problemas de seguridad que tenemos (mi lugar de empleo descuidó la seguridad durante años y los está alcanzando). Algunos de los problemas que estamos experimentando son la falta de línea de base, el arrastre de privilegios, la configuración deficiente / inexistente, los puertos, protocolos, servicios innecesarios, la falta de parches oportunos ... Continúa.

De todos modos, estamos más preocupados por los aspectos técnicos. A continuación se muestra lo que ya he cubierto:

  1. Se revisó el software instalado por necesidad, se contrató el soporte si es necesario, software EOL / no actualizado / sin parche.
  2. Auditorías de referencia de CIS, DISA y Microsoft SCM para el sistema operativo y otro software instalado (parte de nuestro trabajo aquí es establecer una jerarquía de las mejores prácticas de la industria que usaremos)
  3. PPS revisado para cada máquina para determinar si PPS "tiene sentido" (una máquina tiene reglas de cortafuegos para todos los puertos de Quake Arena).
  4. Estoy en el proceso de determinar la amplitud de los usuarios (internos, externos, proveedores externos, contratistas, etc.).
  5. Políticas relacionadas, como retención / respaldo / almacenamiento de correo electrónico y administración de cuentas (SPOILERS: Slim to none).

Estoy revisando NIST 800-53 y 800-137, Evaluar y monitorear documentos, y recientemente descubrí que NIST 800-45 parece prometedor.

El objetivo final es asignar un valor de riesgo al sistema y las vulnerabilidades, luego usar el proceso para expandirse a otros sistemas. ¿Ves algún agujero importante en mi enfoque?

    
pregunta Tchotchke 11.04.2017 - 18:14
fuente

1 respuesta

1

Antes de comenzar a auditar los controles de seguridad de este sistema de correo electrónico y recomendar cambios que mejoren la seguridad, sería útil dar un paso atrás y evaluar el riesgo a través de una evaluación de riesgos. Algunas preguntas para ayudarlo a guiarlo:

  

¿Cuál es el "valor comercial" de los datos almacenados en este correo electrónico?   sistema?

Tenga en cuenta la pérdida de datos permitida (RPO) y el tiempo de inactividad máximo permitido (RTO)

  

¿Qué es la clasificación de seguridad / etiquetado de los datos almacenados en este sistema de correo electrónico? ¿Se considera confidencial / sensible?

Cuanto más sensibles sean los datos de la aplicación, más estrictos serán los controles que rodean a la aplicación. Si bien es importante considerar las amenazas y las vulnerabilidades asociadas que en conjunto constituyen un riesgo en general, en este caso, le sugiero que se centre en los controles de seguridad que mitigan los riesgos de Confidencialidad y Integridad.

La confidencialidad debe ser una de las principales prioridades, ya que el correo electrónico puede contener datos confidenciales, como los próximos planes de negocios o pronósticos, así como información personal sobre los clientes / empleados. La divulgación de estos datos a partes no autorizadas puede resultar en una pérdida de ventaja competitiva, multas legales, etc.

La integridad es importante, ya que para que la información sea confiable, querrá asegurarse de que la información no se haya modificado desde el momento en que se envió hasta que se recibió. Dependiendo de la clasificación de sensibilidad de los correos electrónicos, es posible que también desee firmar digitalmente el correo electrónico para poder rastrear al remitente del correo electrónico y detectar cualquier manipulación del mensaje.

  

¿Qué puede suceder si se dan cuenta de las amenazas a este sistema de correo electrónico? - Impacto

Si tiene los datos disponibles, puede cuantificar su evaluación de riesgos en términos de pérdida numérica. Si dichos datos no están disponibles, puede indicar cualitativamente los posibles resultados adversos, como la pérdida de datos confidenciales, podría llevar a una reputación dañada, multas legales, etc.

En cuanto al conjunto específico de procedimientos que enumeró, son un buen comienzo, pero yo agregaría lo siguiente a esa lista:

  1. Revise las medidas de seguridad contra vectores de ataque específicos que a menudo explotan correos electrónicos como phishing / spear phishing / whaling

  2. Revise las políticas de uso aceptable con respecto al correo electrónico y en lugar, (si las hay) protege contra la fuga de datos, como una solución DLP.

El correo electrónico es uno de los métodos principales mediante los cuales se propagan los ataques que pueden resultar en un compromiso de datos, como las variantes de phishing que enumeré.

Con respecto al punto 2, la exfiltración de datos es un riesgo grave que puede tener graves impactos en su organización. Por ejemplo, un empleado desprevenido puede reenviar un correo electrónico corporativo que contenga comunicaciones confidenciales a una cuenta de correo electrónico personal, o puede copiarlo a un dispositivo USB y llevarlo fuera de la compañía donde la empresa TI pierde todo el control sobre cómo se pueden usar y / o distribuir los correos electrónicos. .

    
respondido por el Anthony 01.06.2017 - 05:39
fuente

Lea otras preguntas en las etiquetas