Estoy trabajando en un proceso de auditoría para el sistema de correo electrónico de mi empresa (Exchange 2010). A partir de este proceso, esperamos expandirlo a otros sistemas y comenzar a solucionar los problemas de seguridad que tenemos (mi lugar de empleo descuidó la seguridad durante años y los está alcanzando). Algunos de los problemas que estamos experimentando son la falta de línea de base, el arrastre de privilegios, la configuración deficiente / inexistente, los puertos, protocolos, servicios innecesarios, la falta de parches oportunos ... Continúa.
De todos modos, estamos más preocupados por los aspectos técnicos. A continuación se muestra lo que ya he cubierto:
- Se revisó el software instalado por necesidad, se contrató el soporte si es necesario, software EOL / no actualizado / sin parche.
- Auditorías de referencia de CIS, DISA y Microsoft SCM para el sistema operativo y otro software instalado (parte de nuestro trabajo aquí es establecer una jerarquía de las mejores prácticas de la industria que usaremos)
- PPS revisado para cada máquina para determinar si PPS "tiene sentido" (una máquina tiene reglas de cortafuegos para todos los puertos de Quake Arena).
- Estoy en el proceso de determinar la amplitud de los usuarios (internos, externos, proveedores externos, contratistas, etc.).
- Políticas relacionadas, como retención / respaldo / almacenamiento de correo electrónico y administración de cuentas (SPOILERS: Slim to none).
Estoy revisando NIST 800-53 y 800-137, Evaluar y monitorear documentos, y recientemente descubrí que NIST 800-45 parece prometedor.
El objetivo final es asignar un valor de riesgo al sistema y las vulnerabilidades, luego usar el proceso para expandirse a otros sistemas. ¿Ves algún agujero importante en mi enfoque?