No tengo nada más que el sentido común para ofrecer.
Toque la red, recopile flujos de red y verifique los flujos de red.
Introduzca reglas para permitir esos flujos de red.
Cuando hicimos esto, descubrimos que los flujos de red son una distribución de cola larga. Trabaja desde ambos extremos:
- Trabaje con las partes interesadas para determinar las necesidades comerciales y documéntelas como reglas de permiso de firewall. Esto requiere mucha negociación de habilidades blandas en conjunto con otras actividades.
- Estudie los altos flujos de tráfico, valide que estén alineados con las necesidades del negocio y permítales explícitamente
- Estudie los flujos de red de baja frecuencia y vea si se alinean con las necesidades del negocio; Si no, bloquéelos
- Obtenga acceso a una lista negra con malos actores conocidos; Alarme o bloquee estos (este es un buen paso para usar para alimentar a los interesados
En cada caso, cuando crea que ha identificado un flujo deficiente, ejecútelo como una alarma hasta que pueda lograr que los interesados acuerden que no está alineado con las necesidades del negocio.
Dependiendo de lo cerca que esté de su administración, mediré cada uno de estos pasos y anunciaré los resultados. Mida el ancho de banda a través de sus reglas de permisos y sus reglas de denegación e infórmele a la administración que ha conservado el valor de X MB (y al precio actual del ancho de banda, eso es $) Y ha negado Y MB de tráfico (en el momento actual) precio, eso es $. Probablemente también incluya que estoy estudiando ZMB de tráfico. En última instancia, su trabajo está bloqueando el ataque, preservando la red para usos legítimos y avanzando significativamente el estado de continuidad de las operaciones de la empresa, los planes de recuperación de desastres y devolución. .