¿Qué se debe revisar para el retiro del servidor?

1

He leído que los equipos de seguridad de la información deberían participar en el proceso de retiro de servidores (por ejemplo, esta responder o esta guía de proceso de muestra ). Se supone que deben revisar y aprobar la solicitud de descomposición.

¿Qué se supone que infosec debe revisar exactamente? ¿Hay cosas específicas que el equipo de seguridad debería hacer cuando vea la solicitud? Por ejemplo, ¿deberían archivar los registros de eventos o capturar otra información para fines de auditoría?

Solo intento averiguar qué es lo que no estoy haciendo, pero debería hacerlo cuando declaro ciegamente "Aprobado" en cada solicitud.

    
pregunta Palisade Tobblestock 18.04.2018 - 23:42
fuente

2 respuestas

1

Digamos que dentro de unos meses su empresa tiene motivos para creer que hay un actor malicioso en la red que se produjo al aprovechar los servidores del clúster A. Sin embargo, el actor ha estado en la red por un tiempo y ha establecido persistencia. En muchas zonas. Desafortunadamente, usted retiró el cluster A el mes pasado y todos los datos se han ido. Ahora no hay registros para ver a qué accedió el actor, cómo ingresaron y adónde se fueron todos. ¡Si solo hubiera echado un vistazo rápido al sistema y hubiera guardado los registros, podría haber descubierto qué otros sistemas están en peligro!

En otros escenarios, en función del contenido de los servidores de máquinas virtuales, puede elegir que el espacio en disco se debe poner a cero para garantizar que los datos no se puedan recuperar. Es posible que haya un compromiso de prueba en curso o una investigación forense relacionada con ese servidor que es desconocido para otros equipos que están listos para eliminarlo.

Hay varias razones por las que un equipo de seguridad en particular puede querer revisar este proceso y las compañías pueden tener casos de uso más específicos, pero esa es la idea general.

    
respondido por el SuperAdmin 19.04.2018 - 08:27
fuente
0

Lo que deben hacer los organismos de seguridad informática depende de la forma en que la organización ejecuta su TI, los requisitos de cumplimiento aplicables y la configuración de los activos.

Un único host tendrá una huella mucho mayor que su propio sistema de archivos: se hará referencia a él en sistemas de monitoreo, sistemas de aprovisionamiento, sistemas de respaldo, acceso remoto, DNS ... al no poder garantizar que el host se elimine de estos cubra para que un cuco asuma la identidad de las máquinas (sin mencionar el impacto operacional de los errores que aparecen en estas, aunque eso no es el ámbito de la información).

Puede haber cuentas configuradas específicamente para acceder al recurso, certificados / otras claves de cifrado, reglas de firewall que deben eliminarse. Puede haber una asignación de licencias de software / hardware asociadas con el dispositivo, o incluso archivos de licencia específicos implementados en el dispositivo que deben recuperarse.

Por lo general, es una buena idea conservar la capacidad de restaurar el servicio por un período corto después de haberlo desactivado, y puede haber un requisito para conservar los datos para fines de auditoría / forense durante más tiempo.

En resumen:

  • la configuración de seguridad para el dispositivo debe ser eliminada de la infraestructura
  • los activos pueden necesitar ser recuperados
  • los datos pueden necesitar preservarse
respondido por el symcbean 19.04.2018 - 11:08
fuente

Lea otras preguntas en las etiquetas