La mejor fuente de orientación de configuración de seguridad

Navega tus respuestas
0

A lo largo de los años, he utilizado una serie de diferentes fuentes de orientación de configuración de seguridad para un espectro de sistemas que incluyen, por ejemplo:

Dado que hay tantas fuentes diferentes, en un intento de eliminar el espacio de opciones, ¿tienen sentido las siguientes reglas?

  1. Primero, siga las instrucciones del gobierno;

  2. En segundo lugar, en ausencia de instrucciones del gobierno, siga las recomendaciones del fabricante;

  3. Tercero, en ausencia de una recomendación del fabricante, siga la recomendación de las mejores prácticas (por ejemplo, CIS).

Pero dado que varias autoridades de mejores prácticas brindan consejos alternativos para el mismo sistema, ¿existen criterios para preferir una autoridad de mejores prácticas sobre otras (por ejemplo, CIS o Stig)?

PS No puedo calcular si la función de Aseguramiento de la información de la NSA sigue brindando este tipo de orientación, ¿siguen en el negocio de hacer esto?

    
pregunta Joe 05.10.2018 - 02:26
fuente

2 respuestas

0

En términos de Aseguramiento de la información, creo que los marcos como NIST serían los primeros en evaluar los riesgos y luego hacer referencia a las guías de fortalecimiento del gobierno y la industria.

Si está intentando "eliminar" las opciones, aquí es donde ayudan las evaluaciones de amenazas y riesgos.

He utilizado la guía de fortalecimiento del enrutador NSA con la documentación de mejores prácticas de Cisco. No calificaría uno por encima del otro, todo se reduce a la gestión de riesgos y a la justificación de las mitigaciones que está implementando.

    
respondido por el Derezzed 05.10.2018 - 06:36
fuente
0

RFC 1925: línea 10: una talla nunca se ajusta a todas.

Por lo tanto, nunca hubo un enfoque de seguridad con las mejores prácticas para todos.

Depende de cuál sea su estrategia de cumplimiento de políticas / enfoque. En general, creo que deberíamos seguir las guías generales de cada sistema / os, como los documentos de seguridad de Windows o las guías de seguridad de Redhat, porque equilibrarán el tiempo de seguridad / solución de problemas como sus enlaces anteriores.

Si su entorno se enfoca más en la seguridad, siga con la lista de verificación de cumplimiento STIG / What-ever-Certificate y dedique más tiempo para solucionar los problemas por los que no funciona.

    
respondido por el vdchuyen 05.10.2018 - 07:24
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede usarse AWS API Gateway para rotar rápidamente las credenciales de esta manera? ¿Cómo ocultar el archivo dll inyectado?