¿Qué agregar a una lista de verificación de seguridad que se repite?

7

Trabajo en una empresa pequeña (100-200 computadoras y un puñado de servidores) y estoy tratando de crear una lista de verificación de cosas para verificar regularmente, como semanalmente, mensualmente, etc. Usamos Windows Servidores y Lotus Notes. Actualmente tengo: revisar registros, verificar usuarios en AD y Notes que ya no funcionan aquí, verificar derechos de administrador y buscar agujeros en el firewall. Tengo conocimientos básicos de seguridad, así que ¿dónde más debería buscar limpiar agujeros de seguridad y comprobar si hay señales de un ataque inadvertido?

    
pregunta Mobojo 18.08.2011 - 22:53
fuente

2 respuestas

5
  

lista de verificación de las cosas que se deben revisar con regularidad, como semanalmente, mensualmente,

¡Revisa tus copias de seguridad! Esta es una tarea que a menudo se pasa por alto, pero las copias de seguridad son fundamentales para su integridad y disponibilidad. La mejor manera de recuperarse de algunos compromisos es restaurar desde la copia de seguridad. Utilice sus copias de seguridad para realizar restauraciones en las computadoras reales. Utilice con menos frecuencia las copias de seguridad para restaurar en las máquinas reales de las que se está realizando una copia de seguridad. Si tiene copias de seguridad externas, pruébelas también periódicamente. La frecuencia de cada prueba de respaldo depende de sus recursos y sus necesidades de recuperación.

  

revisar los registros

No olvide revisar los registros de sus impresoras, copiadoras y otros dispositivos conectados a la red. Si usa tarjetas de acceso para el acceso físico, revise también esos registros.

  

compruebe si hay usuarios en AD y Notes que ya no funcionan aquí

Es bueno verificarlo, pero también debe tener un procedimiento que indique que cuando un usuario ya no necesita acceso (contrato completado, ya no tiene empleo, etc.), HR o el departamento responsable lo notifica inmediatamente. La verificación debe incluir una comparación y sincronización con la base de datos de recursos humanos.

  

comprobar los derechos de administrador

También audite todos los cambios realizados por usuarios con derechos administrativos.

  

compruebe si hay agujeros en el firewall.

También haga análisis de tráfico y compare con una línea de base.

  

limpiar agujeros de seguridad

Una buena práctica para evitar la explotación de vulnerabilidades de seguridad es mantenerse actualizado sobre los productos que utiliza.

SANS tiene un gran blog enlace

US-CERT enlace

Informe de inteligencia de seguridad de Microsoft enlace

Foro de seguridad de Microsoft Windows Server enlace

Manual de seguridad de Lotus enlace

  

¿Comprueba si hay signos de un ataque inadvertido?

Un enfoque simple es medir su sistema (computadoras, red y dispositivos) en un estado limpio (seguro). Realice un seguimiento simple del tráfico y estadísticas de uso, y luego mida el sistema actual de forma periódica y automática y compare con su línea de base. Un enfoque más proactivo es utilizar el Sistema de detección de intrusos (IDS) y el Sistema de prevención de intrusos (IPS).

    
respondido por el this.josh 19.08.2011 - 10:24
fuente
10

Lista de comprobación de detección de intrusos de Windows de CERT es un buen comienzo.

  

Este documento describe los pasos sugeridos para determinar si su sistema Windows ha sido comprometido. Los administradores del sistema pueden usar esta información para buscar varios tipos de intrusiones. También le recomendamos que revise todas las secciones de este documento y modifique sus sistemas para abordar posibles puntos débiles.

Señala en particular que los registros, aunque posiblemente sean útiles, no son confiables para detectar intrusiones.

  

La auditoría y el monitoreo proactivos son pasos esenciales en la detección de intrusos. No es efectivo auditar los datos alterados o los sistemas comprometidos, ya que sus registros no son confiables. Establezca una línea de base para lo que considera una actividad normal para su entorno, de modo que pueda determinar eventos inusuales y responder adecuadamente. Consulte la sección C16 de este documento para obtener más información sobre la configuración de auditoría y los eventos útiles para detectar ataques exitosos o ataques en curso.

A un nivel amplio, su lista de verificación es

  
  1. Una palabra en los rootkits
  2.   
  3. Examine los archivos de registro
  4.   
  5. Verificar cuentas y grupos de usuarios impares
  6.   
  7. Verifique que todos los grupos tengan una membresía de usuario inesperada
  8.   
  9. Busque derechos de usuario no autorizados
  10.   
  11. Comprobar si las aplicaciones no autorizadas se inician automáticamente
  12.   
  13. Verifique los binarios de su sistema en busca de alteraciones
  14.   
  15. Verifique las configuraciones de su red para las entradas no autorizadas
  16.   
  17. Verificar acciones no autorizadas
  18.   
  19. Compruebe si hay trabajos programados para ejecutarse
  20.   
  21. Verificar procesos no autorizados
  22.   
  23. Busque en todo el sistema archivos inusuales u ocultos
  24.   
  25. Verificar permisos alterados en archivos o claves de registro
  26.   
  27. Verificar cambios en las políticas de usuario o de computadora
  28.   
  29. Asegúrese de que el sistema no se haya unido a un dominio diferente
  30.   
  31. Auditoría de detección de intrusiones
  32.   
    
respondido por el Mike Samuel 19.08.2011 - 03:41
fuente

Lea otras preguntas en las etiquetas