Respuesta y detección de incidentes de seguridad empresarial

6

Tengo una comprensión y experiencia decentes con la seguridad y configuración de redes más pequeñas, aunque no tengo experiencia empresarial. Entiendo que, a una escala tan grande, existen diferentes tecnologías para administrar la gran cantidad de máquinas y la topología complicada.

¿Qué tecnologías de seguridad son únicas para los entornos empresariales? Los firewalls no contarán, ya que también prevalecen en entornos no empresariales.

Supongo que pensaría que habría una mayor supervisión y un registro agregado que podría centralizarse, tal vez una forma de aislar rápidamente las máquinas comprometidas del resto de la red (¿sobre la marcha?) ... ¿qué más?

No estoy preguntando sobre versiones más sofisticadas de la tecnología, ya que obviamente un firewall empresarial tiene más funciones / funcionalidades que uno para una pequeña empresa.

He analizado dispositivos como Cisco MARS y ArcSight ... que parecen hacer agregación de registros centralizada y predicción de informes ... ¿son estos los únicos ejemplos de tecnologías específicas para entornos empresariales?

¿Cuánta información adicional tendrían los administradores a su disposición de estas tecnologías únicas, en comparación con las herramientas estándar de registro e informes?

    
pregunta Sonny Ordell 05.06.2011 - 17:01
fuente

2 respuestas

1
  

¿Qué tecnologías de seguridad son exclusivas de los entornos empresariales? Los firewalls no contarán, ya que también prevalecen en entornos no empresariales.

No hay nada que sea 'único' para un entorno empresarial. Existen varios niveles y ciertos "obstáculos" para el software que se implementa fuera de estos entornos (costo de la EEI), pero eso no significa que no verá que suceda.

  

No estoy preguntando sobre versiones más sofisticadas de la tecnología, ya que obviamente un firewall empresarial tiene más funciones / funcionalidades que uno para una pequeña empresa.

Eso realmente es lo que una solución "empresarial" es ... una versión más sofisticada de la tecnología utilizada a nivel de consumidor.

Eche un vistazo a cosas como spiceworks, que maneja la administración de la red y luego los sistemas de detección de intrusos como Snort y Suricata. (Nota: ¡Te estoy diciendo versiones gratuitas de este tipo de software para que puedas jugar con ellas!) Las versiones "comerciales" de tales cosas harán el mismo tipo de tareas ... solo en una escala más grande / mejor.

Otra solución 'empresarial' es un firewall de hardware / nivel de circuito integrado en switches y / o enrutadores.

    
respondido por el DKGasser 23.06.2011 - 18:12
fuente
4

En su título, parece que está preguntando qué tecnologías de detección y respuesta de incidentes de seguridad son exclusivas de los entornos empresariales grandes.

Tecnología única:

  • Un sistema central de administración de información y eventos de seguridad (SIEM): las grandes organizaciones deben poder recopilar registros y alertas de forma centralizada desde un gran número de sistemas dispares (por ejemplo, firewalls, AV, plataformas, bases de datos, aplicaciones) para la correlación y el monitoreo. . Una organización más pequeña puede salirse con la configuración de alertas de correo electrónico o la revisión de registros
  • Un sistema central de seguimiento de incidentes y flujo de trabajo, algo como Remedy o mejor para registrar incidentes de seguridad, administrar la propiedad, asignar tareas y realizar un seguimiento hasta su finalización. Una organización más pequeña puede usar un correo electrónico o una hoja de cálculo para esto

Gente y proceso:

  • Un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) 24 x 7 que consiste en trabajadores por turnos o sigue el grupo geográfico de personas del sol
  • Ensayos formales de incidentes de seguridad, tanto en papel como completos en los ejercicios del equipo rojo / equipo azul

Casi todo también necesita modelos más potentes, clústeres, capacidad de crecimiento horizontal para hacer frente a la escala y la redundancia y las necesidades de distribución geográfica que las organizaciones más pequeñas no tendrán.

Tecnología de seguridad única fuera de la respuesta a incidentes y detección que se ve más en organizaciones más grandes debido a la escala, la complejidad y los requisitos regulatorios y de auditoría (probablemente no sea una lista completa):

  • prevención de pérdida de datos
  • cifrado de correo electrónico
  • Control de medios extraíbles
  • Gestión de identidad y acceso
  • Cumplimiento de la configuración y monitoreo de la integridad del archivo, por ejemplo. Tripwire
  • Inicio de sesión único
  • Administración de acceso web (por ejemplo, Siteminder)
  • identidad federada
  • análisis automatizado del código fuente de seguridad y análisis de vulnerabilidades de la aplicación
  • módulos de seguridad de hardware
  • autoridad de certificación interna (CA)
  • dispositivo de cifrado / descifrado de copia de seguridad
  • servicio de filtrado DDOS
  • IPS dedicado (es decir, no en un UTM)
respondido por el Rakkhi 23.06.2011 - 18:29
fuente

Lea otras preguntas en las etiquetas