我的经验和我学习如何快速定位环境的方式开始于网络安全, 我从一个非正统的地方——我在一家Goodwill商店工作的时候——学到了与物理安全相关的方法. 我的工作是“媒体处理员”,负责唱片、书籍、cd和一般混合媒体的定价和销售. 除了了解到北佛罗里达的人真的很喜欢 Yanni, 我还学到了防盗. 我最好的唱片和书经常在我不在的时候被偷.
我会检查摄像头,发现店里有很大的盲点, 我那一区最大的. So, 我重新设计了这个区域,这样我最好的商品就会被监控,如果我有太多的商品,就把它们分散在商店的各个角落,有良好的人流量和摄像头覆盖. 我确保我知道人们走在哪里,入口和出口在哪里,如果你想偷偷溜出去,你会走哪条路. 我还学会了如何在商店里“瞬间移动”. 我知道盲点在哪里,所以我会从一个房间消失,然后出现在另一个房间.
当您从遵从性角度确定系统的范围时,您必须拥有相同的心态.
1)确定周界. 首先你要做的是定义周长. 在这个例子中,我们有一个处理货物的密室. 我认为放着未加工货物的后屋不在我的范围之内,因为我担心我的加工货物被偷,而内部威胁不是我主要担心的. 您也希望对您的系统执行相同的操作. 审计和合规是持续的过程. 你必须从风险所在开始, 比如关键系统, 并扩展到外围系统. 确认您的内部身份管理服务,如活动目录, 您的生产环境, 云备份服务, 工作站/端点, 确认所有外围系统. 虽然外围系统不是主要焦点,但我们仍然希望将它们考虑在内.
2)熟悉入口和出口. 接下来,我们要检查出入口. 如果你追踪交通流量, 您了解对访问控制至关重要的流程和系统. 我通常通过确认入职和离职流程以及检查哪些设备来检查这一点, applications, 用户需要帐号. 如果每个角色或部门的访问需求不同,则需要根据需要进行跟踪. 如果您有外部用户类型,例如合作伙伴的供应商帐户或客户帐户, 您还应该为这些用户完成入职和离职过程.
3)监控并发现盲点. 一旦你知道人们是怎么进来和离开的, 你需要弄清楚当他们在建筑物或系统中时如何跟踪他们. 在操作方面, 我通常会询问年度培训和绩效评估流程(因为这有助于识别更多系统,并帮助您抓住独特的案例和承包商)。. 在技术方面,您将检查审计日志记录功能. 生产中的关键操作和所有事件都应该是可跟踪和保留的. 询问警报发送到哪里以及发送给谁. 这是审计中的一个重要问题. 这也是为什么我们首先要确认周边并知道出入口的原因,因为现在我们必须了解周边系统. 你有SIEM吗? 您需要一个SIEM吗? 您是否能够接受在外围系统中不被跟踪的用户操作数量? 最后用外围系统, 可能需要进行二次日志记录,但至少您可能希望知道人们何时进入这个盲点以及何时离开.
4)现在我们考虑数据. 人比数据更容易追踪和思考. 数据,无论是PII、ePHI还是CUI,在抽象中都让人感觉虚无缥缈. 除非有人拿着服务器走出去,否则很难想象有人会如何或在哪里泄露您的数据. 从头说起, 对于你的数据点, 考虑周长, 想想它是如何进入和离开系统的, 然后想想它是如何被处理和监控的. 找到空白并填补它们.
这是一个快速的思维实验,但却是我多年来一直使用和教授的一个很好的方法. 同样的原则也可以用于代码更改, 跟踪机密数据, 简单的系统范围和故障排除, and more. 我希望能派上用场. 请不要从你当地的商店偷东西!