รายการตรวจสอบตรวจสอบด้านไอที [ปิด]


18

ฉันเพิ่งได้รับตำแหน่งของชายคนหนึ่งแสดงให้ บริษัท ที่จะมีการตรวจสอบ เครือข่ายไม่ใกล้เคียงกับที่เตรียมไว้และฉันมองหารายการตรวจสอบการตรวจสอบทั่วไปเนื่องจากผู้ตรวจสอบไม่ได้ให้บริการและยังไม่พบข้อมูลที่ดีมากนัก ไม่มีใครมีแม่แบบที่ดีที่จะให้ฉันเป็นจุดเริ่มต้นที่ดี ฉันรู้ว่าสิ่งนี้จะได้รับการปรับแต่งอย่างมากให้กับ บริษัท แต่จุดเริ่มต้นจะเป็นประโยชน์ในการร่างการจัดการเพียงแค่ต้องการทำงานมากแค่ไหน


3
การตรวจสอบประเภทใด มีหลายสิ่งที่สามารถตรวจสอบได้
วอร์เนอร์

ฉันชอบที่จะรู้เช่นกัน แต่ฉันไม่สามารถรับคำตอบใด ๆ จากผู้ตรวจสอบเพื่อให้เข้าใจถึงขอบเขต
PHLiGHT

5
การตรวจสอบด้านการเงินความปลอดภัยกระบวนการและการควบคุมการตรวจสอบการตรวจสอบบางอย่างจะไม่ตกอยู่ภายใต้ขอบเขตไอทีโดยเฉลี่ย
วอร์เนอร์

2
หากพวกเขาไม่ได้ขอเอกสารจากคุณพวกเขาจะไม่สามารถตรวจสอบกระบวนการ / การควบคุมของคุณได้
Jim B

3
ฉันรู้สึกว่าฉันควรชี้ให้เห็นว่าหากคุณดำเนินการเตรียมการสำหรับการตรวจสอบใด ๆ (นอกเหนือจากสิ่งที่ผู้สอบบัญชีร้องขอ) การตรวจสอบนั้นจะถูกทำลายอย่างสมบูรณ์ มันควรจะเป็นการประเมินสภาพแวดล้อมของคุณในขณะที่มันยืนอยู่ไม่ใช่แสดงสุนัขและม้าที่คุณเงาในสถานะที่แท้จริงของการเล่น ขออภัยเพิ่งคุยโว;)
Chris Thorpe

คำตอบ:


6

ฉันกำลังมองหารายการตรวจสอบการตรวจสอบทั่วไปเนื่องจากยังไม่มีการตรวจสอบโดยผู้สอบบัญชี

มันน่าผิดหวัง ฉันทำสิ่งนี้มาหลายปีแล้วและมันก็เป็นเรื่องธรรมดาสำหรับเราที่จะให้ภาพรวมโดยละเอียดเกี่ยวกับสิ่งที่จะได้รับการประเมินและทำไม (วิธีการ) เราได้ส่งคำขออย่างเป็นทางการสำหรับข้อมูลเครื่องมือที่ให้พนักงาน IT ดำเนินการและรวบรวมข้อมูลรวมถึงผลกระทบที่อาจเกิดขึ้นจากกระบวนการรวบรวม (ถ้ามี) นอกจากนี้เรายังต้องกำหนดเวลาการประชุมให้สมบูรณ์พร้อมกับวาระการประชุมที่ละเอียดซึ่งมักจะหมายความว่าพวกเขารู้ว่าจะคาดหวังอะไร ไม่มีวัตถุประสงค์ที่สร้างสรรค์ในการกระสอบทรายใส่ใครบางคนในความคิดริเริ่มเช่นนี้ ปัญหามักจะมากมายและพนักงานไอทีส่วนใหญ่เปิดให้อภิปรายหากการสู้รบถูกเตะออกไปอย่างเหมาะสม

ที่กล่าวว่ามีรายการตรวจสอบมากมายที่นั่นถ้าคุณดู แต่เป้าหมายหลักของความพยายามนี้ควรเป็นประเด็นปัญหาให้มากที่สุดจัดลำดับความสำคัญและพัฒนาแผนปฏิบัติการเพื่อแก้ไข ฉันจะไม่กังวลเกินไปเกี่ยวกับการ "เตรียมพร้อม" ตั้งแต่คุณเพิ่งเริ่มต้นควรมีความเข้าใจว่าสถานที่นั้นไม่ได้พังทลายในชั่วข้ามคืน

หากเครือข่ายที่คุณรับทราบต้องการการปรับปรุงจะได้รับรายงานที่ดีนั่นอาจจะเป็นการเสียเงินของ บริษัท


ตกลง นี่คือการตรวจสอบทั่วทั้ง บริษัท และแผนกอื่น ๆ จะไม่ได้รับข้อมูลอีกต่อไปมากกว่าที่ฉันเป็น สิ่งเดียวที่เรารู้แน่นอนคือมันมีความยาว 3 สัปดาห์
PHLiGHT

1
ฟังดูเหมือนการตรวจสอบ "ประสิทธิภาพ"
วอร์เนอร์

2
หรือใครบางคนกำลังคิดที่จะซื้อ บริษัท
John Gardeniers

8

ฉันจะตั้งสมมติฐานว่ามีผื่นขึ้นและสมมติว่าคุณกำลังถามเกี่ยวกับวิธีการเตรียมการสำหรับการตรวจสอบความปลอดภัยภายในโดยให้ความสำคัญกับเทคโนโลยีบางทีอาจเป็นการทดสอบการเจาะระบบ

วิธีที่คุณเตรียมสำหรับการตรวจสอบความปลอดภัยในด้านเทคโนโลยีจะขึ้นอยู่กับเป้าหมายของการตรวจสอบ หากเป้าหมายมีไว้เพื่อกำหนดข้อกำหนดสำหรับวิธีการปรับปรุงโครงสร้างพื้นฐานของคุณคุณอาจไม่ทำอะไรเลย หากเป้าหมายคือเพื่อประกันว่าไม่มีช่องว่างเหลืออยู่ฉันขอแนะนำให้ทำการวิเคราะห์ช่องว่างก่อนที่จะตรวจสอบและแก้ไขช่องว่างที่ค้นพบ

สำหรับการปฏิบัติที่ดีที่สุดพื้นฐานไอทีที่ผมอยากแนะนำให้อ้างอิงPCI DSS แน่นอนว่ามันมีสิ่งที่ชัดเจนที่คุณควรทำอยู่แล้วเช่นการแก้ไขซอฟต์แวร์ของคุณเพื่อหาช่องโหว่ด้านความปลอดภัย

ที่จะทำซ้ำการตรวจสอบความปลอดภัยของฉันเริ่มต้นด้วยการทบทวนวิธีการทดสอบการเจาะรายละเอียดในคู่มือการใช้งานโอเพนซอร์สการรักษาความปลอดภัยวิธีการทดสอบ (OSSTMM)

หากคุณกำลังมองหารายละเอียดเพิ่มเติมฉันขอแนะนำให้คุณเขียนคำถามของคุณซ้ำให้คลุมเครือน้อยลง


4
+1 "ฉันอยากสนับสนุนให้คุณเขียนคำถามของคุณซ้ำให้คลุมเครือน้อยลง" - ผู้ตรวจสอบไม่เพียง แต่แสดงความต้องการ พวกเขาได้รับการว่าจ้างจากใครบางคนเพื่อทดสอบแง่มุมเฉพาะของธุรกิจ เริ่มต้นด้วยใครจ้างพวกเขาและทำไม; ทุกผู้สอบบัญชีฉันได้สื่อสารความรู้เป็นอย่างดีเมื่อคุณเพียงแค่รับโทรศัพท์และเรียกพวกเขา
Chris S

@Chris เห็นได้ชัดว่าคุณไม่ได้มีการจัดการกับผู้สอบบัญชีเดียวกันกับที่ฉันได้เจอ เช่นเดียวกับกลุ่มคนอื่น ๆ พวกเขามีความสามารถในการสื่อสารที่แตกต่างกันมาก
John Gardeniers

5

เมื่อคุณสร้างเครื่องจักรออกมาคุณควรตรวจสอบให้แน่ใจว่าคุณได้รับคะแนนมากเท่าที่ควรในคู่มือความปลอดภัยของ NSA เช่นเดียวกับการใช้งานจริง

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

และเมื่อคุณตั้งค่าเครื่องคุณควรทำแบบอัตโนมัติสำหรับแต่ละเครื่องคือตัวตัดคุกกี้ของแต่ละอื่น ๆ เพื่อเริ่มต้นด้วย การสร้าง "ด้วยมือ" ผ่านสื่อการติดตั้งอาจทำให้เกิดข้อผิดพลาดได้ง่ายเมื่อคุณพลาดสิ่งต่างๆ

โดยอัตโนมัติ! โดยอัตโนมัติ! โดยอัตโนมัติ!

ขั้นตอนกึ่งปกติใด ๆ ควรถูกสคริปต์ให้มากที่สุด ซึ่งรวมถึงการติดตั้งระบบการแก้ไขการสแกน / ตรวจสอบช่องโหว่การทดสอบความแข็งแรงของรหัสผ่าน


1
+1 สำหรับลิงก์ที่ยอดเยี่ยม
nedm

2

ฉันขอแนะนำให้คุณใช้เวลาอ่าน COBIT นั่นคือ OBjectives สำหรับการควบคุมไอที ในความเป็นจริงมันถูกใช้โดย บริษัท ตรวจสอบบัญชีจำนวนมากเพื่อตรวจสอบพื้นที่ไอที

ฉันขอแนะนำให้คุณใช้เครื่องมือเช่น nessus (ซึ่งจะตรวจสอบเครือข่าย / เซิร์ฟเวอร์ของคุณเพื่อหาช่องโหว่) หรือ mbsa (ตัววิเคราะห์ความปลอดภัยพื้นฐานของ Microsoft) แต่จะตรวจสอบเฉพาะฮาร์ดแวร์ windows เท่านั้น

เมื่อคุณขอจุดเริ่มต้นฉันคิดว่านี่จะช่วยคุณได้


1

จากประสบการณ์ของฉันเมื่อมีการร้องขอการตรวจสอบโดยไม่มีข้อกำหนดนั้นโดยทั่วไปหมายถึงการตรวจสอบสินทรัพย์ นี่เป็นสิ่งที่แย่ที่สุดเพราะคุณต้องหาว่า บริษัท มีอะไรบ้างและบางทีมันอาจจะถูกกฎหมายหรือไม่

โดยส่วนตัวแล้วฉันชอบที่จะชี้ให้เห็นว่าคำว่า "การตรวจสอบ" เป็นคำทั่วไปและต้องมีการทำอย่างละเอียด ฉันไม่ทำอะไรเป็นทางการอีกต่อไปจนกว่าฉันจะไปได้ไกลกว่าและมีทิศทางที่ชัดเจนขึ้น อย่างไม่เป็นทางการฉันยุ่งมากและพยายามทำให้แน่ใจว่าสิ่งใดภายใต้การควบคุมของฉันที่สามารถตรวจสอบได้นั้นมีรูปร่างที่ดีเท่าที่ฉันสามารถทำได้เพียงเพื่อให้แน่ใจว่าก้นของฉันได้รับการปกปิด จากนั้นเมื่อฉันค้นพบสิ่งที่พวกเขาเป็นจริงหลังจากนั้นฉันก็มอบสิ่งที่เกี่ยวข้องที่สุดกับการตรวจสอบที่ฉันได้เตรียมไว้ก่อนหน้านี้


0

ไปที่แต่ละเครื่องไม่ได้เพื่อให้แน่ใจว่าได้อัปเดตอย่างสมบูรณ์ นี่คือเหตุผลที่OpenVASมีอยู่ (OpenVAS เป็น Nessus รุ่นใหม่ฟรี) คุณสามารถบอก OpenVAS ให้สแกนทุกเครื่องในเครือข่ายภายในของคุณเพื่อระบุปัญหา คุณต้องเรียกใช้จากระยะไกลเพื่อรับทราบพื้นผิวการโจมตีระยะไกลของคุณ คุณจะพบปัญหาเกี่ยวกับชุดกฎไฟร์วอลล์และเครื่องที่เสี่ยงต่อการถูกโจมตี


ฉันได้ซื้อ Kaseya และจะเปิดตัวเร็ว ๆ นี้เพื่อแก้ไขการปะแก้ของลูกค้า
PHLiGHT

@PHLiGHT การซื่อสัตย์ในการจ่ายเงินเพื่อสิ่งที่ไม่ได้ทำให้ดีขึ้นเสมอไป
โกง

0

ฉันต้องการที่จะรวบรวมคำแถลงว่าคุณทำธุรกิจอย่างไร สิ่งที่กระบวนการปัจจุบัน (ถ้ามี) และสิ่งที่ควร / จะเป็นในอนาคต หากเป็นการทดสอบการเจาะระบบหรือการตรวจสอบความปลอดภัยพวกเขาจะบอกคุณว่ามันไม่สามารถเข้าถึงข้ามแผนกอื่นได้ อาจต้องเตรียมพร้อมที่จะพูดคุยเกี่ยวกับวิธีที่คุณสามารถสนับสนุนการปฏิบัติตามกฎระเบียบสำหรับหน่วยธุรกิจอื่น ๆ ทั้งนี้ขึ้นอยู่กับกฎระเบียบที่ บริษัท ของคุณอาจอยู่ภายใต้


0

ถ้าฉันเข้าใจดีคุณต้องมีรายการตรวจสอบและดูเหมือนว่าเป็นจุดเริ่มต้นที่ดี มีคนแนะนำมากมายที่คุณสามารถขุดออกใช้อินเทอร์เน็ตมี แต่ฉันชอบคนนี้ นอกเหนือจากหัวข้อการตรวจสอบแล้วคุณสามารถค้นหาหัวข้อเพิ่มเติมที่จำเป็นในเวลาได้เช่นกัน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.