我在一家小型 IT 公司工作,客户都很偏执,因此安全一直是我们考虑的重要因素。过去,我们已经委托两家专门从事该领域的独立公司进行渗透测试(狄奥纳赫和胃肠道疾病)。我们还使用 Nessus 运行了一些自动渗透测试。
这两名审计员获得了大量内幕信息,但几乎一无所获*……
虽然我们可以放心地认为我们的系统是完全安全的(并且当我们的客户进行尽职调查工作时,向他们展示这些报告也确实很放心),但我很难相信我们已经实现了一个完全安全的系统,特别是考虑到我们公司没有安全专家(安全一直是一个问题,我们完全偏执,这有帮助,但也仅此而已!)
如果黑客可以入侵那些可能雇用至少几个人负责确保其数据私密性的公司,那么他们肯定也可以入侵我们的小企业,对吗?
有人有雇佣“道德黑客”的经验吗?如何找到一个?费用是多少?
*他们给我们的唯一建议是升级两台 Windows 服务器上的远程桌面协议,他们之所以能够访问,是因为我们为他们提供了正确的非标准端口并将他们的 IP 地址列入白名单。
答案1
您考虑安全是件好事,但世上没有“万无一失的系统”。现代安全实践涉及隔离服务器,以便控制而不是预防漏洞。所有 Web 服务器和其他可远程访问的服务器都应放置在隔离的 DMZ 中,该 DMZ 中只有有限的数据子集(即尽可能少的数据来执行手头的任务)。
最好的安全建议是,在行动和计划时,假设具有远程访问服务的服务器已经受到威胁。对于内部数据,请保护您最重要的资产,以便只有工作角色需要访问这些数据的人员才能访问它们,并且他们无法访问异地数据或将其全部下载到 USB 密钥上。
安全是一个成本效益方程,建立安全系统的成本非常高,您只应在需要时添加额外的安全措施。除非办公室里有您真正需要警惕的东西,否则设置视网膜扫描仪、陷阱、键盘等进入办公室都是浪费金钱。花钱购买安全设备以试图减少您的“恐惧感”并不是好的支出。把钱花在被黑客入侵的风险和影响上。
尽最大努力处理您的服务:尽可能少地开放端口,尽可能少地提供服务。保持它们最新。关注您正在运行的软件的安全邮件列表和错误报告。阅读网络服务器的“强化”指南。
通常,专注于隔离和检测比预防更具成本效益。IDS 产品或日志分析器在这里非常有用。
答案2
我的大部分工作都是为一家需要极高安全水平并拥有实现这一目标所需资金的公司服务的。因此,他们有“白帽子”和“黑帽子”,前者是设计、实施并在一定范围内测试安全系统的员工。后者是外部人员,他们是改过自新的破解者,其中一些人有犯罪记录,几乎所有人都参与了与安全有关的开源代码项目。这两支队伍绝对绝不彼此之间无法沟通,“黑帽”的身份鲜为人知。他们每个人的任务是随时随地以任何方式针对公司拥有的任何网站做任何他们喜欢的事情,他们唯一的责任就是在发现问题时立即通知公司,最好是提供解决方案(如果有)。
我知道这听起来很极端,但这是世界各地具有一定规模/责任的组织所采用的政策/策略,如果您负担得起,并且如果您能找到他们,我建议您强烈考虑这种方法。
答案3
我想你会惊讶于一些“安全”专家有多糟糕。你应该庆幸自己没有被以下这些宝石误导
“您的网络端口未打开,因此我们无法扫描您,所以需要您打开服务器以便我们进行扫描”
或者
安全向导:“您不能使用 sslv2,因为它不安全” IT:“但唯一的选择是 SSL 和明文” 安全:“至少明文没有漏洞”
如果有两家不同的公司对你进行审计,而且两家公司都认为你没有问题,我不会再雇佣第三家公司。我唯一想改变的是考虑一下你的操作系统供应商是否有安全审计服务。
我个人最喜欢的
安全性:“我们只能扫描 UNIX 机器,您告诉我们的任何 Windows 机器都不会响应任何端口” IT:是的,我们使用域隔离来拒绝访问未加入域的系统 安全性:这不在 NIST 指南中,您必须禁用它,它不安全”
答案4
就我个人而言,我会使用您提到的 Nessus 等使用软件,也许还有 Tripwire 和必要的审计系统,并让某人定期查看日志或让程序根据所述日志为您解析和警报。我认为您很可能会遇到需要满足合规性标准的情况,但这并不一定意味着良好的安全性。我会继续关注能够检测和审计对您系统的访问。但是我想指出的是,您没有提到您正在为入侵预防或检测系统做什么?