Edición: Actualizado para mostrar el mapeo específico de control a capacidad por solicitud de OP.
Tenemos un par de cientos de estos que se ejecutan a través de Splunk y otras herramientas, muchas de ellas todos los días, porque en cualquier gran flota de servidores, las cosas desaparecen todo el tiempo. Aquí hay algunos que cubren los fundamentos:
- La cantidad de dispositivos marcados en vivo en CMDB ya no es accesible a través de Splunk, MVM, Qualys, Trustwave o protección de punto final
Capacidad : para detectar fallos de los sistemas de control (por ejemplo, un agente Splunk que cuelga de un servidor) o un sistema de control que está siendo desactivado por una parte adversa (por ejemplo, un atacante que desactiva los agentes después de obtener el control de una caja) - Número de dispositivos donde las firmas AV diarias no se actualizaron
Capacidad : Igual que el anterior (eliminación de agente AV o deshabilitación de AV por parte de un atacante para implantar malware) - Número de dispositivos donde no se implementaron los parches programados
Capacidad : igual que el anterior - Cambios en las cuentas de AD, membresía de grupo, GPO y FW que no se corresponden con los tickets de administración de servicios aprobados (informe por hora)
Capacidad : Detectar cambios no autorizados en los sistemas de infraestructura, así como la escalada de eventos de privilegios - Número de dispositivos que no están en la CMDB
Capacidad : para detectar y cuantificar los activos donde estamos ciegos, es decir, donde no se aplican los controles (tal vez porque un proyecto creó un servidor pero olvidó agregar los paquetes de seguridad … o tal vez porque alguien insertó un dispositivo no autorizado) - Activos con inicios de sesión fallidos> 10 intentos / día
Capacidad : para detectar adivinos de contraseñas (humanos o scripts) - Correos electrónicos a no corporativos con archivos adjuntos> 5 Mb (gmail, yahoo, etc.)
Capacidad : Para detectar empleados o scripts que roban información. - “Uso indebido del ancho de banda”: usuarios con grandes flujos de datos salientes (carga de datos en la web)
Capacidad : igual que el anterior - Activos con intentos de infección de malware y virus.
Capacidad : Detectar campañas de malware con patrón o dirigidas - Inicio de sesión interactivo en las cuentas de servicio
Capacidad : Detectar a los humanos aprovechando las cuentas de servicio (obligamos a desactivar el modo interactivo en todas las cuentas de la máquina; las cuentas de los humanos están en diferentes unidades organizativas) - Para ciertos activos empresariales críticos: todos los cambios de configuración y bases de datos realizados por inicios de sesión interactivos (con el cierre diario de los propietarios de la plataforma)
Capacidad : Detectar cambios no autorizados en los sistemas de negocios (por ejemplo, una persona que ingresa tratos directamente en una base de datos de transacciones o de pagos) - Acceso a la puerta del centro de datos (cierre diario por el administrador de DC)
Capacidad : detectar el acceso físico no correlacionado con una actividad de TI (desde un ingeniero “envolviendo la articulación” hasta un atacante que roba un pase: CADA evento de acceso se remonta a una actividad autorizada) - Aplicaciones web: posibles ataques (fragmento de IP o longitud de encabezado TCP no válida, XSS, inyección SQL, etc.)
Capacidad : detección de ataques; También detectando qué tan importante es una aplicación en particular, y si nuestros controles son lo suficientemente fuertes.
La lista sigue y sigue, manteniendo a Sec Ops ocupada …
- ¿Es fácil conseguir un trabajo en TI en Canadá?
- Startups: ¿Por qué la cultura de TI / startup es tan tóxica en India?
- ¿Cuántos tipos de desarrolladores de software existen?
- ¿Cómo son las ubicaciones para CSE e IT en VIT en 2014-15? ¿Qué empresas de ensueño visitaron y cuántas fueron seleccionadas en ellas?
- Soy un desarrollador de Java que saldrá del proyecto en un mes en IBM. ¿Qué puedo esperar a continuación?