インターネットセキュリティセンター(CIS)は、組織がセキュリティおよびコンプライアンスプログラムを改善できるようにする独自のベンチマークと推奨事項を開発する非営利組織です。 このイニシアチブは、すべての組織で一般的に見られるシステムセキュリティ構成の基本レベルを作成することを目的としています。 この記事では、情報セキュリティを整理するためのベストプラクティスとヒントを公開し続けます。
最初の部分: https : //habr.com/post/338532/
重要なセキュリティ管理
アクセス制御
ユーザーロール、アクセスレベル、またはサーバーに保存されている情報の分類に基づいてネットワークをセグメント化します。 ファイアウォールが構成された共有VLANに関する機密情報を保存します。 特定の職務を遂行するために必要な情報にアクセスできるのは、許可された人だけであることを確認してください。
機密情報の通信にはすべて、暗号化を使用する必要があります。
システムに保存されるすべての情報は、ファイルシステム、ネットワークアクセス、アプリケーション、またはアクセス制御リストのレベルで保護する必要があります。
システムに保存される機密情報は暗号化され、オペレーティングシステムに統合されていないセカンダリ認証メカニズムを使用する必要があります。
非公開情報へのアクセスおよび機密データの特別な認証の詳細な監査ログを保持する必要があります。
バックアップストレージシステムは、スタンドアロンシステムとして使用する必要があります。
無線アクセス制御
ネットワークに接続されている各ワイヤレスデバイスが、許可されている構成とセキュリティプロファイルと一致していることを確認してください。 組織は、これらのワイヤレスデバイスへのアクセスを制限する必要があります。
ネットワーク脆弱性検出ツールを構成して、有線ネットワークに接続されたワイヤレスアクセスポイントを検出します。 識別されたデバイスは、承認されたワイヤレスアクセスポイントのリストと一致している必要があります。
侵入検知システム(WIDS)を使用して、不正なワイヤレスデバイスを識別し、攻撃の試みを検出します。
少なくともAdvanced Encryption Standard(AES)暗号化と少なくともWi-Fi Protected Access 2(WPA2)セキュリティを使用するようにしてください。
ワイヤレスネットワークが、資格情報を保護する拡張認証プロトコル-トランスポート層セキュリティ(EAP / TLS)などの認証プロトコルを使用していることを確認します。
BYODシステムまたはその他の信頼できないデバイス用に個別の仮想ローカルエリアネットワーク(VLAN)を作成します。 このVLANへのアクセスは、信頼できないと見なされる必要があります。
ユーザーアカウント制御
すべてのシステムアカウントを表示し、ビジネスプロセスに関連しないアカウントを無効にします。
すべてのアカウントに、監視および適用される有効期限が設定されていることを確認してください。
解雇された従業員のアカウントをすぐにブロックします。 アカウントを削除する代わりに無効化すると、監査データを保存できます。
すべてのアカウントの使用を定期的に監視し、非アクティブな標準期間後の自動ログアウト。
無人ワークステーションアクセスロック画面を構成します。
アカウントの使用に注意して、非アクティブなアカウントを特定してください。 既存の従業員に割り当てられていないアカウントを無効にします。
アカウントロックを使用および構成して、一定回数のログイン試行の失敗後、アカウントがロックされるようにします。
非アクティブ化されたアカウントへのアクセス試行を監視します。
Active DirectoryやLDAPなどの中央認証ポイントを使用して、すべてのアカウントのアクセスを構成します。
機密データまたはシステムにアクセスできるすべてのユーザーアカウントに多要素認証を使用します。
多要素認証がサポートされていない場合、アカウントにはシステム内の暗号化パスワード(14文字以上)が必要です。
すべてのアカウントと認証資格情報が、暗号化されたチャネルを使用してネットワーク経由で送信されるようにします。
すべての認証ファイルが暗号化またはハッシュされていること、およびこれらのファイルに管理者以外がアクセスできないことを確認してください。
スタッフの意識の監視
実用的な情報セキュリティの分野で従業員のスキルを分析する。
不足しているスキルに対して適切なトレーニングを提供します。
セキュリティを改善するプログラムを実装し、定期的なトレーニングを実施します。
攻撃および郵送の社会技術的ベクトルを含む、定期的なチェックによるテストと意識向上。
競争力のあるイベントを使用して、実用的な情報セキュリティの分野でより大きな成果を達成します。
アプリケーション制御
購入したアプリケーションソフトウェアのすべてのバージョンについて、使用しているバージョンがプロバイダーによって引き続きサポートされていることを確認してください。 そうでない場合は、最新バージョンにアップグレードし、必要なすべてのパッチとセキュリティの推奨事項をインストールします。
WebアプリケーションファイアウォールでWebアプリケーションを保護します。
システム管理者ではなく、エンドユーザーにシステムエラーメッセージを表示しないでください。
実動システムと非実動システムに別々の条件を入力します。 開発者は、本番環境への無制限のアクセスを許可しないでください。
すべてのソフトウェア開発担当者が、特定の開発環境に安全なコード記述技術を知っており、適用するようにしてください。
開発したアプリケーションのテストツール(自動化されたものを含む)を使用し、リリースとバグ修正の履歴を文書化して保存します。
インシデント対応
スタッフの役割を特定し、インシデントの処理に必要な手順を決定することを含む、文書化されたインシデント対応手順があることを確認します。
インシデントを処理し、決定を下すための職責と人々の輪を説明してください。
異常なイベントを報告するための組織基準、報告のメカニズム、およびインシデント通知に含める必要がある情報を開発します。 この報告には、担当者への通知も含める必要があります。
組織内のインシデントに関する情報を公開します。
定期的なトレーニングアラームを実行して、速度を特定し、インシデント処理を制御します。
侵入テスト
外部および内部の侵入テストを定期的に実施して、エンタープライズシステムの運用に成功する可能性がある脆弱性と攻撃ベクトルを特定します。 侵入テストは、インサイダー攻撃をシミュレートするために、ネットワークの境界の外側で、およびその境界の内側で(つまり、内部ネットワークで)実施する必要があります。
侵入テストの実施時に定期的にチームワークを実行します-迅速かつ効果的な対応のための組織の準備を確認するためのレッドチーム。
自動脆弱性スキャンおよび侵入テストツールを使用します。 スキャン脆弱性評価結果は、侵入テストの開始点として使用する必要があります。
システムセキュリティを評価するためのポイントシステムを導入し、各テストの結果を慎重に文書化します。
テストベンチを作成して、超臨界インフラストラクチャ要素をテストします。
完了
上記の資料は、組織で使用するために、何らかの程度に適合させることができます。