Glem dyre IDS'er, værtsbaserede IDS'er og samlede apparater til styring af trusler. Sådan får du virkelig det bedste sikkerhedsbeløb:
1. Undgå installation eller udførelse af uautoriseret software eller indhold. Lær, hvad der kører på dine computere, og hvorfor. Hvis du ikke ved, hvad der er på dine systemer, kan du ikke beskytte dem tilstrækkeligt.
2. Lad ikke brugere, der ikke er administrator, være logget ind som administratorer eller root.
3. Beskyt din e-mail. Konverter alt indgående HTML-indhold til almindelig tekst, og bloker som standard alle filtypenavne undtagen den håndfuld eller to, du vil tillade.
4. Beskyt dine adgangskoder. Kræv lange adgangskoder, 10 tegn eller længere for normale brugere, 15 tegn eller længere for adminkonti. Implementere konto lockout, selvom kun med et minut lockout. Deaktiver LM-adgangskode-hash på Windows. På Unix / Linux skal du bruge den nyere krypt (3) hashes, MD5-stil hashes, eller endnu bedre, bcrypt hashes, hvis dit OS understøtter det.
5. Øv nægtelse som standard og mindst privilegium, når det er muligt. Brug rollebaseret sikkerhed, når du udvikler sikkerhedspolitikker med mindst privilegium. I stedet for en "it-sikkerhedsgruppe" skal du have en gruppe til hver it-rolle.
6. Definer og håndhæv sikkerhedsdomæner. Hvem har brug for adgang til hvad? Hvilke typer trafik er legitime? Besvar disse spørgsmål og design derefter perimeterforsvar. Tag baselines og bemærk unormal trafik.
7. Krypter alle fortrolige data, når det er muligt, især på bærbare computere og medier. Der er ingen undskyldning for ikke at gøre dette - den dårlige PR, du får fra mistede data (se AT&T, US Department of Veteran Affairs, Bank of America) skal være reaspm nok.
8. Opdater patch management til OS'er og alle applikationer. Har du opdateret Macromedia Flash, Real Player og Adobe Acrobat for nylig?
9. Implementér antivirus-, anti-spam- og anti-spywareværktøjer på gatewayen og / eller på værtsniveau.
10. Omfavn sikkerhed ved uklarhed. Omdøb dine admin- og rodkonti til noget andet. Har ikke en konto, der hedder ExchangeAdmin. Giv ikke dine filservers navne som FS1, Exchange1 eller GatewaySrv1. Sæt tjenester på ikke-standardporte, når du kan: Du kan flytte SSH til 30456, RDP til 30389 og HTTP til 30080 til intern brug og forretningspartnere.
11. Scan efter og undersøg uventede TCP- eller UDP-porte, der lytter på dit netværk.
12. Spor, hvor alle surfer på Internettet, og hvor længe. Send resultaterne på en realtids-online rapport, som er tilgængelig for alle. Denne anbefaling har tendens til at gøre brugernes internetsurfevaner til selvpoliti. (Jeg vil vædde på, at det også vil føre til en pludselig stigning i produktiviteten.)
13. Automatiser sikkerhed. Hvis du ikke automatiserer det, gør du det ikke konsekvent.
14. Uddanne personale og medarbejdere om sikkerhedsrisici og oprette passende politikker og procedurer. Øv ændrings- og konfigurationsstyring. Håndhæve sanktioner for manglende overholdelse.
Jeg ved, at jeg har udeladt mange andre ting, såsom fysisk sikkerhed, men det er en bedre end god start. Vælg en anbefaling, og fokuser på at implementere den fra start til slut. Start derefter på den næste. Spring over dem, du ikke kan implementere, og nul til, hvad du kan gøre. Og hvis du absolut skal have de dyre IDS, skal du hente det - men ikke før du er færdig med at dække disse grundlæggende.
