Jakie są największe obszary ryzyka bezpieczeństwa IT
- Computerworld,
- 09.11.2011, godz. 10:21
Autoryzacja i zarządzanie dostępem
Podatności związane z architekturą I procesami autoryzacji i zarządzania dostępem:
- Brak systemu zarządzania uprawnieniami w oparciu o role.
- Brak efektywnego procesu nadawania/odbierania uprawnień.
- Brak przeglądu uprawnień.
- Nadmiarowe uprawnienia przydzielone użytkownikom w systemach.
- Konta osób które odeszły z organizacji nie sa blokowane na czas.
Logowanie zdarzeń i monitoring
Niewystarczające logowanie I monitorowanie działań użytkowników i zdarzeń związanych z bezpieczeństwem informacji:
- Brak logowania zdarzeń lub niewystarczające logowanie zdarzeń w aplikacjach/systemach.
- Brak logów dostępu do danych (pliki, foldery, bazy, etc).
- Logi nie są przeglądane/analizowane.
- Logi nie są wysyłane na zdalne serwery.
- Brak rozwiązań do automatycznej analizy I korelacji logów.
Zarządzanie zmianą
Nieefektywny proces zarządzania zmianą:
- Brak procesu lub proces nie jest przestrzegany.
- Zmiany wprowadzane podczas godzin pracy.
- Brak podziału obowiązków - np. zmiany są implementowane na produkcji przez deweloperów, brak zatwierdzania zmian, etc.
- Brak dokumentacji zmian.
Proces wytwarzania i testowania oprogramowania
Problemy związane z rozwojem oprogramowania:
- Wymagania biznesowe nie są formalnie uzgodnione przed rozpoczęciem developmentu/zakupu.
- Deweloperzy mają dostęp do produkcji.
- Niewystarczające testy, liczne poprawki na produkcji po wdrożeniu.
- Testy UAT nie są sformalizowane.
- Kwestie bezpieczeństwa nie są zaadresowane w ramach developmentu (przegląd kodu, etc.)
- Brak dedykowanych środowisk testowych/UAT/Developerskich.
Zarządzanie kontami uprzywilejowanymi
Brak procesu zarządzania współdzielonymi I wbudowanymi kontami administracyjnymi:
- Brak kontroli dostępu do haseł tych kont (np. procedura kopertowa).
- Słabe hasła.
- Brak zmiany haseł (regularnie, po zmianach w personelu IT).
- Hasła hard-kodowane (skrypty, pliki, kod).
- Brak rozliczalności przy używaniu kont współdzielonych.
Ochrona antywirusowa, bezpieczeństwo serwerów i stacji roboczych
Zabezpieczenia AV na serwerach i stacjach roboczych nieadekwatne do zagrożeń:
- Nie wszystkie systemy posiadają AV
- Brak regularnej aktualizacji AV (dla 100% klientów)
- Brak centralnej wymuszonej konfiguracji AV
- Brak monitorowania AV
- Posiadany AV bazujący wyłącznie na sygnaturach
- Posiadany AV nie zabezpiecza przed szerokim spectrum zagrożeń (spyware, Trojans)
- Brak hostowych FW/IPS na serwerach I stacjach roboczych
Bezpieczeństwo sieciowe
Podatności w zakresie zabezpieczeń sieciowych:
- Firewall, DMZ - problemy z konfiguracją.
- Brak FW pomiędzy sieciami użytkowników i serwerowymi.
- Problemy z zarządzaniem regułami FW (brak akceptacji dokumentacji, testów, przeglądów reguł).
Zobacz również:
- Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
- 5 praktycznych powodów, dla których warto wdrożyć Zero Trust
- FW bazujący na tylko na warstwie 3/4 (packet filtering), brak “stateful inspection" i kontroli ruchu aplikacyjnego.
- Brak IPS/IDS.
- IDS/IPS nie są monitorowane.
- Brak proxy i/lub kontroli treści (Content Filtering - AV sieciowy, URL filtering, etc.).
Dostęp do sieci korporacyjnej
Brak kontroli dostępu do sieci:
- Brak uwierzytelnienia przy dostępie do sieci (tylko fizyczne zabezpieczenia).
- Obce (nie firmowe) PC obecne w sieci LAN.
- PC nie zgodne z wymogami bezpieczeństwa w LAN (brak aktualizacji, AV etc.).
- Sieci bezprzewodowe zabezpieczone wyłącznie kluczem współdzielonym.
- Brak wykrywania nieautoryzowanych Access Pointów WiFi.
- Dostęp do sieci LAN dla prywatnych urządzeń mobilnych.
- Brak silnego uwierzytelnienia przy dostępie zdalnym (VPN, RAS).
Ochrona informacji na urządzeniach mobilnych
Niewystarczające zabezpieczenia urządzeń mobilnych:
- Brak szyfrowania dysków.
- Urządzenia mobilne z dostępem do zasobów firmy nie zabezpieczone (hasła, szyfrowanie danych).
- Brak zarządzania konfiguracją urządzeń mobilnych podłączonych do zasobów firmy.
- Prywatne urządzenia mobilne w sieci korporacyjnej.