Izoluj domeny i zasoby

W większości sieci stacje robocze nie muszą łączyć się ze sobą. Podobnie nie wszystkie serwery muszą łączyć się ze sobą. Jeśli użytkownicy nie potrzebują dostępu do konkretnego serwera czy danej części sieci, nie ma potrzeby im go nadawać. Dobrze dopracowany model zakłada udzielanie dostępu tylko do tych części sieci i maszyn, które są niezbędne do wykonania zadania. Ograniczanie dostępu do części sieci zmniejsza prawdopodobieństwo udanych ataków - gdyż do tego celu wymagane byłoby przełamanie kilku zabezpieczeń sieciowych lub szerokie wykorzystanie socjotechniki. Izolacja może być zrealizowana za pomocą list kontroli dostępu, routerów, zapór sieciowych, tuneli IPSec, narzędzi NAC i tym podobnych środków. Im mniejsze uprawnienia posiada dany użytkownik, tym trudniej mu łamać zabezpieczenia infrastruktury IT.

Wykorzystuj systemy zarządzania tożsamością

Systemy zarządzania tożsamością pomagają w zarządzaniu cyklem życia konta użytkownika, od utworzenia konta na początku pracy, aż do jego deaktywacji (lub usunięcia) na końcu. Pomoc, jakiej one udzielają, polega na automatyzacji niezbędnych zadań oraz oddzieleniu administratorów od bazy danych uwierzytelnienia, a także od większości prac związanych z utworzeniem kont. Najważniejszą z zalet tych systemów jest znaczące zmniejszenie ilości błędów związanych z tworzeniem kont i ich synchronizacją pomiędzy wieloma systemami, redukcja ryzyka spowodowanego niepilnowanymi kontami w systemach lub ich niewłaściwymi uprawnieniami oraz przeniesienie odpowiedzialności za utworzone konta do właścicieli procesów.

Chroń dane przed wyciekiem

Narzędzia ochrony przed utratą danych (DLP - data leak prevention) służą do ochrony przed nieautoryzowanym transferem monitorowanych informacji. Systemy te potrafią wychwycić i monitorować przesyłaną informację, która została oznaczona jako wrażliwa i dzięki temu zapobiegły incydentom utraty danych w wielu firmach. Jednym z najtrudniejszych zadań jest taka konfiguracja DLP, by system dobrze spełniał swoje zadania przy minimalnej ilości fałszywych alarmów.

Szyfruj wrażliwą informację

Dane zapisane na utraconych nośnikach są przyczyną kłopotów wielu firm. Intruzi atakujący firmę od środka często kopiują dane firmowe do nośników wymiennych, i w ten sposób dosłownie wynoszą je z firmy. Poprawę bezpieczeństwa można osiągnąć blokując takie nośniki, ale także wdrażając politykę szyfrowania wszelkich informacji zarówno podczas ich przesyłania, jak i w stanie spoczynku. Szyfrowanie powinno objąć wszystkie media, takie jak taśmy, dyski twarde w komputerach przenośnych, nośniki USB.

Stacje robocze i serwery powinny być utwardzone

Pozostawienie domyślnej konfiguracji lub błędy administratorów przyczyniają się do obniżenia odporności sieci na ataki wewnętrzne. Należy upewnić się, że wykorzystuje się przy tym zalecenia producentów, związane z dobrą konfiguracją systemów operacyjnych i aplikacji. Warto skorzystać z porad takich organizacji jak NIST czy Center of Internet Security.

Zarządzaj zmianami

Po wdrożeniu reguł kontroli dostępu oraz opracowaniu bezpiecznego standardu konfiguracji, należy upewnić się, że konfiguracja ta nie ulegnie zmianie, lub stopniowej ewolucji w kierunku mniej bezpiecznego stanu. Wszystkie komputery powinny być okresowo kontrolowane, należy przy tym wdrożyć procedury, które zapobiegną nieautoryzowanym modyfikacjom.