我在一家拥有偏执客户的小型 IT 公司工作,因此安全性一直是我们的重要考虑因素。过去,我们已经要求两家专门从事该领域的独立公司(Dionach和GSS)进行渗透测试。我们还使用 Nessus 运行了一些自动化渗透测试。
那两位审计师得到了很多内幕消息,几乎一无所获*......
虽然认为我们的系统非常安全让人感觉很舒服(并且在我们的客户执行尽职调查工作时向他们展示这些报告肯定很舒服),但我很难相信我们已经实现了一个完全安全的系统,特别是考虑到我们公司没有安全专家(安全一直是一个问题,我们完全偏执,这有帮助,但仅此而已!)
如果黑客可以入侵那些可能至少雇佣了几个人的唯一任务是确保他们的数据保密的公司,那么他们肯定可以入侵我们的小企业,对吧?
有人有雇佣“道德黑客”的经验吗?如何找到一个?需要多少费用?
*他们给我们的唯一建议是在两台 Windows 服务器上升级我们的远程桌面协议,他们之所以能够访问这些协议,只是因为我们给了他们正确的非标准端口并将他们的 IP 地址列入白名单。
您正在考虑安全是件好事,但没有“确定系统”这样的东西。现代安全实践涉及隔离服务器,以便控制而不是阻止漏洞。所有网络服务器和其他可远程访问的服务器都应该放置在一个孤立的 DMZ 中,该 DMZ 只有有限的数据子集(即 - 尽可能少地执行手头的任务)。
最好的安全建议是采取行动和计划,就好像具有可远程访问服务的服务器已经受到威胁一样。对于内部数据,保护您最重要的资产,以便只有工作角色需要他们访问它们的人才能访问它们,而他们无法在异地访问数据或将其全部下载到 USB 密钥上.
安全是一个成本效益等式,设置安全系统的成本非常高,您应该只在需要时添加额外的安全措施。设置视网膜扫描仪、人员陷阱、键盘等以进入您的办公室将是浪费金钱,除非里面有您真正需要偏执的东西。把钱花在安全上来试图减少你的偏执“感觉”,这不是好的支出。把它花在你被黑客攻击的风险和影响上。
用你的服务尽最大努力:用尽可能少的服务打开尽可能少的端口。使它们保持最新状态。关注有关您正在运行的软件的安全邮件列表和错误报告。阅读网络服务器的“强化”指南。
专注于隔离和检测而不是预防通常更具成本效益。IDS 产品或日志分析器在这里非常有用。
我的大部分工作是为一家需要非常高水平的安全性并拥有实现这一目标的资金的公司工作的。因此,他们有“白帽子”和“黑帽子”,前者是在安全系统范围内设计、实施和测试的员工。后者是外在的家伙谁是改革的饼干,一些有犯罪记录的,几乎所有人都显著参与与安全角度开放源代码项目。两队绝对没有相互交流,“黑帽”身份鲜为人知。他们每个人的任务都是随时随地以他们喜欢的任何方式做任何他们喜欢的事情,并且针对公司拥有的任何网站,他们唯一的责任是在发现问题时立即通知公司,最好是提供解决方案(如果有)。
我知道这听起来很极端,但它是全球具有一定规模/职责的组织使用的政策/策略,如果您负担得起,并且可以找到它们,我建议您强烈考虑这种方法。
就我个人而言,我会使用您提到的 Nessus 之类的软件,也许还有 Tripwire 和必要的审核系统,并让人定期检查日志或根据所述日志为您提供程序解析和警报。我认为您很可能会遇到满足合规性标准的需要,这并不一定意味着良好的安全性。我将专注于能够检测和审核对您的系统的访问。但是我想指出您没有提到您正在为入侵防御或检测系统做什么?