|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Справочные материалы |
||||
Резюме
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
195to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
1.Security and Privacy Controls for Federal Information Systems and Organizations. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf.
2.NIST 800-53 Written Information Security Program (WISP) (пример по-
литики безопасности). http://examples.complianceforge.com/example-nist- 800-53-written-information-security-program-it-security-policy-example.pdf.
3.Internet Security Threat Report Volume 22. https://s1.q4cdn.com/585930769/ files/doc_downloads/lifelock/ISTR22_Main-FINAL-APR24.pdf.
4.Uncovering a persistent diet spam operation on Twitter.https://www.symantec. com/content/en/us/enterprise/media/security_response/whitepapers/uncover- ing-a-persistent-diet-spam-operation-on-twitter.pdf.
5.Social Media Security. https://blogs.technet.microsoft.com/yuridiogenes/2016/ 07/08/social-media-security/.
6.CBS fires vice president who said Vegas victims didn’t deserve sympathy be- cause country music fans «often are Republican». http://www.foxnews.com/en- tertainment/2017/10/02/top-cbs-lawyer-no-sympathy-for-vegas-vics-probably- republicans.html.
7.Florida professor fired for suggesting Texas deserved Harvey after voting for Trump. https://www.independent.co.uk/news/world/americas/us-politics/florida- professor-fired-trump-harvey-comments-texas-deserved-hurricane-storm- a7919286.html.
8.Microsoft Security Compliance Manager. https://www.microsoft.com/en-us/ download/details.aspx?id=53353.
9.Red Hat Enterprise Linux 6 Security Guide. https://access.redhat.com/documen- tation/en-US/Red_Hat_Enterprise_Linux/6/pdf/Security_Guide/Red_Hat_Enter- prise_Linux-6-Security_Guide-en-US.pdf.
10.AppLocker – Another Layer in the Defense in Depth Against Malware. https:// blogs.technet.microsoft.com/askpfeplat/2016/06/27/applocker-another-layer- in-the-defense-in-depth-against-malware/.
11.Enhanced Mitigation Experience Toolkit (EMET) 5.52. https://www.micro- soft.com/en-us/download/details.aspx?id=54264&751be11f-ede8-5a0c-058c- 2ee190a24fa6=True.
12.Social Media Security. https://blogs.technet.microsoft.com/yuridiogenes/2016/ 07/08/social-media-security/.
Резюме
Вэтойглавевыузналиоважностиналичияполитикибезопасностииеереали- зации посредством программы безопасности.Вы поняли значимость наличия четкого и устоявшегося набора основных принципов при работе в социальных сетях, которые дают сотруднику точное представление о видении компании относительно публичных постов и последствиях нарушения этих принципов.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
196 Политика безопасности |
|
|
|
|
to |
|
|
|
|
|
|
|||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Часть программы безопасности включает в себя тренинг по повышению |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
безопасности |
, который обучает конечного пользователя темам, связанным |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
с вопросами безопасности. Это очень важный шаг, поскольку конечный поль- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
зователь всегда является самым слабым звеном в цепи безопасности. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
Позже в этой главе вы узнали, как компании должны применять полити- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
ки безопасности с использованием различных наборов инструментов. Частью |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
применения этой политики являются белые списки приложений и усиление |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
защиты системы. Наконец, вы узнали о важности мониторинга этих политик |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
на предмет соответствия и научились использовать инструменты, предназна- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ченные для этого. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
В следующей главе мы продолжим разговор о стратегиях защиты, и на этот |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
развыузнаетебольшеосегментациисетииотом,какиспользоватьэтотметод |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
для усиления защиты. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 10 |
|||
|
|
|
|
-xcha |
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Сегментация сети
В предыдущей главе мы начали оборонительную стратегию, подчеркнув важ- ность наличия сильной и эффективной политики безопасности. Теперь при- шло время продолжить реализацию этого видения, обеспечив безопасность сетевой инфраструктуры. Первое, что мы должны сделать, – это убедиться, что сеть сегментирована, изолирована и обеспечивает механизмы для ней- трализации вторжений. Синяя команда должна быть полностью осведомлена о различных аспектах сегментации сети: от физической сети до виртуальной и удаленногодоступа.Даже если компании не полностью основаны на исполь- зовании облачных вычислений, им все равно нужно подумать о возможности подключения к облаку в гибридном сценарии. Это означает, что для повыше- ния общей безопасности среды должны бытьтакже предусмотрены отдельные меры,абезопасностьсетевой инфраструктурыявляется основаниемдляэтого.
В этой главе мы рассмотрим следующие темы:концепция глубоко эшелонированной защиты;сегментация физической сети;обеспечение удаленного доступа к сети;сегментация виртуальной сети;
безопасность гибридной облачной сети.
Глубоко эшелонированная защита
Хотя вы, вероятно, подумаете, что это старый метод, не относящийся к сегод- няшним требованиям, реальность такова, что он все еще действует, хотя вы и не будете использоватьте же технологии,которые использовали в прошлом. Вся идея подхода глубоко эшелонированной защиты заключается втом,чтобы гарантировать вам наличие нескольких уровней защиты, а также свой набор элементов управления безопасностью для каждого уровня. В итоге это будет задерживать атаку,а датчики,доступные на каждом уровне,будут предупреж- дать вас, происходит что-то или нет. Другими словами, речь идет о разрыве жизненного цикла атаки до того, как миссия будет полностью выполнена.
Но для реализации подхода с использованием глубоко эшелонированной защиты для современных нужд необходимо абстрагироваться от физическо-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
198 Сегментация сети |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
го уровня и думать только об уровнях защиты в зависимости от точки входа. |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
Давайте используем приведенную нижедиаграмму в качестве примера,чтобы продемонстрировать, как сегодня реализуется этот подход (рис. 10.1).
Инфраструктура и службы
Локальные ресурсы
Документы |
IPhone Телефон |
в процессе передачи |
на базе ОС |
|
Android |
|
Конечные точки |
Рис.10.1
Злоумышленники обладают обширным доступом к различным ресурсам. Они могутатаковатьинфраструктуру и службы,документы в процессе переда- чи и конечные точки, а это означает, что вам нужно увеличивать «стоимость» злоумышленника в каждом возможном сценарии. Давайте разберем эту диа- грамму в следующих разделах.
Инфраструктура и службы
Злоумышленники могут нарушить производительность вашей компании, ата- ковав ее инфраструктуру и службы. Важно понимать, что даже в локальном сценарии у вас все еще есть службы, но они контролируются локальной ITкомандой.Ваш сервер базыданных–это служба:тутхранятся критически важ- ные данные, используемые пользователями, и если они станут недоступными, тоэтонапрямуюповлияетнапроизводительностьпользователя,чтоокажетне- гативноефинансовоевлияниенавашуорганизацию.Вэтомслучаевамнеобхо- димо перечислить все службы, предлагаемые вашей организацией для конеч- ных пользователей и партнеров,и определить возможные направления атаки.
Послетого как вы определили векторы атаки,необходимодобавитьэлемен- ты управления безопасностью, которые нейтрализуют эти уязвимости (на- пример, обеспечить соблюдение требований с помощью управления исправ- лениями, защиту сервера с помощью политик безопасности, изоляцию сети,