Біздің әдістеме
Қауіпсіздік құралдарының көпшілігі осалдықтардың тізімін шығарады және оны түсінуге қалдырады. Біз керісінше жасаймыз: біз сіздің ортаңызбен бірге отырамыз, әрбір сұранысты орындаймыз, әр қабатты құжаттаймыз және сізге ертең әрекет ете алатын басымдықты жоспарды береміз.
Мақсат - осалдықтардың ұзағырақ тізімі емес — бұл сіздің қай жерде ұшырайтыныңызды, оның не үшін маңызды екенін және алдымен не істеу керектігін нақты түсіну. Бұл сканерлеу мен бағалаудың айырмашылығы.
Біз нақты іске қосылатын нәрсені салыстырудан бастаймыз: жүйелер, тіркелгілер, периметрлер, интеграциялар. Сіз көре алмайтын нәрсені қорғай алмайсыз.
Edge, қолданба, желі, сервер, деректер. Әрбір қабат жеке талдауды алады - бір периметрді сканерлеу емес.
Қызыл/қызғылт сары/жасыл басымдықтары және нақты келесі қадамдары бар жазбаша қауіпсіздік ұпайы. Сізге сақтау, бөлісу, әрекет ету.
Домен 1 — Қатынасты басқару және сәйкестіктер
Әрбір бұзу есептік жазбадан басталады. Біз сәйкестендіруді түпкілікті тексереміз: адамдар, артықшылықтар, SSO, оффборд және төтенше жағдайға қол жеткізу.
Көп факторлы аутентификация аутентификатор-қолданбаның қосалқы нұсқасымен барлық жерде күшіне енеді.
Күшейтулер бойынша толық аудит журналы бар бөлек әкімші тіркелгілері.
Офлайн сақталған төтенше жағдай тіркелгісі, сондықтан каталог қызметінің үзілуі сізді құлыптамайды.
Негізгі құралдардағы SSO, SAML/OIDC сымдары қосымша қолданбаларда әлі күтілуде.
Бөлімге арналған қоймалар мен жұмысшылар ағыны бар командалық құпия сөз менеджері.
Әрбір жүйе үшін құжаттандырылған офбортинг сценарийі — жетімсіз қатынас жоқ.
Домен 2 — Деректерді қорғау және сақтық көшірме жасау стратегиясы
Біз бүкіл қорғаудың өмірлік циклін тексереміз: не шифрланған, ненің сақтық көшірмесі жасалған, қаншалықты жиі сыналады және қаншалықты жылдам оралуға болады.
Күнделікті сақтық көшірмелер тоқсан сайынғы құм жәшігін қалпына келтіру сынағымен және уақытты қалпына келтірумен жұптастырылған.
Әрбір ноутбукте дискіні шифрлау және жад пен дерекқордағы платформа басқаратын кілттер.
Қолданылуда белсенді ақпаратты қорғау белгілері бар ағымдағы, қол қойылған саясат.
Жүйедегі құжатталған қалпына келтіру уақыты мен қалпына келтіру нүктесінің мақсаттары.
Runbooks, аты аталған иесі және күні көрсетілген аудиторлық дәлелдері бар тоқсан сайынғы каденс.
Басымдылықтар, тәуелділіктер және жыл сайынғы шолу бар жазбаша DR жоспары.
Біз сізбен бірге орындайтын сақтық көшірме циклі
Автоматтандырылған күнделікті суреттер, тасымалдау кезінде және демалыс кезінде шифрланған.
Тоқсан сайын құм жәшігіне қалпына келтіру — ешқандай сылтаулар, ерекшеліктер жоқ.
Нақты RTO-ға қарсы нақты қалпына келтіру - уәделермен емес, сағаттармен өлшенеді.
Деректер тұтастығын тексеру + қол қою, аудиторларға дәлел ретінде мұрағатталған.
Сақтық көшірме - бұл оқиға емес, бұл цикл — маңызды қадам - қалпына келтіру.
Домен 3 — Инфрақұрылым және желі қауіпсіздігі
Интернетке бағытталған жиектер, кеңсе WiFi, VLAN шекаралары, патч каденсі. Біз сіздің периметріңіз арқылы ашық интернеттен келген сұранысты жұмыс жүктемесіне бақылаймыз.
Біз нақты топологияны — жалпыға қолжетімді IP мекенжайларын, WAF ережелерін, VLAN желілерін және кіруді картаға түсіреміз, содан кейін әрбір секіруді оның күтілетін конфигурациясына қарсы тексереміз.
Қоғамдық домендерде жылдамдықты шектеу және боттарды басқару мүмкіндігі бар шеткі қауіпсіздік.
WPA3-Каталогпен қамтамасыз етілген аутентификациясы бар кәсіпорын — ортақ WPA2 құпия сөзі емес.
Қызметкерлерге, IoT және Қонақтарға арналған бөлек VLAN желілері — кеңсе LAN желісі жоқ.
Құжатталған ерекшеліктерді қоспағанда, операциялық жүйе және қолданба жаңартулары 30 күн ішінде.
Шығыс DNS сүзгісі және қаралған брандмауэр ережелер жинағы.
Ішкі қызметтерге сәйкестендіруге қол жеткізу, жасырын желі сенімі жоқ.
Домен 4 — Оқиғаға жауап беру және үздіксіздік
Оқиғаға қарсы әрекет ету жоспары құжат емес, бұлшықет болып табылады. Біз жоспарды, бұрғылау каденциясын, сыртқы контактілерді және оқиғадан кейінгі циклды тексереміз.
Рөлдері, эскалация жолдары және анық байланыс ағашы бар ағымдағы IR жоспары.
Біз нені тексереміз: Нұсқа, соңғы қарау күні, иелік және сақтау орны — және онда аталған адамдар әлі де осында жұмыс істейді ме.
Жылына екі рет айналмалы сценарийлері бар үстел үсті жаттығулары, осылайша топ ойын кітабын біледі.
Біз нені тексереміз: Соңғы жаттығу күні, орындалған сценарийлер, түсірілген сабақтар және жоспарға қайта енгізілген өзгертулер.
CERT, сақтандырушы, заң кеңесшісі және IR жоспарында тәулік бойы жұмыс істейтін сот сараптамасы.
Біз нені тексереміз: Дағдарыс кезінде келіссөздер жүргізбеу үшін әрбір контакт валютаға және алдын ала бекітілген ауқымға сыналған.
Қызметкерлерге, тұтынушыларға, реттеушілерге және баспасөзге арналған алдын ала дайындалған холдинг мәлімдемелері — заң тұрғысынан қаралған.
Біз нені тексереміз: Әрбір аудиторияға арналған үлгілер, қол қойылған эскалация шектері және күй жаңартулары үшін ақиқаттың жалғыз көзі.
14 күн ішінде өлгеннен кейін құрылымдалған, әрекет элементтері жабылғанға дейін қадағаланады.
Біз нені тексереміз: Мінсіз үлгі, әрекеттер тізілімі және оқиғадан кейін 90 күннен кейін басқару элементтерін қайта тексеру үшін күнтізбелік еске салғыш.
Домен 5 — Сәйкестік және үшінші тарап тәуекелі
GDPR регистрлері, түгендеулерді өңдеу, деректер субъектісіне қол жеткізу, жеткізушілердің шолулары. Біз жазбаларды және үшінші тарап тәуекелінің бетін тексереміз және сізге нақты ағымдағы тізілімді қалдырамыз.
Домендеріңізге сәйкестендірілген қауіпсіз сілтеме, тіркеме және фишингке қарсы саясаттары бар электрондық пошта платформасын сүзу.
Әрбір әрекет, заңды негіз, сақтау мерзімі және иесімен жаңартылған тізілім.
Иесі, SLA және үлгілері бар құжатталған деректер субъектісіне қол жеткізуді сұрау процесі.
Өндіріске немесе жеке деректерге қол жеткізу мүмкіндігі бар әрбір жеткізуші үшін тәуекелге негізделген бағалау.
Тізіліммен мұрағатталған жеке деректерге қатысты әрбір жаңа жүйе немесе жеткізуші үшін PIA.
Сәйкестік дәлелдері іздеуге болатын бір жерде — саясаттар, қол қоюлар, бұрғылау журналдары, шолулар.
Жеткізу мүмкіндігі
Жоғарыдағы бес доменнің әрбір тұжырымы аудармашысыз әрекет ете алатын үш деңгейлі жүйе бойынша есептелген бір жазбаша есепте тұрады. Бұл біз кеткеннен кейін сіздің қолыңызда қалады.
Қол жеткізуді басқару, деректерді қорғау, инфрақұрылым, оқыс оқиғаға жауап беру, сәйкестік — әрқайсысының күйі, табылуы және дәлелі бар.
Әрбір олқылық үшін: басымдық, иесі, күш-жігерді бағалау және нақты келесі әрекет — бұлыңғыр «қарау және жақсарту» емес.
Есепке енгізілген сәулет диаграммалары сау/қауіпті/сыни белгісімен белгіленген, сондықтан сурет прозаға сәйкес келеді.
Сіздің қауіпсіздік ұпайыңыз
Жаргонға толы қағаз дестесін алмайсыз. Сіз ұпай аласыз: әр элемент үшін не жұмыс істеп жатқанын және не нәрсеге назар аудару керектігін бірден анықтаңыз.
Сыни осалдық — дереу әрекет ету қажет. Мүмкіндігінше күндіз түзетеміз.
Назар аудару керек — мұны 30 күн ішінде жоспарлаңыз. Біз сізге қадамдарды береміз.
Барлығы жақсы - бұл бөлік дұрыс өңделген. Жазбаша расталған.
Орташа есеппен әр бағалауда 8–12 мәселені табамыз. Нені тапсақ та, мүмкін болса, сол күні түзетеміз.
Қосымша — сол күні жылдам жеңістер
Толық бағалаудан кейін уақытымыз болса, аптаға емес, бірнеше минутқа созылатын өзгерістерді қолданамыз, сондықтан сіз оянғаннан гөрі қауіпсіз ұйықтайсыз.
Боттарды басқаруды, браузердің тұтастығын тексеруді және оларға қажет жолдар үшін қауіпсіздік деңгейін қосыңыз. Бес минут, нақты әсер.
Байланыс пішініне, логин мен құпия сөзді қалпына келтіруге тиісті шектеулер қойыңыз. Ең оңай теріс пайдалану векторларын бастамас бұрын кесіп тастайды.
1-деңгейде тапқан бұрынғы қызметкерлерді, ескі әкімші тіркелгілерін және пайдаланылмаған API кілттерін жою. Есептегі ең арзан ұтыс.
HSTS, X-Frame-Options, базалық CSP. Шетінде бір конфигурация өзгерісінде орындалды, мәңгі сақталады.
Адал ескерту: Жылдам жеңістер толық бағалау бос уақытпен аяқталса ғана болады. Біз ешқашан түзетулер үшін тереңдікпен саудаласпаймыз — мұқият тексеру - нәтиже, түзетулер - бонус.
Неліктен Корур ерекшеленеді
Көптеген құралдар сізге сканерлеуді сатады. Сіздің кеңсеңізде бір күн отырып, не тапқанын түсіндіретін адамдар өте аз. Міне, айырмашылық осында.
Сіз біздің барлық деңгейде не істейтінімізді көресіз - қара жәшік жоқ, жеке құпия жоқ. Әдістеме - бұл нәтиже.
Түгендеу, жиек, қолданба, желі, сервер, деректер, интеграция. Көптеген сканерлеулер бір қабатты қамтиды; жолды жабамыз.
Мәселе бірнеше минут ішінде шешілетін болса, біз оны жалғастырмас бұрын шешеміз. Тізіммен емес, нәтижемен кетесіз.
Біздің серіктестік қызметіміз арқылы Қауіпсіздік ұпайы тұрақты болып қалады — ұсыныстарды орындаған кезде қалпыңыздың өзгергенін көресіз.
Біз тапқанның бәрі сіздің аудиторыңыз, техникалық директорыңыз және болашақ жалдаушыларыңыз оқи алатын құжатта көрсетілген. Білім бізбен бірге кетпейді.
Бар кезде дайын
Бір толық күн. Сол жерде. Тұрақты баға. Сіз Қауіпсіздік ұпайының есебімен және уақыт бар болса, бұрыннан енгізілген жақсартулар жинағымен кетесіз.
