Биздин методология
Көпчүлүк коопсуздук куралдары алсыздыктардын тизмесин чыгарып, аны түшүнүү үчүн сизге калтырат. Биз мунун тескерисин жасайбыз: чөйрөңүз менен отуруп, ар бир суроо-талапты аткарабыз, ар бир катмарды документтештиребиз жана эртең аткара турган артыкчылыктуу планды беребиз.
Максат - аялуу жерлердин узун тизмеси эмес — бул сиз кайсы жерде дуушар болуп жатканыңызды, эмне үчүн маанилүү экенин жана биринчи кезекте эмне кылуу керек экендигин так түшүнүү. Бул сканерлөө менен баа берүүнүн айырмасы.
Биз сиз эмнени иштетип жатканыңызды картадан баштайбыз: системалар, эсептер, периметрлер, интеграциялар. Сиз көрө албаган нерсени коргой албайсыз.
Edge, колдонмо, тармак, сервер, маалыматтар. Ар бир катмар өзүнүн анализин алат - бир да периметрдик сканерлөө эмес.
Кызыл/кызгылт сары/жашыл артыкчылыктары жана конкреттүү кийинки кадамдары менен жазуу жүзүндөгү Коопсуздук упай. Сактоо, бөлүшүү, аракет кылуу сиздин колуңузда.
Домен 1 — Кирүүнү башкаруу жана идентификация
Ар бир бузуу каттоо эсеби менен башталат. Биз инсандыкты аягына чейин текшеребиз: адамдар, артыкчылыктар, SSO, четтетүү жана өзгөчө кырдаалда кирүү.
Көп факторлуу аутентификация бардык жерде колдонулуп, аныктыгын текшерүүчү-колдонмонун кайра кайтарылышы.
Эскалациялар боюнча толук аудит журналы менен өзүнчө администратор каттоо эсептери.
Оффлайн режиминде сакталган шашылыш каттоо эсеби, андыктан каталог кызматы үзгүлтүккө учурашы сизди бөгөттөбөйт.
Негизги куралдарда SSO, SAML/OIDC зымдары дагы эле кошумча колдонмолордо күтүүдө.
Ар бир бөлүмдүн сактагычтары жана бүтүрүүчүлөр агымы менен жалпы командалык сырсөз менеджери.
Ар бир система үчүн документтештирилген скрипт - жетим жетүү жок.
Домен 2 — Маалыматтарды коргоо жана резервдик көчүрүү стратегиясы
Биз коргоонун бүткүл өмүр циклин текшеребиз: эмне шифрленген, эмненин камдык көчүрмөсү, ал канчалык тез-тез текшерилет жана сиз канчалык тез кайтып келе аласыз.
Күнүмдүк камдык көчүрмөлөр чейректик кум чөйрөсүн калыбына келтирүү сынагы жана убакыты белгиленген калыбына келтирүү менен жупташкан.
Ар бир ноутбукта дискти шифрлөө жана сактагыч жана маалымат базалары аркылуу платформа башкарган ачкычтар.
Учурдагы, кол коюлган саясат, активдүү маалыматты коргоо энбелгилери колдонулууда.
Ар бир система үчүн документтештирилген калыбына келтирүү убактысы жана калыбына келтирүү чекитинин максаттары.
Runbook'тар, аты аталган ээси жана датасы коюлган аудитордук далилдер менен кварталдык каденция.
Артыкчылыктар, көзкарандылыктар жана жылдык кадам менен жазылган DR планы.
Камдык цикл биз сиз менен иштейбиз
Автоматташтырылган күнүмдүк сүрөттөр, транспортто жана эс алууда шифрленген.
Чейрек сайын кумкоргонго калыбына келтирүү — эч кандай шылтоо, өзгөчө жагдайлар жок.
Чыныгы RTO каршы реалдуу калыбына келтирүү - убадалар эмес, саат менен өлчөнөт.
Маалыматтын бүтүндүгүн текшерүү + кол коюу, аудиторлор үчүн далил катары архивделген.
Камдык көчүрмө - бул окуя эмес, бул цикл — маанилүү болгон жалгыз кадам бул калыбына келтирүү.
Домен 3 — Инфраструктура жана тармактык коопсуздук
Интернетке караган чектер, кеңсе WiFi, VLAN чек аралары, патч каденциясы. Биз сиздин периметриңиз аркылуу ачык интернеттен келген суроо-талапты иш жүктөмдөрүнө карайбыз.
Биз чыныгы топологияны картага түшүрөбүз — коомдук IP, WAF эрежелери, VLAN жана кирүү — андан кийин ар бир септи күтүлгөн конфигурацияга каршы текшеребиз.
Коомдук домендерде ылдамдыкты чектөө жана бот башкаруусу менен Edge коопсуздугу.
Каталог тарабынан колдоого алынган аутентификациясы бар WPA3-Enterprise — жалпы WPA2 сырсөзү эмес.
Кызматкерлер, IoT жана Коноктор үчүн өзүнчө VLAN'лар — жалпак кеңсе LAN жок.
OS жана колдонмо жаңыртуулары 30 күндүн ичинде, документтештирилген өзгөчөлүктөр менен.
Чыгуучу DNS чыпкалоо жана каралып чыккан брандмауэр эрежелер топтому.
Ички кызматтарга идентификациялык кирүү, эч кандай жашыруун тармак ишеними.
Домен 4 — Окуяга жооп берүү жана үзгүлтүксүздүк
Окуяга жооп берүү планы документ эмес, булчуң. Биз планды, бургулоо каденциясын, тышкы байланыштарды жана окуядан кийинки циклди текшеребиз.
Ролдор, эскалация жолдору жана так байланыш дарагы менен учурдагы IR планы.
Эмнени текшеребиз: Версия, акыркы карап чыгуу күнү, ээлик кылуу жана сактоо жери - жана анда аталган адамдар дагы эле бул жерде иштейби.
Жылына эки жолу айланган сценарийлер менен стол үстүндөгү машыгуулар, ошондуктан команда оюн китебин билет.
Эмнени текшеребиз: Акыркы машыгуу күнү, сценарийлер аткарылды, алынган сабактар жана планга кайра киргизилген өзгөртүүлөр.
CERT, камсыздандыруучу, юридикалык кеңешчи жана IR планында 24/7 номерлери менен соттук экспертиза.
Эмнени текшеребиз: Ар бир байланыш валютасы жана алдын ала бекитилген масштабы үчүн сыналган, ошондуктан сиз кризис учурунда сүйлөшүүлөрдү жүргүзбөйсүз.
Кызматкерлер, кардарлар, жөнгө салуучулар жана басма сөз үчүн алдын ала даярдалган холдинг билдирүүлөрү — юридикалык жактан каралып чыккан.
Эмнени текшеребиз: Ар бир аудитория үчүн шаблондор, кол коюлган эскалация босоголору жана статус жаңыртуулары үчүн чындыктын бирдиктүү булагы.
14 күндүн ичинде өлүп калгандан кийин структуралаштырылган, иш-аракеттер пункттары жабылганга чейин көзөмөлдөнөт.
Эмнени текшеребиз: Күнөөсүз шаблон, аракеттер реестри жана окуядан 90 күндөн кийин башкаруу элементтерин кайра текшерүү үчүн календарлык эскертүү.
Домен 5 — Шайкештик жана Үчүнчү Тарап Тобокелдиги
GDPR регистрлери, инвентаризацияларды иштетүү, маалымат субъектине кирүү, сатуучулардын сын-пикирлери. Биз жазууларды жана үчүнчү тараптын тобокелдиктерин текшеребиз жана сизге учурдагы реестрди калтырабыз.
Сиздин домендериңизге ылайыкташтырылган коопсуз шилтеме, тиркеме жана фишингге каршы саясаттары менен электрондук-платформаны чыпкалоо.
Ар бир иш-аракети, мыйзамдуу негиздери, сактоо мөөнөтү жана ээси менен заманбап реестр.
Ээси, SLA жана шаблондор менен документтештирилген маалымат субъектине кирүү суроо процесси.
Өндүрүшкө же жеке маалыматтарга жетүү мүмкүнчүлүгү бар ар бир берүүчү үчүн тобокелдикке негизделген баалоо.
Реестр менен архивделген жеке маалыматтарга тийешелүү ар бир жаңы система же камсыздоочу үчүн PIA.
Шайкештиктин далилдери изделүүчү бир жерде — саясаттар, кол коюулар, бургулоо журналдары, сын-пикирлер.
Жеткирүү
Жогорудагы беш домендин ар бир табылгасы бир жазуу жүзүндөгү отчетто жайгаштырылат, сиз котормочусуз иштей аласыз. Бул биз кеткенден кийин сенин колуңда калат.
Кирүүнү көзөмөлдөө, маалыматтарды коргоо, инфраструктура, инциденттерге жооп берүү, шайкештик - алардын ар бири статусу, табылгасы жана далилдери менен.
Ар бир боштук үчүн: артыкчылык, ээси, күч-аракетти баалоо жана конкреттүү кийинки иш - бүдөмүк "карап чыгуу жана жакшыртуу" эмес.
Архитектура диаграммалары отчетто камтылган, дени сак/тобокел/критикалык деп белгиленген, ошондуктан сүрөт прозага дал келет.
Сиздин коопсуздук упайыңыз
Сиз жаргонго толгон бир десте кагазды албайсыз. Сиз упай аласыз: ар бир пункт, эмне иштеп жатканын жана эмнеге көңүл буруу керектигин дароо тактаңыз.
Критикалык аялуу - токтоосуз чара көрүү талап кылынат. Мүмкүн болушунча күндүз оңдоп беребиз.
Көңүл буруу керек — муну 30 күндүн ичинде пландаштырыңыз. Биз сизге кадамдарды беребиз.
Баары жакшы - бул бөлүк туура иштетилген. жазуу жүзүндө тастыкталган.
Орточо эсеп менен биз ар бир баалоодо 8-12 маселени табабыз. Эмнени таппайлы, мүмкүн болсо, ошол эле күнү оңдойбуз.
Кошумча - ошол эле күнү тез утуштар
Эгерде толук баалоодон кийин убакыт болсо, анда биз бир нече мүнөттү талап кылчу өзгөртүүлөрдү колдонобуз - жумалар эмес - ошондуктан сиз ойгонгондон да коопсуз уктайсыз.
Ботту башкарууну, браузердин бүтүндүгүн текшерүүнү жана аларга керектүү жолдор үчүн коопсуздук деңгээлин күйгүзүңүз. Беш мүнөт, чыныгы таасир.
Байланыш формасына тиешелүү чектөөлөрдү коюңуз, логин жана сырсөздү баштапкы абалга келтириңиз. Эң оңой кыянаттык векторлорун баштаардан мурун кесип салат.
Мурунку кызматкерлерди, эски администратор аккаунттарын жана 1-деңгээлде табылган пайдаланылбаган API ачкычтарын жокко чыгарыңыз. Отчетто эң арзан утуш.
HSTS, X-Frame-Options, базалык CSP. Четинде бир конфигурацияда жасалган өзгөртүү, түбөлүккө сакталат.
Чынчыл эскертүү: Ыкчам жеңиштер толук баалоо убакыттын өтүшү менен аяктаса гана болот. Биз эч качан оңдоп-түзөө үчүн тереңдикти алмаштырбайбыз - кылдат текшерүү - бул жыйынтык, оңдоолор - бонус.
Эмне үчүн Корур айырмаланат
Көптөгөн куралдар сизге сканерди сатат. Кабинетиңизде бир күн отуруп алып, тапкандарын түшүндүрүп бергендер аз. Бул жерде айырма.
Сиз биз ар бир деңгээлде эмне кылып жатканыбызды так көрүп турасыз — кара куту жок, менчик сыры жок. Методология жетүү болуп саналат.
Инвентаризация, чет, колдонмо, тармак, бэкэнд, маалыматтар, интеграция. Көпчүлүк сканерлер бир катмарды камтыйт; жолду каптайбыз.
Эгер көйгөй бир нече мүнөттө чечилсе, биз аны улантуудан мурун чечебиз. Сиз тизме менен эмес, жыйынтык менен кетесиз.
Өнөктөштүк кызматыбыз аркылуу Коопсуздук упайы жандуу бойдон калат — сунуштар боюнча иш-аракет кылганыңызда абалыңыздын өзгөргөндүгүн көрөсүз.
Биз тапкан нерселердин бардыгы сиздин аудиторуңуз, CTOңуз жана келечектеги жалдоочуларыңыз окуй турган документте камтылган. Билим бизден кетпейт.
Барганда даяр
Толук бир күн. Сайтта. Туруктуу баа. Сиз Коопсуздук упайынын отчету менен кетесиз жана - эгер убакыт болсо - буга чейин киргизилген жакшыртуулар топтому.
