Манай арга зүй
Аюулгүй байдлын ихэнх хэрэгсэл нь сул талуудын жагсаалтыг гаргаж, үүнийг ойлгох боломжийг танд үлдээдэг. Бид эсрэгээр нь хийдэг: бид таны орчинтой хамт сууж, хүсэлт бүрийг дагаж мөрдөж, давхарга бүрийг баримтжуулж, маргааш хэрэгжүүлэх боломжтой тэргүүлэх төлөвлөгөөг танд өгнө.
Зорилго нь илүү урт эмзэг байдлын жагсаалт биш бөгөөд энэ нь таныг хаана өртөж байгаа, яагаад чухал болох, юуны түрүүнд юу хийх ёстойг илүү сайн ойлгох явдал юм. Энэ нь сканнердах, үнэлэх хоёрын ялгаа юм.
Бид таны ажиллаж байгаа систем, бүртгэл, периметр, интеграцчилал зэргийг зураглаж эхэлдэг. Та харж чадахгүй зүйлээ хамгаалж чадахгүй.
Edge, application, network, backend, data. Давхарга бүр өөрийн гэсэн дүн шинжилгээг авдаг - нэг периметрийн скан биш.
Улаан/улбар шар/ногоон гэсэн тэргүүлэх чиглэлүүд болон дараагийн тодорхой алхмуудыг агуулсан аюулгүй байдлын бичгээр оноо. Хадгалах, хуваалцах, хэрэгжүүлэх нь таных.
Домэйн 1 — Хандалтын хяналт ба таниулбарууд
Зөрчил бүр данснаас эхэлдэг. Бид хэн болохыг эцэс төгсгөлгүй аудит хийдэг: хүмүүс, эрх, SSO, гадуурх болон яаралтай тусламжийн хандалт.
Олон хүчин зүйлийн баталгаажуулалтыг хаа сайгүй хэрэгжүүлдэг бөгөөд баталгаажуулагч-апп-ийн нөөцтэй.
Өргөтгөл дэх аудитын бүртгэлийг бүрэн бүртгэх бүхий админ дансуудыг тусад нь.
Офлайнаар хадгалагдсан яаралтай тусламжийн бүртгэл тул лавлах үйлчилгээний тасалдал таныг хаахгүй.
Үндсэн хэрэгсэл дээрх SSO, хоёрдогч апп дээр SAML/OIDC холболт хүлээгдэж байна.
Багийн хэмжээнд нууц үгийн менежер, хэлтэс тус бүрд хадгалагдаж, ажилчдыг чөлөөлөх урсгалтай.
Систем болгонд зориулсан баримтжуулсан унтраах скрипт - өнчин хандалт байхгүй.
Домэйн 2 — Мэдээлэл хамгаалах, нөөцлөх стратеги
Бид хамгаалалтын амьдралын мөчлөгийг бүхэлд нь хянадаг: юу шифрлэгдсэн, юуг нөөцөлсөн, хэр олон удаа шалгадаг, хэр хурдан буцаж ирдэг вэ.
Өдөр тутмын нөөцлөлтийг улирал тутмын хамгаалагдсан хязгаарлагдмал орчинд сэргээх туршилт, цаг хугацааны нөхөн сэргээлттэй хослуулсан.
Зөөврийн компьютер бүр дээр дискний шифрлэлт, хадгалах сан болон мэдээллийн сан дахь платформоор удирддаг түлхүүрүүд.
Мэдээлэл хамгаалах идэвхтэй шошго бүхий одоогийн гарын үсэг зурсан бодлого.
Систем бүрийн баримтжуулсан сэргээх хугацаа болон сэргээх цэгийн зорилтууд.
Runbooks, нэртэй эзэмшигч, огноотой аудитын нотлох баримт бүхий улирал тутам.
DR төлөвлөгөөг тэргүүлэх чиглэл, хамаарал, жил бүр танилцуулсан.
Бид тантай хамт ажилладаг нөөц мөчлөг
Автоматжуулсан өдөр тутмын агшин зуурын агшин зуурын болон амарч байхад шифрлэгдсэн.
Улирал тутам хамгаалагдсан хязгаарлагдмал орчинд сэргээх - ямар ч шалтаг, үл хамаарах зүйл байхгүй.
Жинхэнэ RTO-ийн эсрэг бодит сэргэлт - амлалтаар бус цагаар хэмжигддэг.
Өгөгдлийн бүрэн бүтэн байдлыг шалгах + гарын үсэг зурах, аудиторуудад нотлох баримт болгон архивлагдсан.
Нөөцлөх нь үйл явдал биш, энэ нь гогцоо бөгөөд цорын ганц чухал алхам бол сэргээх явдал юм.
Домэйн 3 — Дэд бүтэц, сүлжээний аюулгүй байдал
Интернэт рүү чиглэсэн ирмэгүүд, оффисын WiFi, VLAN хил хязгаар, нөхөөсний хэмнэл. Бид таны периметрээр дамжуулан нээлттэй интернетийн хүсэлтийг ажлын ачаалал болгон дагаж мөрддөг.
Бид жинхэнэ топологийн зураглал - нийтийн IP, WAF дүрэм, VLAN болон нэвтрэлт - дараа нь хоп бүрийг хүлээгдэж буй тохиргооныхоо дагуу шалгана уу.
Олон нийтийн домэйн дээрх хурдны хязгаарлалт, ботын удирдлага бүхий захын аюулгүй байдал.
WPA3-Лавлахаар баталгаажсан баталгаажуулалт бүхий аж ахуйн нэгж нь хуваалцсан WPA2 нууц үг биш юм.
Ажилтнууд, IoT болон зочдод зориулсан тусдаа VLAN-ууд - хавтгай оффисын LAN байхгүй.
Баримтжуулсан үл хамаарах зүйлийг эс тооцвол 30 хоногийн дотор үйлдлийн систем болон програмын шинэчлэлтүүд.
Гадагш DNS шүүлтүүр болон хянагдсан галт ханын дүрмийн багц.
Дотоод үйлчилгээнүүдийг таниулах хандалт, сүлжээний далд итгэл байхгүй.
Домэйн 4 — Осолд авах хариу арга хэмжээ ба тасралтгүй байдал
Ослын хариу арга хэмжээний төлөвлөгөө нь баримт бичиг биш харин булчин юм. Бид төлөвлөгөө, өрөмдлөгийн хэмнэл, гадаад контактууд, ослын дараах гогцоо зэргийг шалгадаг.
Үүрэг, хурдасгах зам, тодорхой харилцааны мод бүхий одоогийн IR төлөвлөгөө.
Бид юу шалгадаг: Хувилбар, сүүлийн хянан шалгах огноо, эзэмшил болон хадгалалтын байршил - мөн түүн дотор нэрлэгдсэн хүмүүс энд ажиллаж байгаа эсэх.
Жилд хоёр удаа эргэдэг хувилбар бүхий ширээний өрөмдлөг хийдэг тул баг тоглоомын дэвтрийг мэддэг.
Бид юу шалгадаг: Сүүлчийн дасгалын огноо, хувилбарууд, олж авсан хичээлүүд, төлөвлөгөөнд буцааж оруулсан өөрчлөлтүүд.
IR төлөвлөгөөнд 24/7 дугаартай CERT, даатгагч, хуулийн зөвлөх, шүүх эмнэлэг.
Бид юу шалгадаг: Харилцагч бүрийг валют болон урьдчилан баталсан хамрах хүрээг шалгасан тул хямралын үед хэлэлцээр хийхгүй байх болно.
Ажилтнууд, үйлчлүүлэгчид, зохицуулагчид болон хэвлэлийнхэнд зориулсан урьдчилан боловсруулсан мэдэгдлийн төслийг хууль эрх зүйн талаас нь хянасан.
Бид юу шалгадаг: Үзэгчид тус бүрт зориулсан загварууд, зөвшөөрөгдсөн өргөлтийн босго, статусын шинэчлэлтийн үнэний нэг эх сурвалж.
14 хоногийн дотор задлан шинжилсний дараа бүтэц зохион байгуулалттай, үйлдлийг хаах хүртэл хянадаг.
Бид юу шалгадаг: Гэм буруугүй загвар, үйлдлийн бүртгэл, үйл явдлын дараа 90 хоногийн дараа хяналтыг дахин шалгах хуанлийн сануулга.
Домэйн 5 — Дагаж мөрдөх болон гуравдагч этгээдийн эрсдэл
GDPR бүртгэл, бараа материалыг боловсруулах, өгөгдлийн субьектийн хандалт, худалдагчийн тойм. Бид бүртгэлүүд болон гуравдагч этгээдийн эрсдэлийн гадаргууг шалгаж, танд одоогийн байгаа бүртгэлийг үлдээнэ.
Таны домэйнд тохируулсан аюулгүй холбоос, хавсралт, фишингийн эсрэг бодлого бүхий цахим шуудангийн платформ шүүлтүүр.
Үйл ажиллагаа, хууль ёсны үндэслэл, хадгалах хугацаа, эзэмшигч бүрийг шинэчилсэн бүртгэлд оруулна.
Эзэмшигч, SLA болон загварууд бүхий баримтжуулсан өгөгдлийн субьектэд хандах хүсэлтийн процесс.
Үйлдвэрлэл эсвэл хувийн мэдээлэлд нэвтрэх боломжтой ханган нийлүүлэгч бүрийн эрсдэлд суурилсан үнэлгээ.
Бүртгэлтэй архивлагдсан, хувийн мэдээлэлд хүрсэн шинэ систем, ханган нийлүүлэгч бүрийн МХГ.
Бодлого, гарын үсэг зурах, өрөмдлөгийн бүртгэл, тойм зэрэг хайх боломжтой нэг газраас дагаж мөрдөх нотолгоо.
Хүргэгдэх боломжтой
Дээрх таван домэйны олдвор бүрийг орчуулагчгүйгээр ажиллах боломжтой гурван түвшний системээр оноож авсан нэг тайланд тусгасан болно. Энэ бол биднийг явсны дараа таны гарт үлдэх зүйл юм.
Хандалтын хяналт, мэдээллийн хамгаалалт, дэд бүтэц, ослын хариу арга хэмжээ, дагаж мөрдөх байдал - тус бүр нь статус, олдвор, нотлох баримттай.
Цоорхой бүрийн хувьд: тэргүүлэх ач холбогдол, эзэн, хүчин чармайлтын тооцоо, тодорхой дараагийн арга хэмжээ - тодорхойгүй "хянах, сайжруулах" биш.
Тайланд оруулсан архитектурын диаграммуудыг эрүүл/эрсдэлтэй/чухал гэж тэмдэглэсэн тул зураг зохиолтой тохирч байна.
Таны аюулгүй байдлын оноо
Танд үг хэллэгээр дүүрэн цаас олдохгүй. Та оноо авах болно: зүйл тус бүр, юу ажиллаж байгааг, юуг анхаарах шаардлагатайг нэн даруй тодорхойл.
Чухал эмзэг байдал - яаралтай арга хэмжээ авах шаардлагатай. Бид боломжтой бол өдрийн цагаар засдаг.
Анхаарал хандуулах хэрэгтэй - үүнийг 30 хоногийн дотор төлөвлө. Бид танд алхамуудыг өгдөг.
Бүх зүйл сайн байна - энэ хэсгийг зөв зохицуулдаг. Бичгээр баталгаажуулсан.
Нэг үнэлгээнд дунджаар 8-12 асуудал олддог. Бид юу ч олсон хамаагүй, боломжтой бол тэр өдөртөө засдаг.
Сонголттой - нэг өдрийн хурдан ялалт
Хэрэв бид бүрэн үнэлгээний дараа цаг гарвал бид хэдэн долоо хоног биш хэдэн минут зарцуулдаг өөрчлөлтүүдийг хэрэгжүүлдэг тул та сэрэхээсээ илүү аюулгүй унтдаг.
Бот удирдлага, хөтчийн бүрэн бүтэн байдлыг шалгах, шаардлагатай замуудын аюулгүй байдлын түвшинг асаана уу. Таван минут, бодит нөлөө.
Холбоо барих маягт, нэвтрэх, нууц үг шинэчлэх зэрэгт зохих хязгаарлалт тавь. Хамгийн хялбар хүчирхийллийн векторуудыг эхлэхээс нь өмнө таслана.
Бидний 1-р түвшинд олсон хуучин ажилчид, хуучин админ бүртгэлүүд болон ашиглагдаагүй API түлхүүрүүдийг хүчингүй болго. Тайлан дахь хамгийн хямд ялалт.
HSTS, X-Frame-Options, үндсэн CSP-г оруулаарай. Нэг тохиргооны өөрчлөлтийг ирмэг дээр хийж, үүрд хадгална.
Шударга анхааруулга: Бүрэн үнэлгээ нь цаг хугацаа өнгөрөөд дууссан тохиолдолд л хурдан ялалт бий болно. Бид хэзээ ч засч залруулахын тулд гүнзгийрүүлэхгүй - нарийвчилсан аудит нь үр дүн, засвар нь урамшуулал юм.
Яагаад Korur ялгаатай вэ?
Олон тооны хэрэгсэл танд сканнердах болно. Маш цөөхөн хүн танай оффис дээр нэг өдөр суугаад олж мэдсэн зүйлээ тайлбарлах болно. Энд ялгаа байна.
Та бидний бүх түвшинд юу хийж байгааг харж байна - ямар ч хар хайрцаг, өмчийн нууц байхгүй. Арга зүй нь үр дүнд хүрэх боломжтой.
Бараа материал, зах, хэрэглээ, сүлжээ, арын хэсэг, өгөгдөл, нэгтгэлүүд. Ихэнх сканнерууд нэг давхаргыг хамардаг; бид замыг хамардаг.
Асуудлыг хэдхэн минутын дотор шийдэх боломжтой бол бид цаашаа явахаасаа өмнө шийддэг. Жагсаалт биш харин үр дүнгээ өгөөд явна.
Манай түншлэлийн үйлчилгээгээр дамжуулан Аюулгүй байдлын оноо нь хэвээр үлдэнэ - та зөвлөмжийн дагуу ажиллаж байхдаа таны байрлал өөрчлөгдөхийг харна.
Бидний олсон бүх зүйл таны аудитор, таны CTO болон ирээдүйн ажилд орох хүмүүсийн унших боломжтой баримт бичигт багтдаг. Мэдлэг бидэнтэй хамт үлдэхгүй.
Чамайг байхад бэлэн
Бүтэн нэг өдөр. Сайт дээр. Тогтмол үнэ. Та Аюулгүй байдлын онооны тайланг аваад, хэрвээ цаг гарвал аль хэдийн суулгасан сайжруулалтуудыг аваад явна.
