为了创建一个安全的配置文件(digital profile),系统需要保证数据的完整性。这一原则包含了两部分:第一,需要保障操作系统和应用数据、配置数据、日志和其它重要信息的文件完整性;第二,要保护系统完整性,以确保应用、终端和网络的原本功能不被损害

只有把人、流程和技术整合到框架中才能实现数据完整性。而如果没有合适的指导,是很难完成这种操作的。幸好,互联网安全中心的一些重要安全控制措施CIS Controls)可以派上用场。各个组织应该特别关注下列几项安全措施:

  • 第3、5和11条CIS控件一起使用,有助于持续管理漏洞,加强关键端点,监控是否出现未预料到的改变。

  • 第17条CIS控件可帮助企业创建一个员工安全意识训练计划,以维持其技能。

  • 第6条CIS控件支持企业开发日志审计政策,并部署前摄性的变更管理。

在这些控件的帮助下,企业可通过下面六步创建并维持其数据完整性。

第一步:为基础设施创设一个配置基准

企业需要了解自己的资产是如何配置的。为了达到这个目的,可以利用第5和第11个CIS控件创建一个配置基准线,以此为基础管理配置,目录可接受的异常,以及对未授权变更发出警告。企业应该按此法设计一个标准,并将其应用到所有授权端点。

第二步:确定用于监控基准线的关键文件和进程

设置完基准线后,企业需要用关键文件和进程对其进行监控。他们可以利用第7-17的CIS控件细化监控流程,以覆盖到端点主映像,操作系统二进制数据和web服务器目录。他们还需要关注一些接触这些文件或涉及日志和警报生成的重要流程。

第三步:记录静态和动态配置监控过程 

需使用CIS控件中的3.1和3.2控件来配置自动扫描工具以扫描漏洞。企业应当考虑让自己同时具备静态和动态监控的能力。静态监控主要用于固定网络参数的周期性检查和评估,而动态监控主要为变更提供实时提示。

第四步:部署持续型漏洞监控

一旦配置完扫描工具,企业就要搞清楚其持续型漏洞监控计划的范围。作为这个计划的一部分,他们应该遵循第3项CIS 控件的指导,以确保出现变更基准配置或有暴露风险等可以活动时会弹出提示。他们还应该了解IT和安全人员需如何协作以加强数据完整性。

第五步:创建正式的变更管理进程

如果企业创建正式的变更管理进程评估请求和追踪数据,才能使变更管理的效果达到最佳。例如,他们可以考虑创建一个变更控制面板,并授权该控制面板优先权限,然后按照风险评级高低对发现的漏洞进行修复排序。与此同时,企业应该警惕有损数据完整性的变更管理问题。

第六步: 对员工进行培训

最后,企业应该遵循第8个CIS 控件的要求,为员工设立安全意识培训。他们应先进行差距分析,以了解员工所需的技能和行为要求。以分析的结果为基础,企业就可以实施培训来弥补员工技能的不足了。

不断完善的过程

建立和维持数据完整性是一个不断完善的过程,需要企业持之以恒的努力。

本文由安全内参翻译自Tripwire

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。