iT邦幫忙

0

請教資安補強還有哪些地方可以下手?(目前能做的都做了)

lcn0 2021-04-22 17:19:401508 瀏覽

請教各位大哥,請教資安補強還有哪些地方可以下手,可否給些建議? (目前能做的都做了),謝謝

1.主要的File server,NAS兩台:啟用快照,每天複寫至備份用NAS,再加上每天複寫至另一地備份的NAS。
2.備份用NAS:備份時流浪跑在Backup Lan上面與工作用切開,設定不同的帳密,檔案服務關閉,並啟用快照。
3.VM:使用備份軟體備份到另一台Backup server。
4.VM:Storage啟用快照,同時iscsi Lun複寫至另一台上面,必要時可以直接掛載使用。
5.內部防毒:卡巴斯基KES。
6.防火牆:Fortigate 100D,授權持續更新中,啟用過濾:防毒/Web filter/APP control/IPS/DNS。
7.內部有一台上網行為管理主機:一般同事上網受到控管並記錄。
8.SPAM病毒過濾:中華數位SpamSQR
9.開放對外的服務:Exchange Server與FTP

拋棄有漏洞隱憂且已EOL的作業系統及服務(如SMB v1)
不使用已被發現有安全問題的應用程式,如ADOBE FLASH及WINRAR
lcn0 iT邦新手 3 級 ‧ 2021-04-23 10:19:12 檢舉
謝謝提醒,這部份應該都補的差不多了
9
raytracy
iT邦大神 1 級 ‧ 2021-04-22 18:03:48

請將 NIST CSF 的五大功能/23種分類/108種控制項全部巡一次:

將108項依 0~5 分進行成熟度評定, 評完之後就知道還差多少沒有做:

這個不可能讓你一次就到位, 但是至少五大功能, 每一種都先補一點點, 然後逐年編列預算, 慢慢把成熟度補滿3分以上, 磨個 5 年大概可以做完....

看更多先前的回應...收起先前的回應...

/images/emoticon/emoticon25.gif

話說~~~我只有做到10%的事。該死

lcn0 iT邦新手 3 級 ‧ 2021-04-23 10:17:30 檢舉

哇!raytracy大提供的這個架構真大。我覺得困難點在於資源不足(人力與預算)...
設備不是買來調整好就可以放著不管,還是需要看Log並追蹤,maintain也是一筆費用。

小弟所寫的那堆東西雖然不起眼,但也是逐步建立高層的認知,經過一陣拉扯才做到

arsehole iT邦新手 4 級 ‧ 2021-04-28 12:07:03 檢舉

這圖看到就冒冷汗
都是$$$$
光是弄個備援線路就寫了十幾張報告
如果依照r前輩這張來巡
報告寫不完啊,又尤其上面不覺得重要的狀態

1
mytiny
iT邦大師 1 級 ‧ 2021-04-23 10:13:13

先不用說得太艱深
看PC或手持設備到NAS之間有沒有經過資安檢核就好
至少IPS與防毒的網路流量要檢查吧(含加密通訊,如https)

內網防護觀念如果沒有
備份只是挽救方案
看IT有多少力氣能花在"萬一"身上
資料流失出去
恐怕也不是恢復運作就能夠挽回的經濟損失吧!

lcn0 iT邦新手 3 級 ‧ 2021-04-23 16:34:34 檢舉

您好,近期評估鐵三角的方案中...但是由於內部架構有些奇怪的限制,還在等待工程師解決中

mytiny iT邦大師 1 級 ‧ 2021-04-23 17:42:30 檢舉

/images/emoticon/emoticon07.gif

"奇怪的限制"也可以提出來討論下
或許可以給些建議參考

lcn0 iT邦新手 3 級 ‧ 2021-04-26 14:14:59 檢舉

您好,後來工程師想出辦法處理,所以沒問題了,之後準備要安排測試,謝謝

1
雷伊
iT邦高手 1 級 ‧ 2021-04-23 10:15:13

您做的已經比一般工程師多很多
raytracy大的才是正規作法,我提供我的作法,聽聽就好當參考。

1.主要的File server,NAS兩台:啟用快照,每天複寫至備份用NAS,再加上每天複寫至另一地備份的NAS。
A:被綁架勒贖加密後也會有一式三份。
建議做法:
1.檔案伺服器(單向)=>單向異機備份至NAS=>單向備份異地至雲端硬碟(如WorkSpace無限空間),
2.NAS若因為差異資料累積使得容量不足時,整台清空。
3.NAS有檔案伺服器讀取權限,但檔案伺服器則沒有(NAS去抓檔案伺服器的資料過來備份)

2.備份用NAS:備份時流浪跑在Backup Lan上面與工作用切開,設定不同的帳密,檔案服務關閉,並啟用快照。
A:與前項一樣,你其中一份被綁大家一起同步一起死,不信可問廣達和宏碁的工程師。

3.VM:使用備份軟體備份到另一台Backup server。
A:有做到備份後以備份的那份當主,原始VM當備份?內含DB的有另行循環備份後丟雲端?

4.VM:Storage啟用快照,同時iscsi Lun複寫至另一台上面,必要時可以直接掛載使用。
A:您一直提快照,你有在IT邦搜尋過因快照重整GG的事件嗎?

5.內部防毒:卡巴斯基KES。
A:這有比Windows10內建的防毒機制好嗎?現在戰爭都是弱點偵測、釣魚連結=>綁架在勒贖,傳統病毒已經過時了,不信可問廣達和宏碁的工程師,他們跟你一樣有另購防毒軟體。

6.防火牆:Fortigate 100D,授權持續更新中,啟用過濾:防毒/Web filter/APP control/IPS/DNS。
A:這家更新授權的費用不是直接可以買F系列?

7.內部有一台上網行為管理主機:一般同事上網受到控管並記錄。
A:有沒有把同仁的手機沒收?筆電拔線連熱點上網要管甚麼?除非Local有裝監控

8.SPAM病毒過濾:中華數位SpamSQR
A:您不是有Exchange?本身就有垃圾郵件過濾機制

9.開放對外的服務:Exchange Server與FTP
A:如果你是用Exchange2010那就太棒了,2013以上的全都有機會成為下一個受害者。
FTP現在也是被攻擊勒索的目標,有上傳權限的資料夾都會被綁。

所有的問題解決方案我習慣用反推法,從災難復原反推到要如何防止災難發生。

看更多先前的回應...收起先前的回應...
lcn0 iT邦新手 3 級 ‧ 2021-04-23 16:26:17 檢舉

雷伊大哥您好,你所提的多少都有考慮到,恕不一一回覆囉。

小弟家裡的確是用Exchange2010,所以最近沸沸揚揚的ProxyLogon漏洞沒被影響到,只是Exchange 2010已達生命週期,預計下半年要升級。
我覺得你提到的從災難復原反推思考很實在阿,我們在執行排定的災難復原演練時,使用快照回復是速度最快的,而且版次較多。我們沒有遇過快照GG的事件,可否指點一二

雷伊 iT邦高手 1 級 ‧ 2021-04-23 16:33:06 檢舉

lcn0
說指點太誇張,我絕對沒比你強,前車之鑑不可不鑑!
你在站內搜尋=>快照
https://ithelp.ithome.com.tw/search?search=%E5%BF%AB%E7%85%A7&tab=question

lcn0 iT邦新手 3 級 ‧ 2021-04-26 14:13:23 檢舉

喔喔,我知道是怎麼一回事了,您講的是vmware上面的快照。我可能沒講清楚,我是指從Storage上面製作的快照,
就多次的模擬作業來說,不管是本機快照還原或是快照複寫端的還原,每次測試都是可用的,所以這也就當成最後的手段,
因為從備份軟體還原需要三小時,緩不濟急。謝謝

雷伊 iT邦高手 1 級 ‧ 2021-04-26 14:18:40 檢舉

lcn0 Storage <=已羨慕,我在順豐提了兩年都沒過的設備,因為我打算把這個拿來當檔案伺服器,虛擬機的D:要掛iScsi,實現當A虛擬機掛掉時1分鐘內B虛擬機可以立即接手。

我要發表回答

立即登入回答