rules.jpg

Konflikter mellem bedst mulig sikkerhed og overholdelse af angivne standarder

Nogle gange stemmer de nyeste bedste fremgangsmåder for sikkerhed ikke overens med en organisations skabeloner til overholdelse af angivne standarder, herunder kvalitet, kundeservice mm. Derfor kan der være områder, hvor du muligvis har brug for en undtagelse. Måske du læser om et godt tip på internettet og tror, det ville forbedre din sikkerhedsstilling, men før du giver det videre til ledelsen, er det klogt at afgøre, om det er tilladt i henhold til dine krav til overholdelse af sikkerhedsreglerne eller kan blive en acceptabel undtagelse fra dine skabeloner til overholdelse af angivne standarder.

Mange der arbejder for virksomheder, har flere overholdelsesmandater.

Jo større og mere international din virksomhed er, jo mere alfabetsuppe af teknologioverholdelsesregler skal følges: EU’s generelle databeskyttelsesforordning (GDPR), den amerikanske health insurance portability and accountability act (HIPAA), betalingskortindustriens datasikkerhedsstandard (PCI DSS), vejledningen fra National Institute of Standards and Technology (NIST),  Federal Information Security Management Act (FISMA) og Center for Internet Security (CIS) kontrollerer for at nævne nogle få.

Disse regler indeholder anbefalinger og kontrolelementer, som du muligvis skal gennemgå, før du ændrer dit netværksforsvar for at sikre, at du overholder reglerne. At holde trit med overholdelsesskabeloner er typisk et fuldtidsjob.

Kontrollerede versus ukontrollerede Windows-opdateringer

Nogle mandater kan overraske dig i betragtning af de ændringer, vi har set i vores netværk i løbet af de sidste mange år. Et eksempel er, hvordan du håndterer Windows-opdateringer. Nogle organisationers opdateringer styres ikke længere af Windows Software Update Services (WSUS), men overholdelsesbestemmelserne er ikke fulgt med, hvordan vi implementerer opdateringer.

Det gamle mandat var klart: Lad ikke systemopdateringer være ukontrollerede. Som afsnittet noter til Server 2012 R2 siger: “Ukontrollerede systemopdateringer kan introducere problemer til et system. Indhentning af opdateringskomponenter fra en ekstern kilde kan også potentielt give følsomme oplysninger uden for virksomheden. Valgfri installation eller reparation af komponenter skal ske fra en intern kilde.”

Brug af WSUS og derefter indstilling af gruppepolitikken om, at dine maskiner kan hente .Net 3.5-komponenter fra internettet, anbefales ikke med denne indstilling. Som det bemærkes, anbefales det at:

“Konfigurer politikværdien for Computer Configuration -> Administrative Templates -> System -> ‘Angiv indstillinger for valgfri komponentinstallation og komponentreparation’ til ‘Aktiveret’ og med ‘Forsøg aldrig at downloade nyttelast fra Windows Update’ valgt.”

Så kan du lade dine servere uafhængigt oprette forbindelse til Windows-opdatering til service, når du installerer og implementerer .NET 3.5? Svaret er “det afhænger.” For nogle virksomheder kan du få mandat til at holde dig til overholdelsesskabelonen for din branche. Andre kan muligvis anmode om undtagelser baseret på din virksomheds behov og sikkerhed.

Selv Windows Server 2019 har krav om ikke at bruge mere moderne opdateringsfunktioner. Et eksempel er mandatet for Server 2019 til ikke at søge efter opdateringer på andre enheder i netværket ved hjælp af peer-to-peer-opdateringsteknologien kendt som Leveringsoptimering. Som nævnt: Windows Update kan hente opdateringer fra yderligere kilder i stedet for Microsoft. Ud over Microsoft kan opdateringer hentes fra og sendes til pc’er på det lokale netværk såvel som på internettet. Dette er en del af processen, der er tillid til Windows Update. For at minimere ekstern eksponering skal det dog forhindres at få opdateringer fra eller sende til systemer på internettet.

For at sikre, at systemer ikke har denne indstilling, skal du “Konfigurere politikværdien for computerkonfiguration >> administrative skabeloner >> Windows-komponenter >> leveringsoptimering >> ‘Downloadtilstand’ til ‘Aktiveret’ med en hvilken som helst mulighed undtagen ‘Internet’ valgt. “

Programrettelse af virtuelle maskiner i Microsoft Azure

Selv når du bruger teknologi som Azure, skal du følge overholdelsesmandater – for eksempel at virtuelle maskiner i Azure holdes opdateret med programrettelser. Anbefalingen er at bruge Azure Security Center til at gennemgå status for virtuelle Windows- og Linux-maskiner. Alternativt kan du bruge tredjeparts patch-software til at holde systemer opdaterede.

Kontrol af nye teknologiplatforme

Du skal muligvis undersøge og godkende nye teknologiplatforme, før du ruller dem ud. Tag for eksempel Intune, Microsofts nye platform til styring og styring af arbejdsstationer. CIS har en revisionsskabelon til implementering af Intune. De elementer, der skal gennemgås, spænder fra indstillinger til godkendelse.

Bedste praksis for adgangskoder i forhold til mandater

Benchmarks anbefaler adgangskodeindstillinger, der kommer i tvivl og kan forårsage flere problemer med adgangskodeadministration. De anbefalede adgangskodealderindstillinger i serverskabeloner og med Intune for eksempel 60 dage eller mindre. Nyere forskning har imidlertid vist, at hvis multifaktorautentificering bruges sammen med bedre godkendelsesteknologi såsom Windows Hello eller andre biometriske muligheder, kan udløb af adgangskode indstilles højere end 60 dage og kan endda deaktiveres helt. Din organisation skal muligvis anmode om en undtagelse fra visse overholdelsesskabeloner, fordi dine valg gør din organisation mere sikker, ikke mindre.

Lovgivnings- og vejledningsressourcer

Center for Internet Security-webstedet kræver, at du downloader PDF-filer med vejledning, der spænder fra Apple-enheder til Cisco-enheder til firewalls til printere, når du angiver en e-mailadresse og faste oplysninger. Jeg anbefaler, at du ud over at downloade vejledningen tilmelder dig for at deltage i benchmarkfællesskabet, så du kan stille spørgsmål og deltage i diskussionerne. Ofte i disse benchmark-fællesskaber finder du ligesindede deltagere, der kan hjælpe dig med dit compliance-projekt.

Hvis du undersøger nye teknologier og platforme, kan disse benchmarkdokumenter hjælpe dine implementeringsprojekter. CIS inkluderer vejledning til teknologier som Apple macOS 12.0, Apple macOS 11.0 Big Sur, Apple macOS 10.15 Catalina, Apple macOS 10.14 Mojave. Hvis du lige nu leder efter vejledning om bedste praksis ved implementering af Apple-desktops, hjælper disse dokumenter dig i din indledende implementering og undersøgelse af nye teknologier.

Overholdelse er et nødvendigt mandat for næsten alle større virksomheder. Dit mål er at finde balancen mellem at vælge den rigtige vejledning og alligevel omfavne nye teknologier, der vil bringe mere sikkerhed til din virksomhed.

Kilde: CSO

Foto: Pexels

Scroll til toppen