14-те най-добри начина за защита на вашите компютри

Забравете скъпите IDS, базирани на хоста IDS и унифицирани уреди за управление на заплахи. Ето как наистина да получите най-добрия взрив за сигурност за парите си:

1. Предотвратете инсталирането или изпълнението на неупълномощен софтуер или съдържание. Научете какво работи на вашите компютри и защо. Ако не знаете какво има във вашите системи, не можете да ги защитите адекватно.

2. Не позволявайте на потребители, които не са администратори, да влизат като администратори или root.

3. Защитете електронната си поща. Конвертирайте цялото входящо HTML съдържание в обикновен текст и блокирайте всички разширения на файлове по подразбиране, с изключение на шепата или две, които искате да разрешите.

4. Защитете паролите си. Изискват дълги пароли, 10 или повече знака за нормални потребители, 15 знака или повече за администраторски акаунти. Приложете блокиране на акаунта, дори и само с едноминутно блокиране. В Windows деактивирайте хеш паролите на LM. В Unix / Linux използвайте по-новите хешове на crypt (3), хешове в стил MD5 или дори по-добре bcrypt хешове, ако вашата операционна система го поддържа.

5. Практикувайте отказ по подразбиране и най-малко привилегии, когато е възможно. Когато разработвате политики за сигурност с най-малки привилегии, използвайте ролева защита. Вместо една „група за ИТ сигурност“, трябва да имате група за всяка ИТ роля.

6. Дефинирайте и наложете домейни за сигурност. Кой има нужда от достъп до какво? Какви видове трафик са законни? Отговорете на тези въпроси и след това проектирайте защитата на периметъра. Вземете базови линии и отбележете необичаен трафик.

7. Криптирайте всички поверителни данни, когато е възможно, особено на преносими компютри и носители. Няма оправдание да не направите това - лошият PR, който ще получите от загубени данни (вижте AT&T, Министерство на ветераните в САЩ, Bank of America), трябва да бъде достатъчно повторен.

8. Актуализирайте управлението на кръпки за операционни системи и всички приложения. Напоследък ли сте закърпили Macromedia Flash, Real Player и Adobe Acrobat?

9. Внедрете антивирусни, антиспам и антишпионски инструменти на шлюза и / или на ниво хост.

10. Прегърнете сигурността с неизвестност. Преименувайте администраторския и root акаунта си на нещо друго. Нямате акаунт, наречен ExchangeAdmin. Не давайте на файловите сървъри имена като FS1, Exchange1 или GatewaySrv1. Поставете услуги на портове, които не са по подразбиране, когато можете: Можете да преместите SSH на 30456, RDP на 30389 и HTTP на 30080 за вътрешна употреба и бизнес партньори.

11. Сканирайте и проучете неочаквани TCP или UDP портове за прослушване във вашата мрежа.

12. Проследявайте къде всички сърфират в интернет и за колко време. Публикувайте констатациите в онлайн доклад в реално време, достъпен за всеки. Тази препоръка има за цел да направи навиците на сърфирането в Интернет да се самоподдържат. (Обзалагам се, че това също ще доведе до внезапно нарастване на производителността.)

13. Автоматизирайте сигурността. Ако не го автоматизирате, няма да го правите последователно.

14. Обучавайте персонала и служителите за рисковете за сигурността и създавайте подходящи политики и процедури. Практикувайте управление на промяна и конфигурация. Прилагане на санкции за неспазване.

Знам, че пропуснах много други неща, като например физическа сигурност, но това е по-добро от добро начало. Изберете една препоръка и се съсредоточете върху прилагането й от началото до края. След това започнете от следващия. Пропуснете тези, които не можете да приложите, и нулирайте какво можете да направите. И ако абсолютно трябва да имате толкова скъпи IDS, вземете го - но не докато приключите с покриването на тези основи.