o SANS Institute é um parceiro no projeto de controles de segurança críticos para definir as tarefas mais importantes para a segurança da rede. SANS oferece um grande curso intitulado ” Implementing and Auditing the Critical Security Controls (SEC566)”, mas que curso se deve tomar depois de assistir SEC566?,
Course SEC566 define recomendações de uma forma neutra para fornecedores, mas na verdade a maioria dos ambientes executam Microsoft Windows e a maioria destas máquinas Windows são unidas a domínios de diretório ativos. Existe um curso SANS que oferece um mergulho profundo nos controles de segurança críticos como eles se relacionam especificamente com o Windows e Diretório Ativo?
Yes, the six-day Fixing Windows with the Critical Security Controls course at SANS (course number SEC505) is specifically written to provide in-depth coverage of just those Critical Controls which affect Windows servers and clients.,que controlos são abrangidos pelo SEC505 e que não são?
para cada um dos controles críticos, o seguinte descreve o que está coberto no curso de janelas de segurança (SEC505) que pode ajudá-lo a implementar os controles nos sistemas Windows, não apenas auditá-los. Ele também oferece sugestões para outros cursos SANS depois de tomar SEC566.
pode abrir outra página no seu navegador para a Página de controlos críticos para ver um resumo dos controlos para comparação.
Control 1: Inventory of Hardware Devices
SEC505 does not cover hardware inventory applications., No entanto, ao coletar dados de inventário com nmap e outras ferramentas, você inevitavelmente se depara com problemas de como organizar, armazenar, pesquisar, comparar e gerar relatórios a partir das montanhas de dados coletados. Quer use bases de dados, planilhas, XML ou apenas ficheiros de texto delimitados por vírgulas para armazenar os dados, o PowerShell é uma excelente linha de comandos e linguagem de script para manipular esses dados. Muitas tarefas de segurança não são realizadas porque os administradores não possuem habilidades de scripting, e tarefas de inventário são exemplos perfeitos. Por causa disso, SEC505 inclui um dia inteiro no PowerShell scripting.,
Control 2: Inventory of Software
SEC505 does not cover software inventory applications, though there are third-party enhancements for Group Policy for this purpose, and PowerShell can query remote systems through the WMI interface.
Mais importante do que apenas inventário, no entanto, este controle também aconselha o bloqueio de configurações de software, usando a whitelisting aplicação, o uso de aplicações de registro, e prevenir a instalação indesejada aplicação., Em SEC505 um dia inteiro é dedicado à Política de grupo e há muitas tecnologias de Política de grupo para apenas estes tipos de problemas, por exemplo, AppLocker, Políticas de auditoria/registro, gestão de permissões NTFS, configurar quase todos os aspectos do Internet Explorer e as aplicações Microsoft Office, requisitos de assinatura de código para scripts/macros, restringir a instalação de pacotes MSI, executar scripts para identificar software não-padrão, etc. SEC505 discute especificamente técnicas de endurecimento para Java, Internet Explorer, Google Chrome, Adobe Reader e Microsoft Office.,
Control 3: configurações seguras para sistemas de computador
As máquinas Windows não são endurecidas à mão, mas pela aplicação de modelos de segurança INF/XML, tais como os fornecidos com o Microsoft Security Compliance Manager. Estes modelos são aplicados usando a Política de grupo, SECTEDIT.EXE, a configuração de segurança e análise MMC snap-in, ou o Assistente de configuração de segurança (todos cobertos no SEC505)., Para as poucas configurações que não podem ser configuradas através de um modelo ou Política de grupo, é provável que um script seria usado para que as alterações pudessem ser automatizadas (PowerShell novamente).
controlo 4: Avaliação da Vulnerabilidade e reparação
SEC505 não abrange os scanners de vulnerabilidade, que são abrangidos por outros cursos, tais como os essenciais de segurança (SEC401). Por outro lado, a recuperação da vulnerabilidade é muito bem coberta nas secções sobre gestão de adesivos, Política de grupo, endurecimento de aplicações, etc.,
controlo 5: as defesas contra Malware
técnicas Anti-malware são discutidas ao longo da semana, tais como o controlo de contas de utilizador, buracos de fundo DNS, endurecimento do Internet Explorer e Chrome, Java, Adobe Reader, usando servidores de salto, AutoPlay/AutoRun, etc. Mas uma comparação de produtos de varredura AV particular ou debate sobre onde instalá-los, que não é coberto.
Control 6: Application-Layer Software Security
SEC505 does not cover sec505 secure coding, web application testing or database security., No entanto, SEC505 dedica Meio dia ao endurecimento do servidor( dia 5), como para servidores web IIS.
controlo 7: controlo de Dispositivos sem fios
SEC505 guia – o através dos passos da configuração de um PKI, da remoção de certificados sem fios (ou cartões inteligentes), da instalação de servidores de raio, da configuração das configurações sem fios nos computadores portáteis através da Política de grupo e da aplicação da utilização de WPA2, encriptação AES e autenticação PEAP nos servidores de raio. Através da Política de grupo você também pode bloquear e, em seguida, esconder as outras opções sem fio de usuários não-administrativos, e.g.,, você pode impedi-los de se conectar a redes ad hoc. O problema dos pontos de acesso desonestos, da ligação e dos computadores BYOD também é discutido. SANS tem uma grande faixa de uma semana em segurança sem fio (SEC617), mas esse curso não é para redes Windows especificamente, SEC505 é.
controle 8: Capacidade de recuperação de dados
SEC505 não cobre como realizar backups e recuperação, por favor, veja o essencial de segurança (SEC401) ou entre em contato com o seu fornecedor de solução de backup.,
controlo 9: avaliação e formação de competências
SEC505 não abrange a formação em segurança nem os testes de sensibilização em pormenor, por favor, veja a segurança do Ser Humano (MAN433).
controlo 10: configurações seguras para dispositivos de rede
SEC505 não abrange o projecto de firewall nem a configuração de roteadores e interruptores; em vez disso, consulte a protecção do perímetro em profundidade (SEC502).
controlo 11: controlo dos portos de rede, protocolos e serviços
Política de grupo e administração da linha de comando do IPSec e da Firewall do Windows está coberto no SEC505 em grande pormenor., A combinação da política do Grupo IPsec + Windows Firewall + garante um controlo muito preciso e flexível sobre os utilizadores e computadores que podem aceder aos portos/serviços em que máquinas. O quarto dia do SEC505 é dedicado ao IPSec, Windows Firewall, Microsoft RADIUS service para autenticação 802.1 x de clientes sem fio e Ethernet.
controlo 12: privilégios administrativos
Todas as recomendações deste controlo relativas a contas de utilizador administrativas são discutidas ou demonstradas no SEC505 (dia 2)., O dia PKI do SEC505 (dia 3) também caminha com o Participante através do processo de criação de um PKI Windows e emissão de cartões inteligentes e outros certificados para os usuários administrativos para a autenticação segura multi-fator. A gestão segura das credenciais administrativas, que incluem contas de serviços, é uma das tarefas mais difíceis e importantes. SEC505 passa quase um dia inteiro apenas neste Controle por causa de sua importância para as janelas em particular.,
Control 13: Boundary Defense
SEC505 não abrange o projecto de firewall ou IDS, por favor veja Perimeter Protection In-Depth (SEC502) e Intrusion Detection In-Depth (SEC503).
Control 14: Audit Logs
Windows audit policy and logging is configured through security templates and Group Policy, as mentioned above, since each machine has its own event logs. O SEC505 também cobre como permitir o login nos servidores RADIUS que controlam o acesso remoto, como para gateways VPN e pontos de acesso sem fio (no dia 4)., Todos estes dados precisam ser consolidados em um local central, geralmente com um SIEM de terceiros, mas quando o toque humano é necessário para ir além das consultas enlatadas e relatórios de seu SIEM, como esses dados podem ser eficientemente extraídos e analisados? Mais uma vez, scripts PowerShell usando expressões regulares e consultas SQL funcionam muito bem. E a configuração de produtos SIEM de terceiros? Não abrangido pelo SEC505.
controlo 15: acesso controlado baseado na necessidade de saber
é muito bom falar sobre o princípio da necessidade de saber, mas onde é que a borracha encontra a estrada?, Como você realmente implementa este princípio através de Servidores em uma empresa? Este controle seria em grande parte aplicado através de grupos de usuários do Windows, modelos de Segurança, Política de grupo e políticas dinâmicas de controle de acesso. Os testes também podem ser automatizados através de scripts PowerShell que se autenticam na rede como diferentes usuários com diferentes privilégios. Dynamic Access Control (DAC) é algo novo com o Server 2012 especificamente para a prevenção de perda de dados (DLP) e a aplicação de regras de necessidade de saber. Todos estes tópicos são abordados no SEC505.,
Control 16: Account Monitoring and Control
Most recommendations in this control would be implemented through a combination of Active Directory permissions, Group Policy settings, and custom AD queries, such as with PowerShell scripts. E estes tópicos são abordados no SEC505.,
Controle 17: prevenção de perda de dados
SEC505 cobre muitas das recomendações deste controle para DLP, incluindo criptografia de unidade inteira BitLocker, “BitLocker To Go” para usb flash drives, Controle de Política de grupo de uso de dispositivo USB, e algo novo construído no servidor 2012 e mais tarde chamado Controle de acesso dinâmico. Dynamic Access Control (DAC) é especificamente para fazer cumprir as regras do need-to-know e DLP, e já está incorporado no Server 2012. Para procurar informações pessoalmente identificáveis (PII) em sistemas, um script PowerShell personalizado pode ser usado também., A monitorização da rede para detecção de fugas de dados, por outro lado, não é abrangida pelo SEC505 (tente SEC503).
Controle 18: Resposta a Incidentes
SEC505 não cobre de resposta a incidentes de planejamento, este tópico é discutido em outros cursos, tais como Hacker Técnicas, Façanhas e Tratamento de Incidentes (SEC504) e também de Computador Avançados de Análise Forense e Resposta a Incidentes (FOR508).
Control 19: Secure Network Engineering
Firewall design is covered in a different course at SANS, but this control is more broad than just perimeter firewalls., Como discutido acima, temos controle de Política de grupo sobre IPsec e configurações de Firewall do Windows para resposta rápida a ataques. Também cobrimos DNSSEC, DNS sinkholes, DNS secure dynamic updates, eliminando NetBIOS e LLMNR, e DHCP logging é fácil de ativar. Pode-se também usar PowerShell para extrair dados de grandes registros DHCP/DNS. Assim, a maioria das recomendações neste controle são cobertas no SEC505, e depois algumas.,
Control 20: Penetration Tests
SEC505 does not cover penetration test, which is discussed in other courses, such as Network Penetration Testing and Ethical Hacking (SEC560).
governo australiano quatro controles
o governo australiano determinou que quatro dos 20 controles críticos são os mais eficazes em Bloquear intrusões., Todos os quatro são discutidos e demonstrados longamente no SEC505: usamos a Política de grupo e WSUS para gerenciamento de software, AppLocker para whitelisting, e dedicamos quase um dia inteiro a um dos controles mais difíceis de implementar, ou seja, controlar privilégios administrativos.
Automação: Política de grupo + PowerShell
o projeto de 20 controles críticos enfatiza a importância da automação. Automação e escalabilidade são realizadas no SEC505, fornecendo treinamento sobre Política de grupo e PowerShell., Group Policy é um sistema de Gestão Empresarial (EMS) Integrado em Active Directory que pode mais ou menos gerir cada configuração de configuração do Windows e aplicação de utilizador, incluindo o Chrome e o Java. PowerShell não é apenas uma linguagem de scripting, é um framework de gerenciamento remoto que pode escalar para redes muito grandes, como a própria infraestrutura de nuvem da Microsoft. A combinação de Política de grupo mais PowerShell é um multiplicador de força para a automação dos 20 controles críticos., E, quando estes são curtos, SEC505 também inclui recomendações para produtos de terceiros, tais como sensores de vulnerabilidade, sistemas SIEM e bloqueadores de dispositivos USB.
Pergunte ao autor do curso
Se tiver alguma dúvida sobre o curso de segurança das janelas (SEC505) , a descrição completa do curso está online, e sinta-se à vontade para contactar também o autor do curso: Jason Fossen (jason-at – sans.org).