Conception de réseau
La conception de votre réseau est essentielle pour réduire la surface d'attaque, ainsi que le meilleur aperçu de ce qui est normal au sein du réseau.
Le but ici est de répondre à ces principes dans les ressources disponibles.
Exposition limite réseau
Seuls les services nécessaires sur les tons.
Cela signifie que votre site Web d'entreprise publique devraient être accessibles au public, mais que vos comptes ne sont pas censés être accessible au monde.
Cela garantit qu'il ya moins de services qui peuvent être attaqués.
Ségrégation réseau
La division du réseau doit veiller à ce que si un membre est attaqué et parfois copié, Neit peut attaquer toute l'entreprise.
Certains composants sont accessibles à partir de l'Internet, d'autres ne sont pas si bien patchés, ou tout autre accessible aux fournisseurs ... Il est important de réaliser que chaque actif a l'hygiène de base le plus Cybersécurité ou nécessaire à la place.
Conception de réseau
Trois niveaux de réseaux protègent
- Seul le périmètre: la frontière dans et hors de l'écran de votre entreprise
- segmentation interne faible: certains aspects de l'entreprise qui sont souvent division statique des actifs dynamiques, par exemple. CVC, ordinateur portable ou un appareil photo de bureau par rapport à
- Haute segmentation interne: la segmentation des aspects qui ne sont pas besoin fonctionnel ou technique à parler. Et si le besoin de permettre que les connexions nécessaires.
Ce type de classification améliore:
- Identification: plus le mieux identifier les segments qui il appartient
- Protection: en débranchant segments ou au moins réduire votre vecteur d'attaque
- Détection: tentatives anormales ou les communications sont mieux détectables. Différence entre mieux normal et anormal est de distinguer
- Réponse: Merci segments cliver il y a une limitation de l'impact des systèmes compromis
- Recover: il est plus facile de récupérer plus petits segments en ce que le rayon de l'explosion est plus petit
Mesures possibles
Réseau privé virtuel
Champ d'utilisation: périmètre réseau
Un VPN est un objectif de tunnel sécurisé pour créer un réseau non sécurisé.
Des exemples sont:
- Le support à distance pour dispositifs ou machines;
- L'accès à distance pour le personnel des ventes souvent au travail;
- Thuiwerk avec des connexions à la société ...
règles d'or
- Les services doivent être accessibles à distance pour les employés qui ne sont accessibles sur un réseau privé virtuel.
- Si elle comprend à haut risque composés tels la gestion ICT_park, tout le trafic sur le contrôle VPN et ne pas permettre les connexions vont directement à Internet.
- connexions interactives se terminent après un certain temps, par exemple. Jusqu'à un jour ouvrable.
{mlang en}Proxy{mlang}Proxy
Champ d'utilisation: périmètre réseau
Un but proxy pour classer le trafic sortant à l'Internet ou à base de noir et liste blanche comme certains ont le contrôle sur la légitimité des composés.
Des exemples sont:
- Le blocage des sites Web qui ne sont pas autorisés dans la politique;
- La détection de connexions au mauvais site Web connu utilisés par les hacks, qui sont appelés canaux commandement et de contrôle ou C2 utilisés par les pirates pour communiquer avec votre réseau, ou de rendre l'information sur choisir ...
Pare-feu
Champ d'utilisation: périmètre réseau et le réseau interne
Un pare-feu (next-gen) sert à la circulation entre les hôtes Admettre ou non.
Le principe ici doit être cette norme sans connexion peut être possible, sauf si la règle explicitement qui permet la connexion.
Ceci est une mesure très efficace en matière de gestion de la répartition des tâches (séparation des tâches). Si une connexion est refusée, cela est impossible.
La gouvernance ou la gouvernance de ces règles est essentiel. Par conséquent, il est important que lorsqu'une connexion à un segment de réseau ou d'un service est ouvert, que la responsabilité de l'actif d'accès ci-dessus montre la perm.
Règles d'or:
- Chaque règle a un propriétaire
- La dernière ligne bloque ou la suppression de tous les liens
- Besoin de savoir principe: il suffit d'ouvrir ce qui est strictement nécessaire
- L'hygiène de base: si non demandé à des protocoles chiffrés, voir s'il n'y a aucune variante sûre
LAN virtuel
Portée d'utilisation: ségrégation interne{mlang
{mlang nl}VLAN is een industrie standaard ondersteunde maatregel die door de meeste switches ondersteund worden.VLAN est une mesure standard pris en charge qui sont pris en charge par la plupart des commutateurs.
Ils sont des formats assez statiques du réseau appartenant à la forme, pour ainsi dire des parties fonctionnelles. La répartition doit être considérée dans le contexte de l'organisation.
Règles d'or:
- Système de caméra donne un VLAN privé, l'accès de préférence pour la surveillance du NVR sur un VLAN séparé
- Les machines dans un VLAN différent de celui du bureau de poste
- Les postes de travail offrent leur propre VLAN
- Imprimantes, scanners donnent VLAN privé
- Les pièces qui obtiennent une assistance à distance auprès de fournisseurs en tant que fournisseur segmentant
Contrôle d'accès réseau
Portée d'utilisation: réseau interne
NAC ou 802.1X est un moyen pour les appareils de s'authentifier à un commutateur avant de pouvoir communiquer sur le réseau.
Cela empêche les périphériques non authentifiés se joindre au réseau.
Ce CNA peut également être couplé à être arrêté après auithenticatie et l'identification dans un VLAN spécifique.
Si un appareil de NAC ne prend pas en charge ou
- permettre le filtrage MAC
- créer un segment séparé pour les appareils avec des règles strictes de pare-feu
Pot de miel
Champ d'utilisation: périmètre réseau et le réseau interne
Un pot de miel est une sorte de piège ou Tripwire Tripwire benêt. Il est un atout qui est délibérément accessible, mais ne fait pas partie des actifs d'exploitation standard.
Il est un atout qui ne devrait jamais être utilisé, et certainement jamais touché (geconnecteerd d'une manière ou d'une autre) être.
Par exemple, honeypots typiques sont sensibles à:
- HTTP ou HTTPS webconnecties
- scans réseau
- pings
Toute forme de communication avec ces honeypots est considérée comme une atteinte à la sécurité et devrait donc être suivi.
Il est l'un des moyens les plus de opportun coût au pivotement du réseau ou de la randonnée réseau detecteertL Lorsqu'un hôte ou un ordinateur a été piraté, et le pirate veut pénétrer le réseau, regarder autour autour du réseau une technique beaucoup utilisée Ceci est une méthode silencieuse sont, mais de toute façon, si on fait un lien avec le honeypot comment de manière tranquille, cela devrait déclencher une alarme.
Règles d'or:
- La connexion minimale doit déclencher une alarme;
- Dans chaque segment du réseau, placer un pot de miel qui est accessible à partir de tout le segment;
- Les travaux de l'extérieur. Il est plus probable que les dispositifs accessibles par Internet sont piraté.
- Si vous avez des joyaux de la couronne ou des services avec beaucoup de valeur à votre entreprise, plutôt que comme un pot de miel.
Protection du cloud
Cloud Accès Broker Sécurité
BCSA est généralement un service cloud qui assure que:
- Vous contrôlez qui peut se connecter à ce
- Cela garantit ombre IT peut être mieux contrôlée
- avoir un aperçu de qui se connecte à ce
Contenu Réseau Livraison
CDN est un service cloud qui veille à ce que:
- Faire face à la charge de travail lourde
- Services à offrir localement peuvent être disponibles dans le monde entier
- Les aspects de sécurité pour l'enregistrement principalement websdiensten offert