Checklist audit về security - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Checklist audit về security

[Question] Checklist audit về security	17/04/2014 14:51:41 (+0700) \| #1 \| 280353

quangteospk
Member

Joined: 20/10/2009 04:05:30
Messages: 123
Offline

Hi all,

Hệ thống bên mình ở mức nhỏ, mình muốn audit một số vấn đề về security cho hệ thống như chưa biết bắt đầu như thế nào, Mục tiêu là cần một list những thứ cần làm và tiêu chuẩn để đánh giá process đó pass hay fail. Không biết trên HVA có ai có kinh nghiệm hoặc tài liệu về vấn đề này có teher chia sẻ giúp mình với.

Hệ thống bên mình chủ yếu là web app, tất cả đều là Linux. Mình có xem qua checklist để audit security của https://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents nhưng chỉ nói về Web App, mình cần ở mức thấp hơn bao gồm Hardward, OS, base-service (ssh, telnet, vpn...)

Cám ơn mọi người nhiều

Jazz

[Question] Checklist audit về security	17/04/2014 16:03:19 (+0700) \| #2 \| 280355

echtroi
Member

Joined: 09/04/2014 21:27:20
Messages: 7
Offline

following

[Question] Checklist audit về security	20/04/2014 00:47:55 (+0700) \| #3 \| 280389

StarGhost
Elite Member

Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline

Việc áp dụng checklist sẵn có cho hệ thống là tương đối nguy hiểm, vì bạn khó mà trả lời được câu hỏi: checklist này có bao gồm các điều kiện cần và đủ cho an ninh của hệ thống hay không? Thay vì đó, bạn nên bắt đầu từ việc xác định các yêu cầu về mặt chức năng của hệ thống. Sau đó xác định các nhân tố có thể là nguy cơ tiềm ẩn cho các chức năng đó, ví dụ insider, DDoS, hardware failure, v.v… Dựa vào đó đưa ra các yêu cầu về security cho hệ thống, ví dụ authentication, secure channel, confidentiality, integrity, physical.

Sau khi xác định các yêu cầu về security thì mới tiến hành xây dựng checklist cho mỗi yêu cầu. Lúc này nếu bạn không có kiến thức kĩ thuật về một yêu cầu nào đó thì mới nên tìm checklist cho nó. Nên nhớ: các bước ở trên càng được tiến hành chi tiết, thì việc xây dựng checklist càng nhanh chóng và chính xác.

Mind your thought.

[Question] Checklist audit về security	20/04/2014 07:54:02 (+0700) \| #4 \| 280390

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

Bạn có thể dựa vào một số chuẩn bảo mật, ví dụ như mình biết thì mấy phần cơ bản của PCI DSS là khá ổn.
Còn lại dựa vào các guide hoặc recommend có nhiều trên internet, làm đúng và tuân thủ đúng sẽ đủ tốt cho hệ thông. Mình có thể đưa ra ví dụ:
- hệ thống có chính sách mật khẩu không? Có sử dụng user, mật khẩu mặc định như nhà sản xuất đặt không? Quyền cấp cho user hoặc apps có quá thừa so với cần thiết không? Có dùng chung user có quyền quản trị, root, super giữa người này người kia không?
- firewall có được thiết lập đúng các service, pỏt và address cung cấp ko? Có rule nào dạng any ip to any port ko?
- remote admin có giới hạn không? Có đăng nhập trực tiếp hay được giới hạn? Có root login trực tiếp?
- các OS có thực hiện theo một mẫu security hảdenning cụ thể ko?
- các db, web app có được hardenning ko? Có bật hoặc cài thừa các phần mềm không cần thiết đối với máy hoặc dịch vụ chỉ ra không?
- thông tin nhạy cảm có được mã hoá khi truyền hay lưu không? Ví dụ password là thông tin nhạy cảm.
- quá trình hoạt động dịch vụ và OS có được ghi log sao cho không xoá được không? Có được đồng bộ thời gian theo một mốc chuẩn không? Ghi log không xoá được có thể là tập trung log tại một server riêng chỉ làm việc lưu log, các server khác gửi về đây, ko gửi lệnh xoá được.
- appp viết có trả qua quá trình review code không? Có security test qua theo một tiêu chuẩn ví dụ owasp không?
- các dịch vụ và app có được thực hiện pen test định kỳ hoặc trước khi release không?
- tất cả software, firrmware có được security update, patch theo khuyến cáo nhà sản xuẩt phần mềm và không cũ quá 7 ngày khi patch release không?
- phần cứng có được đảm bảo an toàn vật lý, có khoá hoặc phòng giới hạn người vào không?
- có ai chuyên trách ngồi đọc log phán tích bất thường ko? Có đội phản ứng nhanh security ko?

Nếu một trong những cái trên trả lời không tức không thoả mãn. Check list này làm lặp đi lặp lại định kỳ hoặc khi có thành tố mới, được update. Bạn áp dụng owasp là đúng và nó áp dụng cho web apps ở khâu pen test, security code review và test.

[Question] Checklist audit về security	20/04/2014 09:39:30 (+0700) \| #5 \| 280392

_1412
Member

Joined: 02/11/2013 03:46:30
Messages: 6
Location: HCMC, Viet Nam
Offline

Bạn có thể tham khảo checklist của https://benchmarks.cisecurity.org/ hoặc http://iase.disa.mil/stigs/. OWASP chỉ là Web Application thôi mà, trong tên của nó cũng nói rõ như vậy.

Thầy ơi, nếu vào Niết bàn mà phải đạp lên một chiếc lá, Phật có làm không? Xin thầy cho con hay, trời đất nặng hơn hay chiếc lá nặng hơn?

[Question] Checklist audit về security	20/04/2014 22:52:56 (+0700) \| #6 \| 280396

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

nếu ở hcm, inbox tôi cafe 1 ngày cuối tuần. tôi chỉ cho. Kinh nghiệm chưa có nhiều lắm nhưng tạm thấy có thể chia sẻ được.

Bạn nên chuẩn bị sẵn dùm mình một số câu hỏi liên quan như sau.

1. Mục đích chính của audit là gì ?
2. Phạm vi như thế nào ?
3. Hiện tại bạn có bao nhiêu quy trình.
4. Quản lý tập trung hay phân tán.
5. Đã áp dụng những standard nào.

Tạm thời vài câu hỏi nhỏ đó đã.

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

Go to:

Users currently in here
5 Anonymous