banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Checklist audit về security  XML
  [Question]   Checklist audit về security 17/04/2014 14:51:41 (+0700) | #1 | 280353
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]
Hi all,

Hệ thống bên mình ở mức nhỏ, mình muốn audit một số vấn đề về security cho hệ thống như chưa biết bắt đầu như thế nào, Mục tiêu là cần một list những thứ cần làm và tiêu chuẩn để đánh giá process đó pass hay fail. Không biết trên HVA có ai có kinh nghiệm hoặc tài liệu về vấn đề này có teher chia sẻ giúp mình với.

Hệ thống bên mình chủ yếu là web app, tất cả đều là Linux. Mình có xem qua checklist để audit security của https://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents nhưng chỉ nói về Web App, mình cần ở mức thấp hơn bao gồm Hardward, OS, base-service (ssh, telnet, vpn...)

Cám ơn mọi người nhiều
Jazz
[Up] [Print Copy]
  [Question]   Checklist audit về security 17/04/2014 16:03:19 (+0700) | #2 | 280355
[Avatar]
echtroi
Member

[Minus]    0    [Plus]
Joined: 09/04/2014 21:27:20
Messages: 7
Offline
[Profile] [PM] [Email]
following
[Up] [Print Copy]
  [Question]   Checklist audit về security 20/04/2014 00:47:55 (+0700) | #3 | 280389
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
Việc áp dụng checklist sẵn có cho hệ thống là tương đối nguy hiểm, vì bạn khó mà trả lời được câu hỏi: checklist này có bao gồm các điều kiện cần và đủ cho an ninh của hệ thống hay không? Thay vì đó, bạn nên bắt đầu từ việc xác định các yêu cầu về mặt chức năng của hệ thống. Sau đó xác định các nhân tố có thể là nguy cơ tiềm ẩn cho các chức năng đó, ví dụ insider, DDoS, hardware failure, v.v… Dựa vào đó đưa ra các yêu cầu về security cho hệ thống, ví dụ authentication, secure channel, confidentiality, integrity, physical.

Sau khi xác định các yêu cầu về security thì mới tiến hành xây dựng checklist cho mỗi yêu cầu. Lúc này nếu bạn không có kiến thức kĩ thuật về một yêu cầu nào đó thì mới nên tìm checklist cho nó. Nên nhớ: các bước ở trên càng được tiến hành chi tiết, thì việc xây dựng checklist càng nhanh chóng và chính xác.

Mind your thought.
[Up] [Print Copy]
  [Question]   Checklist audit về security 20/04/2014 07:54:02 (+0700) | #4 | 280390
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Bạn có thể dựa vào một số chuẩn bảo mật, ví dụ như mình biết thì mấy phần cơ bản của PCI DSS là khá ổn.
Còn lại dựa vào các guide hoặc recommend có nhiều trên internet, làm đúng và tuân thủ đúng sẽ đủ tốt cho hệ thông. Mình có thể đưa ra ví dụ:
- hệ thống có chính sách mật khẩu không? Có sử dụng user, mật khẩu mặc định như nhà sản xuất đặt không? Quyền cấp cho user hoặc apps có quá thừa so với cần thiết không? Có dùng chung user có quyền quản trị, root, super giữa người này người kia không?
- firewall có được thiết lập đúng các service, pỏt và address cung cấp ko? Có rule nào dạng any ip to any port ko?
- remote admin có giới hạn không? Có đăng nhập trực tiếp hay được giới hạn? Có root login trực tiếp?
- các OS có thực hiện theo một mẫu security hảdenning cụ thể ko?
- các db, web app có được hardenning ko? Có bật hoặc cài thừa các phần mềm không cần thiết đối với máy hoặc dịch vụ chỉ ra không?
- thông tin nhạy cảm có được mã hoá khi truyền hay lưu không? Ví dụ password là thông tin nhạy cảm.
- quá trình hoạt động dịch vụ và OS có được ghi log sao cho không xoá được không? Có được đồng bộ thời gian theo một mốc chuẩn không? Ghi log không xoá được có thể là tập trung log tại một server riêng chỉ làm việc lưu log, các server khác gửi về đây, ko gửi lệnh xoá được.
- appp viết có trả qua quá trình review code không? Có security test qua theo một tiêu chuẩn ví dụ owasp không?
- các dịch vụ và app có được thực hiện pen test định kỳ hoặc trước khi release không?
- tất cả software, firrmware có được security update, patch theo khuyến cáo nhà sản xuẩt phần mềm và không cũ quá 7 ngày khi patch release không?
- phần cứng có được đảm bảo an toàn vật lý, có khoá hoặc phòng giới hạn người vào không?
- có ai chuyên trách ngồi đọc log phán tích bất thường ko? Có đội phản ứng nhanh security ko?

Nếu một trong những cái trên trả lời không tức không thoả mãn. Check list này làm lặp đi lặp lại định kỳ hoặc khi có thành tố mới, được update. Bạn áp dụng owasp là đúng và nó áp dụng cho web apps ở khâu pen test, security code review và test.
[Up] [Print Copy]
  [Question]   Checklist audit về security 20/04/2014 09:39:30 (+0700) | #5 | 280392
[Avatar]
_1412
Member

[Minus]    0    [Plus]
Joined: 02/11/2013 03:46:30
Messages: 6
Location: HCMC, Viet Nam
Offline
[Profile] [PM]
Bạn có thể tham khảo checklist của https://benchmarks.cisecurity.org/ hoặc http://iase.disa.mil/stigs/. OWASP chỉ là Web Application thôi mà, trong tên của nó cũng nói rõ như vậy.
Thầy ơi, nếu vào Niết bàn mà phải đạp lên một chiếc lá, Phật có làm không? Xin thầy cho con hay, trời đất nặng hơn hay chiếc lá nặng hơn?
[Up] [Print Copy]
  [Question]   Checklist audit về security 20/04/2014 22:52:56 (+0700) | #6 | 280396
[Avatar]
Phó Hồng Tuyết
Member

[Minus]    0    [Plus]
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
[Profile] [PM] [WWW] [Yahoo!]
nếu ở hcm, inbox tôi cafe 1 ngày cuối tuần. tôi chỉ cho. Kinh nghiệm chưa có nhiều lắm nhưng tạm thấy có thể chia sẻ được.

Bạn nên chuẩn bị sẵn dùm mình một số câu hỏi liên quan như sau.

1. Mục đích chính của audit là gì ?
2. Phạm vi như thế nào ?
3. Hiện tại bạn có bao nhiêu quy trình.
4. Quản lý tập trung hay phân tán.
5. Đã áp dụng những standard nào.


Tạm thời vài câu hỏi nhỏ đó đã.

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|