보안 + 인증 : 방어력 강화 - 더미

강화 (Hardening) 는 침입자에 대한 취약성을 줄이기 위해 컴퓨터 또는 네트워크 장치를 변경하는 프로세스를 의미합니다. 이것은 조직이 사용하는 컴퓨터와 네트워크가 중단없이 계속 작동 할 것으로 예상되기 때문에 중요합니다. 비즈니스 정보에 포함되거나 처리 된 비즈니스 정보는 무결성을 유지해야합니다.

Security + 인증의 주제와 밀접한 관련이없는 여러 가지 이유로 인해 시스템은 완전히 강화 된 상태로 제조 업체에서 제공되지 않습니다. 시스템을 사용하여 해당 환경에 적합한 모든 보안 강화 절차를 수행하는 것은 조직에 달려 있습니다.

시스템의 적절한 강화는 5 가지 원칙으로 귀결됩니다.

보안 패치 및 수정 사항 유지. 거의 모든 하드웨어 및 소프트웨어 공급 업체가 수시로 보안 패치를 발표합니다. 보안 사고를 방지하려면 가능한 빨리 제품을 사용하는 모든 조직에서 보안 패치를 설치해야합니다.
불필요한 구성 요소를 비활성화하거나 제거하십시오. 시스템의 소프트웨어 구성 요소가 사용되지 않으면 아마도 필요하지 않습니다. 시스템의 모든 불필요한 구성 요소는 사용하지 못하도록 설정하거나 더 나은 방법으로 모두 제거해야합니다. 소프트웨어 구성 요소가 시스템에서 제거되면 해당 구성 요소에서 발견 된 모든 취약점으로 인해 시스템에 위험이 발생할 수 없습니다. 결함이있는 구성 요소가 실행 중이 아니거나 존재하지 않으면 시스템에 침입하는 데 사용할 수 없습니다.

기본 액세스 구성을 비활성화합니다. 시스템 및 네트워크 장치에는 변경되지 않은 경우 침입자가 쉽게 액세스 할 수있는 기본 계정 및 / 또는 암호가있을 수 있습니다. 게스트 계정을 비활성화하거나 제거해야합니다. 기본 암호를 변경해야합니다. 암호가없는 계정은 비활성화하거나 암호를 지정해야합니다.
액세스 제어를 강화하십시오. 너무 자주 프로그램이나 파일과 같은 리소스에 대한 액세스 권한이 너무 느립니다. 새로운 서비스를 시작하려는 노력의 일환으로 시스템 관리자는 액세스 제어를 "열린 상태"로 자주 변경 한 다음 프로젝트를 완료하기 위해 서둘러 액세스를 강화하는 것을 게을리하지 않습니다. 나중에 정보를 도용하거나 손상시킬 수있는 침입자가 "활짝 열려있는"액세스를 악용 할 수 있습니다.

감사 기록을 켭니다. 많은 운영 체제 및 응용 프로그램에는 이벤트 / 액세스 / 감사 로깅 기능이 포함되어 있지만 자주 로깅이 해제되거나 비활성화되어 함께 제공됩니다.이벤트 로깅을 사용하면 침입자가 수행 한 일부 단계를 다시 추적 할 수 있습니다. 이러한 보편적 인 원칙은 컴퓨터 및 네트워크 장치에 관한 거의 모든 상황에 적용됩니다. 시스템 및 네트워크 엔지니어가 부지런하고 이러한 원칙을 따르는 경우 잠재적 인 보안 사고의 대부분이 방지됩니다.

보안 결함 및 패치

컴퓨터 및 네트워크 장치는 핵심적으로 작동을 제어하는 하나 이상의 소프트웨어 프로그램을 가지고 있습니다. 불완전한 사람에 의해 작성되고 설치되고 관리되는 경우가 있으며 때로는 컴퓨터와 네트워크 장치에 예기치 않은 동작이 허용되는 결함이 있습니다. 때때로이 예기치 않은 동작으로 인해 누군가 시스템을 제어하거나 변경할 수 있습니다. 이것은 일반적으로

보안 결함으로 알려져 있습니다. 소프트웨어의 다른 오작동으로 인해 시스템이 예상대로 작동하지 않습니다. 그들은 보안 결점의 형태를 취하지는 못하지만 그럼에도 불구하고 자극적 일 수 있습니다.

시스템을 만들고 지원하는 회사는 소프트웨어 업데이트를 만드는 일을하는 사람들이 있습니다. 업데이트 생성 이유에 따라 여러 가지 양식이 필요할 수 있습니다:

Service Release.

버전 업그레이드 또는 서비스 팩이라고도하는 서비스 릴리스에는 일반적으로 많은 수정 사항이 포함되며 기능 향상 또는 업그레이드까지 포함됩니다. 서비스 릴리스는 일반적으로 1 년에 3-4 회 생산됩니다. 패치.
핫픽스라고도하는 패치는 특정 문제를 해결하기 위해 고안되었습니다. 패치의 변경 내용은 일반적으로 서비스 릴리스에 포함되지만 일반적으로 긴급 성이 높아 패치가 작성됩니다. 일반적으로 공급 업체는 고객이 문제를 해결하기 위해 다음 서비스 릴리스를 기다리지 않고 즉시 설치해야한다고 생각하기 때문에 패치를 만듭니다. 불필요한 서비스 비활성화

사용하지 않지만 실행중인 응용 프로그램 또는 서비스는 시스템의 위험을 증가시킬 수 있습니다. 예를 들어 FTP 서비스를 예로 들어 보겠습니다. FTP는 올바르게 구성 될 때 안정적이고 적절한 보안입니다. 예를 들어, FTP에서 심각한 결함이 발견되었다고 가정합니다. 암호 필드에 특정 패턴을 입력하면 시스템을 제어 할 수 있습니다. 이것은 시스템의 무결성을 위태롭게합니다. 그러나 FTP가 주어진 시스템에서 사용되지 않으면, 비활성화되거나 제거되어야합니다. 이렇게하면 FTP가 시스템에서 실행되고 있지 않으면 시스템을 손상시킬 수 없으므로 FTP 결함으로 인한 위협이 제거됩니다.

기본 액세스 비활성화

초기 구성이나 사용을 용이하게하기 위해 많은 시스템이 게스트 계정과 하나 이상의 관리 계정에 대한 기본 비밀번호로 고객에게 배송됩니다. 이러한 계정이 변경되거나 비활성화되지 않으면 공장 기본 암호 또는 기타 액세스 방법을 알고있는 침입자가 시스템을 제어 할 수 있습니다.

다음 중 일부 또는 전부를 수행해야합니다.

게스트 계정을 비활성화하거나 제거하십시오.

계정의 기본 비밀번호를 변경하십시오.

모든 계정에 암호가 있는지 확인하십시오.
계정 및 암호는 시스템의 첫 번째 방어선이므로 침입자가 시스템을 손상시키기 쉽도록
너무

하지 않는 것이 중요합니다. 액세스 제어 강화 컴퓨터 및 네트워크와 관련된 모든 것에 대한 액세스는 비즈니스에 정당한 이유가있는 개인에게만 제한되어야합니다. 다음 포인터를 고려하십시오.

"넓은 열림"(모든 사람과 모든 사람에게 액세스 허용)으로 액세스 권한을 변경하려는 유혹에 저항하십시오.

"명시 적으로 허용되지 않는 한 거부"의 원칙을 채택한다. 즉, 자원에 대한 기본 액세스 권한은 "거부"되어야합니다. "그런 다음 필요에 따라 특정 그룹이나 개인에 대한 액세스를 명시 적으로 허용하십시오. 이 기능은 관리자가 100 % 근면하고 모든 신규 사용자를 모든 관리 리소스의 "거부 된"목록에 항상 추가하지 않는 한, 새로운 사용자가 폐쇄 된 리소스에 액세스 할 수있게하는 "명시 적으로 거부되지 않는 한 허용"보다 효과적입니다.

"사용자는 자신의 직업을 수행하는 데 필요한 최소한의 권한 만 갖습니다. "이것은"최소한의 특권 "의 원칙으로 알려져 있습니다. "
감사 로깅 켜기
감사 로깅은 대부분의 (모든 경우는 아닐지라도) 사용자 및 관리 트랜잭션이 독립적으로 기록되는 대부분의 OS, 데이터베이스 및 대형 응용 프로그램에있는 기능입니다. 이것은 일상적인 이벤트 나 비정상적인 이벤트를 결합하는 데 사용할 수있는 감사 추적을 제공합니다.