電子メールシステムを監査する方法
会社のメールシステム(Exchange 2010)の監査プロセスに取り組んでいます。このプロセスから、それを他のシステムに拡張して、蔓延しているセキュリティ問題(私の職場では何年もセキュリティを無視していて、それに追いついています)を整理したいと考えています。私たちが経験している問題のいくつかは、ベースラインの欠如、特権のクリープ、不十分な/存在しない設定、不必要なポート、プロトコル、サービス、適時のパッチの欠如です...それは続いています。
とにかく、私たちは主に技術的な側面に関心があります。以下は私がすでにカバーしたものです:
- インストールされているソフトウェアを必要に応じて確認し、必要に応じて契約サポートを提供し、EOL /古い/パッチが適用されていないソフトウェア。
- OSおよびその他のインストール済みソフトウェアのCIS、DISA、およびMicrosoft SCMベースライン監査(ここでの作業の一部は、使用する業界のベストプラクティスの階層を確立することです)
- PPS各マシンについてPPS「理にかなっている」かどうかを確認しました(1台のマシンがたまたますべてのQuake Arenaポートにファイアウォールルールを持っている)。
- 私はユーザー(社内、社外、サードパーティベンダー、請負業者など)の幅を決定している最中です。
- 電子メールの保持/バックアップ/保存やアカウント管理などの関連ポリシー(スポイラー:スリムからなし)。
私はNIST 800-53と800-137、評価と監視のドキュメントをレビューしていますが、最近、有望に見えるNIST 800-45が見つかりました。
最終的な目標は、リスク値をシステムと脆弱性に割り当て、そのプロセスを使用して他のシステムに分岐することです。私のアプローチに大きな穴はありますか?
この電子メールシステムに関するセキュリティ管理の監査を開始し、セキュリティを強化する変更を推奨する前に、一歩下がって、リスク評価を通じてリスクを評価すると役立ちます。あなたを導くのに役立ついくつかの質問:
このメールシステムに保存されているデータの「ビジネス上の価値」とは何ですか。
許容データ損失(RPO)と最大許容ダウンタイム(RTO)を考慮に入れる
このメールシステム内に保存されているデータのセキュリティ分類/ラベル付けとは何ですか?機密/機密と見なされますか?
アプリケーションデータの機密性が高いほど、アプリケーションを取り巻くコントロールが厳しくなります。全体としてリスクを構成する脅威と関連する脆弱性を考慮することは重要ですが、この例では、リスクを軽減するセキュリティコントロールに焦点を当てることをお勧めします機密性およびIntegrity。
電子メールには、今後のビジネスプランや予測などの機密データや顧客/従業員の個人情報が含まれる可能性があるため、機密性を最優先する必要があります。無許可の当事者へのこのデータの開示は、競争上の優位性の喪失、法的罰金などにつながる可能性があります。
情報が信頼されるためには、情報が送信されたときから受信されたときまで情報が変更されていないことを確認する必要があるため、整合性は重要です。電子メールの機密分類によっては、電子メールにデジタル署名して、電子メールの送信者を追跡し、メッセージの改ざんを検出することもできます。
このメールシステムへの脅威が認識された場合はどうなりますか? -影響
利用可能なデータがある場合は、数値的損失の観点からリスク評価を定量化できます。そのようなデータが利用できない場合、機密データの損失が評判の損傷、法的罰金などにつながる可能性があるなどの潜在的な不利な結果を定性的に述べることができます。
あなたがリストした特定の一連の手順に関して、それらは良いスタートですが、私はそのリストに以下を追加します:
フィッシング/スピアフィッシング/捕鯨などの電子メールを悪用することが多い特定の攻撃ベクトルに対する保護手段を確認する
DLPソリューションなどのデータ漏えいに対する電子メールおよび(存在する場合は)適切な保護に関する使用ポリシーを確認します。
メールは、リストにあるフィッシングの亜種など、データの侵害につながる可能性のある攻撃を拡散させる主要な方法の1つです。
ポイント2に関しては、データの引き出しは重大なリスクです組織に深刻な影響を与える可能性があります。たとえば、機密性の高い通信を含む企業の電子メールは、不注意な従業員が個人の電子メールアカウントに転送したり、USBスティックにコピーして会社のIT部門が電子メールの使用方法や配布方法をすべて制御できなくなったりして会社の外に持ち出すことができます。 。