员工辞职使安全运营陷入困境

两位主要职员的离开使Mathias争先恐后地保持其安全基础架构在线。

我的安全团队的两名成员在本周发出了为期两周的通知。每个人离开的原因都不一样。我们最技术安全的工程师离开了,创立了自己的公司。我们的安全审核员跳船前往大型咨询公司之一。这为他提供了可观的加薪,更多的休假时间以及建立自己的团队的机会。

我们试图让他们两个都失败了。根据我在信息安全业务方面的经验,安全工程师的平均任期似乎约为一年。即使在当今不确定的经济环境下,保持安全专业人员也是一个问题。但是,更直接的问题是,在聘用和培训替代人员之前,如何使事情继续下去?

杂耍帽

由于有两名员工同时离开,我必须对我们管理安全基础结构的方式进行更改。我的角色将扩大,直到我们找到合格的替代者为止。我知道找人大概需要至少一个月的时间。而且,一旦我们找到并雇用了合格的候选人,将需要另外一个月的时间来培训他们并使其快速发展。然后,至少必须两个月,我必须对工人正在管理的基础结构和程序负责,或者尝试委派他们。

该部门的核心部署包括入侵检测系统,两因素身份验证系统和防火墙管理。此外,我们仍然需要进行体系结构审查,审核,安全的服务器基准构建,策略创建和审查,以及许多困扰部门的其他一次性问题。

为了处理增加的工作量,我需要将日常活动的某些方面转移到公司的其他领域。本周,我重点介绍了入侵检测系统的部署和SecurID身份验证基础结构。安全部门负责与总部位于俄勒冈州波特兰的Tripwire Inc.的Tripwire生成的警报相关的事件响应。我们还负责与SecurID基础结构有关的日常管理活动。

我们在DMZ和公司网络中的50多个Unix服务器上运行Tripwire。当前,它们已配置为通过电子邮件将警报发送到安全部门和Unix管理员为订户的别名帐户。我还配置了Tripwire,以10分钟的间隔对五个特别重要的文件进行检查。例如,/ etc / passwd和/ etc / shadow文件包含有关帐户和密码的信息。如果有人要添加帐户,则密码和影子文件将更改,Tripwire会针对该更改发出警报。如果Tripwire在我发现的所有关键文件中检测到更改,它将向我的手机发送警报。

我没有收到大量的警报流量,但是为了专注于安全基础结构的其他方面,我需要将事件响应卸载到组织的另一个受信任区域。

因此,我会见了公司网络运营中心(NOC)的经理,并解释了这种情况。我们同意让NOC分析师通过接收和响应Tripwire警报来提供帮助。我还将配置Tripwire,以将“简单网络管理协议”陷阱警报发送到我们的中央企业管理应用程序。

我们正在使用总部位于旧金山的Micromuse Inc.的Netcool来监视基础结构的状态。我正在编写一个升级指南,并将为NOC团队提供简短的PowerPoint幻灯片演示文稿,以帮助他们了解Tripwire是什么以及如何响应警报。 Netcool将立即提供警报通知,相应的电子邮件将提供警报的详细信息(哪些文件,何时以及如何更改)。挑战将是培训分析人员确定警报是否合法。

NOC经理还同意帮助我处理有关SecurID令牌基础结构的一些管理问题。我们使用马萨诸塞州贝德福德的RSA Security Inc.的ACE服务器来满足我们的两因素身份验证需求。 90%的支持问题涉及将令牌留在家里的用户,忘记与令牌相关的密码或需要发行新令牌的令牌故障的用户。

RSA的ACE实施包括一些基于Web的工具来解决这些问题。其中一种工具称为Quick Admin,可为管理员提供一组预定义的令牌管理操作。该工具安装在Web服务器上,管理员可以通过受SecurID令牌保护的网页访问它。作为安全经理,我控制谁可以访问此Web工具。管理员只能执行某些功能,但我保留对SecurID基础结构的完全控制。

我再次创建了一个管理指南,为NOC分析师提供了PowerPoint幻灯片演示文稿,并对他们进行了如何处理主要SecurID问题的培训。

下一步

我的下一个任务是确定如何处理我们的入侵检测基础结构。就目前而言,鉴于我公司的网络,系统架构和配置,我将重新调整网络传感器以过滤掉许多误报,并专注于一组我认为很重要的签名。一旦我们再次配备了完整的人员,我将考虑放宽过滤器,因为即使误报流量也可能对数据关联有用。

我目前没有时间或资源来分析和关联流量。希望这些行动能给我一些时间,直到我可以聘请新的员工为止。

本周的日志由真正的安全经理“ Mathias Thurman”撰写,其名字和雇主因明显原因被掩盖。请与他联系 [email protected],或加入我们论坛中的讨论。
快速链接: a1590
要查找我们的安全经理日记的完整档案,请在线访问:
计算机世界.com/smj

有关:

版权© 2002 IDG通讯,Inc.

  
在亚马逊上购买技术产品