組織把非常細節的資訊紀錄起來以利之後搜尋是非常重要的,尤其是所有技術型操作的紀錄更是安全設計上關鍵的一環,保持資料的一致、標準的規格以及足夠的細節能夠讓資安團隊在遇到事件時快速處理問題,能夠及早偵測出入侵路徑
Log紀錄不只侷限於進出內外網,網路設備如路由器、交換器及防火牆、公司內的骨幹網路等等都需要把操作紀錄起來,其中需要包含購買日期、OS版本以及保固期限等等,管理這類資產除了是為了檢視花了大錢進來的設備保固到何時之外,也能夠讓安全團隊快速參考有問題的網路設備
讀者可以試想如果您是公司內的網管,一大早剛起床就看到公司信箱出現系統跳出SolarWinds攻擊的通知,該如何在組織資產資料庫內快速找有無使用SolarWinds的設備,及其版本是否會受該漏洞影響?甚至您正在外面出差所以得委託部下進機房裡檢查又該如何是好?
資源註冊系統也不失為一個好方法,讓公司可以追蹤派發的設備例如筆電或行動裝置,幫助管理人員在設備遺失、被竊取或保固期間快到期時發出通知,由於現今的科技產品超出一定的製造時間後就不再發修補更新了,所以公司需要過一段時間就汰換掉一批超過保固期的設備,資源註冊系統能夠協助大量採購公司設備時派上用場
另外要介紹的是混亂測試,屬於一種商業持續規劃(Business Continuity Planning, BCP)或者災害復原(Disaster Recovery)的演練,經常透過自動化的方法測試,舉例來說,測試人員會利用內存有效管理員驗證身份資訊的虛擬機在產品的內網搞事情,這算混亂工程(Chaos Engineering)其中一個方法裡,其他還有聘請紅隊人員來攻擊測試看組織可以抗壓到什麼程度、隨機關閉公司機器或者對服務API送一些惡意的指令等等
其目的就是要測試所有凌亂以及不可預測的情境下組織可以將風險控管到何種程度,如果產品系統以及公司可以處理這些混亂,就代表該組織擁有強韌且有彈性的能力可以處理安全威脅
