Şifreler için en iyi uygulamalar, MFA ve Access Control


CJIS Specops

Kuruluşunuzun hassas kolluk verilerini ele almak için bir sözleşme kazandığını düşünün-bir bulut sağlayıcısı, bir yazılım satıcısı veya bir analiz firması olabilirsiniz. CJI’lerin aklın en üstünde olması çok uzun sürmeyecek.

FBI’ın Ceza Adaleti Bilgi Hizmetleri Güvenlik Politikası’nın cezai geçmişlerin, parmak izlerinin ve soruşturma dosyalarının nasıl korunması gerektiğini yönettiğini biliyorsunuz, ancak bunun ötesinde, hepsi biraz opak hissediyor.

İster kıdemli bir güvenlik profesyoneli olun ister ceza hakimi verileri dünyasında yeni olun, CJIS uyumluluğunu anlamak çok önemlidir. CJI’lerin kökenini ve amacını keşfederek başlayacağız: neden var ve neden suç adalet bilgisinin yakınında herhangi bir yere gelen her kuruluş için önemlidir.

Ardından, kimlik sütunlarına (şifreler, çok faktörlü kimlik doğrulama ve katı erişim kontrolleri) ve bu kontrollerin ortamınıza sorunsuz bir şekilde nasıl gömüleceğine özel dikkat göstereceğiz.

CJI’ler nedir?

CJIS, FBI’ın çeşitli eyalet ve yerel cezai veritabanlarını ülke çapında tek bir sisteme dönüştürdüğü 1990’ların sonlarına kadar köklerini izler. Bugün, federal, eyalet, yerel ve kabile ajanslarında biyometrik verileri, cezai tarihleri ​​ve taktik zekayı paylaşmak için sinir merkezi olarak hizmet vermektedir.

Özünde, CJIS güvenlik politikası, bu verilere (hükümet veya özel yüklenici) dokunan her partinin tek tip bir güvenlik standardına bağlı olmasını sağlamak için mevcuttur. “CJIS” düşündüğünüzde, “kırılmaz velayet zinciri” düşünün, veriler bir devriye otomobilinin mobil terminalini adli bir laboratuvarda arşivlenene kadar bırakın.

Kimin uyması gerekiyor?

FBI’ın politikası olduğu için CJIS’in sadece polis departmanlarını endişelendirdiğini varsayabilirsiniz. Gerçekte, ağ çok daha geniş:

  • Kolluk Ajansları (SLTF): Ceza adalet bilgisini depolayan veya sorgulayan her eyalet, yerel, kabile ve federal ajans.
  • Üçüncü taraf satıcılar ve entegratörler: Yazılımınız CJIS verilerini (kayıt yönetimi sistemleri, arka plan kontrol hizmetleri, bulut barındırma sağlayıcıları) yutuyorsa, işlemleri veya depolarsa, politikanın şemsiyesi altına girersiniz.
  • Çok yargılama görev güçleri: Farklı ajanslara erişimi paylaşan geçici koalisyonlar bile işbirlikleri süresine uymalıdır.

Alt satır: Sistemleriniz parmak izleri, rap sayfaları veya gönderme günlükleri görürse, CJIS uygulanır.

Verizon’un Veri İhlali Araştırma Raporu, çalınan kimlik bilgilerinin ihlallerin% 44.7’sinde yer aldığını buldu.

Active Directory’yi uyumlu şifre politikaları ile zahmetsizce güvence altına alıyor, 4+ milyar uzlaştırılmış şifreleri engelliyor, güvenliği artırıyor ve destek sorunlarını kesiyor!

Ücretsiz dene

Temel Gereksinimler

CJIS birçok alana (fiziksel güvenlik, personel arka plan kontrolleri, olay yanıtı) dokunur, ancak atan kalbi kimlik ve erişim yönetimidir. FBI ortamınızı denetlediğinde, üç şey bilmek istiyorlar: kime erişti? Kim olduklarını nasıl kanıtladılar? Ve görmelerine izin verildi mi? Hikaye geçelim:

  • Benzersiz kimlikler ve tartışılmaz hesap verebilirlik: Her bireyin kendi kullanıcı kimliğine sahip olması gerekir. Jenerik veya paylaşılan hesaplar yasaktır. Bu, belirli insanlara geri dönüş eylemlerini izlemeye yardımcı olur.
  • Güçlü Şifreler: CJIS, büyük harf, küçük harf, sayılar ve sembolleri harmanlayan en az 12 karakterlik şifreler gerektirir. Bununla birlikte, Specops’ta daha ileri gitmenizi ve 16+ karakter parolalarını zorlamanızı öneririz. CJI’ler ayrıca tarihi uygulamanızı (son 24 şifreyi yeniden kullanma) ve beşten fazla başarısız denemeden sonra hesapları kilitlemenizi gerektirir.
  • Başka bir savunma katmanı olarak MFA: Sadece bir şifre artık yeterli değil. CJIS, herhangi bir konaklama olmayan erişim için iki faktör gerektirir: bildiğiniz bir şey (şifreniz) artı sahip olduğunuz bir şey (bir donanım jetonu, telefon kimlik doğrulayıcısı vb.). Bu faktörleri ayırarak, tehlikeye atılan kimlik bilgileri riskini önemli ölçüde azaltırsınız.
  • En az ayrıcalık ve üç aylık yeniden sertifikalar: Yalnızca her kullanıcının işini yapması gereken izinleri verin ve artık yok. Ardından, her 90 günde bir, sistem sahiplerinizi bir araya getirin ve hala hangi erişime ihtiyaç duyanları inceleyin. Kullanıcılar rolleri değiştirir, projeler biter ve aktif olmayan hesaplar risk biriktirir.
  • Denetim parkurları ve değişmez günlükler: Her kimlik doğrulama olayı, ayrıcalık değişikliği ve veri sorgusu kaydedilemez. CJIS, en az 90 günlük yerinde günlük tutma tutma ve bir yıl saha dışında zorunludur. Bu şekilde, bir olayı yeniden yapılandırmanız veya bir denetçinin sorusunu cevaplamanız gerekiyorsa, günlükleriniz tüm hikayeyi boşluklar olmadan anlatır.
  • Şifreleme ve ağ segmentasyonu: Veriler FIPS-Valided Kriptografi Pelerin altında seyahat etmeli ve dinlenmelidir: Uçuş içi veriler için TLS 1.2+, depolama için AES-256. Şifrelemenin ötesinde, CJIS ortamınızı kurumsal ağınızın geri kalanından ayırın. Güvenlik duvarları, VLAN’lar veya hava kaplı enklavlar, en hassas sistemlerinizi günlük operasyonlardan yalıtır.

Uyumsuzluğun sonuçları

Şunu hayal edin: İhlal edilen bir kimlik bilgileri seti, bir CJIS veritabanını internete açık bırakır. Bir hacker bundan yararlanır, yani parmak izleri ve binlerce kişinin suç geçmişi bir gecede tehlikeye atılır.

Serpinti hızlı:

  • CJIS Access Askıya Alındı: FBI, soruşturmaları durdurarak ajansınızın bağlantısını çekebilir.
  • Düzenleyici İnceleme ve Fines: Eyalet ve federal organlar ceza verebilir ve medeni davalar takip edebilir.
  • İtibar Hasarı: Bir ihlal haberi, şirketinizin yeteneklerine kamu güvenini aşındırır.

Üçüncü taraf araçlarıyla CJI’leri doğru bir şekilde alın

Uyum sadece kutuları işaretlemekle ilgili değildir. Güvenliği süreçlerinize derinlemesine gömmekle ilgilidir, böylece denetim zamanında kanıtlayabilir ve her gün saldırıları savunabilirsiniz.

Specops, CJIS yolculuğunuzu nasıl basitleştirebilir:

  • SpecOps Parola Politikası Güçlü bir şifre politikasını uygulamayı kolaylaştırır. CJIS onaylı karmaşıklık, rotasyon ve geçmiş kurallarını doğrudan Active Directory’ye yerleştirir. Active Directory’niz ayrıca 4 milyar uzlaştırılmış şifreden oluşan bir veritabanına karşı sürekli olarak taranacak ve son kullanıcıları ihlal edilmiş şifrelerle hemen değişmesi için bilgilendirecektir.
  • Specops Güvenli Erişim MFA oyununuzu sosyal mühendislik ve kimlik avı için daha az dirençli kimlik doğrulama faktörleriyle yükseltir.
  • Specops ureset Kullanıcılara reklam hesaplarının kilidini güvenli bir şekilde açmak için bir self servis portalı (MFA tarafından korunur) verir. Her sıfırlama günlüğe kaydedilir, zaman damgalı ve raporlanabilir, denetim-tray kutusunu bir yardım-desk bileti dağı olmadan işaretler.

Bu çözümler ortak bir temayı paylaşıyor: Mevcut Active Directory mülkünüzle dolandırıyorlar, idari ek yükü en aza indiriyorlar ve CJIS uyumlu kontrollerin net ve denetlenebilir kanıtlarını veriyorlar.

SpecOps ürünlerinin kuruluşunuza uyabileceğini bilmek ister misiniz? İletişim kurun, bir demo düzenleyelim.

Sponspored ve SpecOps Software tarafından yazılmıştır.



Source link