Центр интернет-безопасности (CIS) является некоммерческой организацией, которая разрабатывает собственные контрольные показатели и рекомендации, которые позволяют организациям совершенствовать свои программы обеспечения безопасности и соответствия требованиям. Эта инициатива направлена ??на создание базовых уровней конфигурации безопасности систем, которые обычно встречаются во всех организациях.
Для загрузки доступны несолько десятков гайдлайнов по безопасной настройке различных систем: Windows, Linux, OSX, MySQL, Cisco и многих других: learn.cisecurity.org/benchmarks
В этой статье я рассмотрю «Critical Security Controls Version 6.1» — чеклист проверки безопасности систем.
Критические элементы управления безопасностью
Инвентаризация авторизированных и неавторизованных устройств
Разверните системы автоматического обнаружения устройств и используйте их для создания предварительной инвентаризации систем, подключенных к общедоступным и частной сетям организации. Следует использовать как активные инструменты, которые сканируют диапазоны сетевых адресов IPv4 или IPv6, так и пассивные инструменты, которые идентифицируют хосты на основе анализа их трафика. Используйте сочетание активных и пассивных инструментов и применяйте их в рамках программы непрерывного мониторинга.
Если организация динамически назначает адреса с использованием DHCP, используйте эту информацию для улучшения инвентаризации устройств и обнаружении неизвестных систем.
Убедитесь, что все приобретенное оборудование будет добавлено в инвентаризационные списки.
Ведение списков инвентаризации всех систем, подключенных к сети и самих сетевых устройств, запись по меньшей мере сетевых адресов, имен машин, назначения каждой системы, владельца, ответственного за каждое устройство, и отдела, связанного с каждым устройством.
Инвентаризация должна включать в себя каждую систему с IP-адресом в сети, включая, но не ограничиваясь, АРМ, ноутбуками, серверами, сетевым оборудованием (маршрутизаторы, коммутаторы, брандмауэры и т. д.), принтерами, сетевыми накопителями, IP-телефонами и т. д.
Развертывание проверки уровня сети 802.1x для ограничения и управления подключением устройств к сети. Устройства, использующие 802.1x должны быть привязаны к данным инвентаризации для определения авторизированных или неавторизованных систем.
Используйте сертификаты для проверки подлинности систем перед подключением к частной сети.
Инвентаризация авторизированного и неавторизованного программного обеспечения
Создайте список авторизованного программного обеспечения и версии, которые требуются на предприятии для каждого типа системы, включая серверы, рабочие станции и ноутбуки различного назначения и использования. Этот список должен контролироваться средствами проверки целостности файлов, чтобы подтвердить, что авторизованное программное обеспечение не было изменено. Целостность файла проверяется как часть программы непрерывного мониторинга.
Используйте технологию «белого списка» приложений, которая позволяет системам запускать программное обеспечение только в том случае, если оно включено в белый список и предотвращает выполнение всего другого программного обеспечения в системе. Белый список может быть очень обширным, чтобы пользователи не испытывали неудобств при использовании общего программного обеспечения. Или, для некоторых специальных систем (которые требуют лишь небольшого количества программ для достижения необходимой функциональности бизнеса), белый список может быть довольно узким.
Система инвентаризации программного обеспечения должна отслеживать версию базовой операционной системы, а также приложений, установленных на ней. Системы инвентаризации программного обеспечения должны быть привязаны к инвентаризации оборудования, поэтому все устройства и связанное с ними программное обеспечение отслеживаются из единого источника.
Безопасные конфигурации для аппаратного и программного обеспечения
Установите стандартные безопасные конфигурации ваших операционных систем и программных приложений. (скачать их можно по ссылке в начале статьи).
Отслеживайте конфигурации, создавая безопасные образы установки, которые используются для создания всех новых систем, развернутых на предприятии. Регулярные обновления или исключения для этого образа должны быть интегрированы в процессы управления изменениями организации. Образы должны быть созданы для рабочих станций, серверов и других систем, используемых организацией.
Храните мастер-образы на безопасно настроенных серверах, проверенных с помощью инструментов проверки целостности. В качестве альтернативы, эти образы могут быть сохранены на автономных машинах.
Целостность файлов образов проверяется как часть программы непрерывного мониторинга.
Выполнять все удаленное администрирование серверов, рабочих станций, сетевых устройств и аналогичного оборудования по защищенным каналам. Протоколы, такие как telnet, VNC, RDP или другие, которые не поддерживают шифрование, должны использоваться только в том случае, если они выполняются по вторичному каналу шифрования, например SSL, TLS или IPSEC.
Используйте инструменты проверки целостности файлов, чтобы гарантировать, что критические системные файлы (в том числе чувствительные системные и прикладные исполняемые файлы, библиотеки и конфигурации) не были изменены. Проверки целостности должны идентифицировать подозрительные системные изменения, такие как: права владельца и разрешения на изменения файлов или каталогов; использование альтернативных потоков данных, которые могут быть использованы для скрытия вредоносных действий; и введение дополнительных файлов в ключевые системные области (что может указывать на вредоносную полезную нагрузку, оставленную злоумышленниками или дополнительными файлами, неумышленно добавленными в процессе пакетного распространения).Файловая целостность важных системных файлов проверяется как часть программы непрерывного мониторинга.
Запускайте автоматические инструменты выявления уязвимостей для всех систем в сети на еженедельной или более частой основе и отправляйте приоритетные списки наиболее критических уязвимостей каждому ответственному лицу.
Подпишитесь на рассылки по информации об уязвимостях (security-list, bugtraq), чтобы быть в курсе возникающих рисков и оперативно регагировать. Кроме того, убедитесь, что используемые вами инструменты выявления уязвимостей регулярно обновляются.
Разверните автоматизированные инструменты патч-менеджмента для обновления программного обеспечения для операционной системы и программного обеспечения / приложений на всех системах. Патчи должны применяться ко всем системам, даже автономным.
Использование административных привилегий
Минимизируйте административные привилегии, используйте административные учетные записи, только когда они необходимы. Внедрите целенаправленный аудит по использованию административных привилегированных аккаунтов и контролируйте аномальное поведение.
Используйте автоматические инструменты для инвентаризации всех административных учетных записей и подтвердите, что каждый сотрудник с правами администратора полномочно наделен этими правами в рамках своей деятельности.
Перед развертыванием любых новых устройств в сетевой среде измените все пароли по умолчанию для приложений, операционных систем, маршрутизаторов, брандмауэров, точек беспроводного доступа и других систем.
Настройте системы журналирования и предупреждения, в случае когда учетная запись добавлена ??или удалена из группы администраторов домена или когда в систему добавлена ??новая учетная запись локального администратора.
Настройте системы журналирования и предупреждения о любом неуспешном входе в административную учетную запись.
Используйте многофакторную аутентификацию для всего административного доступа, включая доступ к администратору домена. Многофакторная аутентификация может включать в себя множество методов, включая использование смарт-карт, сертификатов, токенов, биометрических данных или других подобных методов аутентификации.
Администраторы должны использовать выделенный компьютер для всех административных задач или задач, требующих повышенного доступа. Эта машина должна быть изолирована от основной сети организации и не иметь доступа к Интернету. Эта машина не должна использоваться для чтения электронной почты, составления документов или серфинга в Интернете.
Обслуживание, мониторинг и анализ журналов аудита
Включите как минимум два синхронизированных источника времени, из которых все серверы и сетевое оборудование регулярно должны получать информацию о времени, для того чтобы метки времени в журналах были согласованы.
Подтвердите параметры журнала аудита для каждого аппаратного устройства и установленного на нем программного обеспечения, чтобы журналы включали дату, временную метку, исходные адреса, адреса назначения и любую другую системную информацию. Системы должны записывать журналы в стандартизованном формате, таком как записи системного журнала или те, которые описаны в инициативе Common Expression (на сайте CIS). Если системы не могут генерировать журналы в стандартизованном формате, необходимо использовать инструменты нормализации и преобразования журналов в такой формат.
Убедитесь, что все системы, в которых хранятся журналы, имеют достаточное место для хранения журналов. Журналы должны архивироваться и подписываться цифровой подписью на периодической основе.
Настройте сетевые пограничные устройства, в том числе брандмауэры, сетевые IPS, входящие и исходящие прокси, чтобы достаточно подробно зарегистрировать весь трафик (как разрешенный, так и заблокированный).
Разверните SIEM (Security Information and Event Management) и для агрегации и консолидации журналов с нескольких компьютеров и для корреляции и анализа журналов. Используя инструмент SIEM, системные администраторы и сотрудники службы безопасности должны разрабатывать профили общих событий из заданных систем, для настройки обнаружения аномалий.
Защита электронной почты и веб-браузера
Убедитесь, что в организации разрешено использовать только полностью поддерживаемые веб-браузеры и почтовые клиенты, в идеале — только самую последнюю версию браузеров,, чтобы использовать последние функции безопасности и исправления.
Удалите или отключите любые ненужные или несанкционированные браузеры или почтовые клиентские плагины/приложения.
Ограничьте использование ненужных языков сценариев во всех веб-браузерах и почтовых клиентах. Это включает использование таких языков, как ActiveX и JavaScript, в системах, где нет необходимости поддерживать такие возможности.
Организация должна поддерживать и применять сетевые фильтры URL-адресов, которые ограничивают способность системы подключаться к веб-сайтам, не утвержденным организацией. Организация должна подписаться на службы категоризации (блэк-листинг) URL-адресов, чтобы обеспечить их актуальность с использованием последних определений категорий веб-сайтов. Некатегоризированные сайты блокируются по умолчанию. Эта фильтрация должна применяться для каждой из систем организации.
Чтобы снизить вероятность подмену сообщений электронной почты, внедрите SPF.
Включите фильтрацию содержимого электронной почты и фильтрацию веб-контента. Y
Защита от вредоносных программ
Используйте автоматизированные инструменты для постоянного мониторинга рабочих станций, серверов и мобильных устройств с помощью антивирусных программ, брандмауэров и IPS. Все события обнаружения вредоносных программ должны быть отправлены на серверные средства администрирования антивирусной защиты и серверы журналов событий.
Используйте программное обеспечение для защиты от вредоносных программ, которое предлагает централизованную инфраструктуру, которая собирает информацию о репутации файлов. После применения обновления автоматизированные системы должны проверить, что каждая система получила обновление.
Настройте ноутбуки, рабочие станции и серверы, чтобы они не могли автоматически запускать контент со съемных носителей, таких как USB-флешки, жесткие диски USB, CD / DVD-диски, устройства FireWire и смонтированные сетевые ресурсы. Настройте системы так, чтобы они автоматически проводили сканирование съемных носителей.
Используйте сетевые средства защиты от вредоносных программ, чтобы идентифицировать исполняемые файлы во всем сетевом трафике и использовать методы, отличные от обнаружения на основе сигнатур, для выявления и отфильтровывания вредоносного контента до того, как он достигнет конечной точки — применяйте превентивные меры защиты.
Ограничение и контроль сетевых портов
Убедитесь, что в каждой системе работают только порты, протоколы и службы с необходимыми бизнес-потребностями.
Выполняйте автоматическое сканирование портов на регулярной основе по всем ключевым серверам. Если обнаружено изменение, которое не указано в утвержденной профиле сервера организации, необходимо создать предупреждение проверить порт.
Разместите брандмауэры приложений перед любыми критическими серверами для проверки трафика, идущего на сервер. Любые несанкционированные попытки доступа или трафик должны быть заблокированы и и предупреждение.
Возможность восстановления данных
Убедитесь, что для каждой системы автоматически создается регламентная резервная копия, а для систем, хранящих конфиденциальную информацию это делается еще чаще.
Чтобы обеспечить возможность быстрого восстановления системы из резервной копии, операционная система, прикладное программное обеспечение и данные на АРМ должны быть включены в общую процедуру резервного копирования. Эти три компонента системы не обязательно должны быть включены в один и тот же файл резервной копии или использовать одно и то же программное обеспечение для резервного копирования. С течением времени должно быть несколько резервных копий, так что в случае заражения вредоносными программами восстановление может осуществляться из версии, которая предшествует первоначальной инфекции. Все политики резервного копирования должны соответствовать нормативным или официальным требованиям.
Убедитесь, что резервные копии надежно защищены с помощью физической безопасности или шифрования при их сохранении, а также при перемещении по сети. Сюда входят удаленные резервные копии и облачные сервисы.
Защищенные конфигурации для сетевых устройств
Сравните конфигурацию брандмауэра, маршрутизатора или коммутатора со стандартными безопасными конфигурациями, определенными для каждого типа сетевого устройства, используемого в организации. Конфигурация безопасности таких устройств должна быть документирована, проверена и одобрена службой ИТ/ИБ. Любые отклонения от стандартной конфигурации или обновления стандартной конфигурации должны быть задокументированы и одобрены в системе управления изменениями.
Все новые правила конфигурации, помимо базовой настройки, которые позволяют трафику проходить через устройства сетевой безопасности, такие как брандмауэры и сетевые IPS, должны быть задокументированы и записаны в системе управления конфигурацией с конкретной бизнес-причиной для каждого изменения и лицом, ответственным за бизнес-потребность.
Используйте автоматические инструменты для проверки стандартных конфигураций устройств и обнаружения изменений. Все изменения в таких файлах должны регистрироваться и автоматически сообщаться сотрудникам службы безопасности.
Установите последнюю стабильную версию любых связанных с безопасностью обновлений на всех сетевых устройствах.
Сетевые инженеры должны использовать выделенный компьютер для всех административных задач или задач, требующих повышенного доступа. Эта машина должна быть изолирована от основной сети организации и не иметь доступа к Интернету. Эта машина не должна использоваться для чтения электронной почты, составления документов или серфинга в Интернете.
Разверните сетевые агенты IDS в DMZ-системах и сетях, которые выявят аномалии и обнаружат компрометацию этих систем. Они могут обнаруживать атаки посредством использования сигнатур, анализа поведения или других механизмов для анализа трафика.
Защита данных
Выполните оценку данных для идентификации конфиденциальной информации, требующей применения средств шифрования и целостности.
Разверните утвержденное программное обеспечение для шифрования жесткого диска для устройств и систем, содержащих конфиденциальные данные.
Используйте сетевые решения DLP для мониторинга и управления потоком данных в пределах сети. Любые аномалии, которые превышают обычные модели трафика следует отметить и принять соответствующие меры по их устранению.
Завершение
Приведенный выше материал может быть адаптирован в той или иной степени для использования в вашей организации. В следующей статье этого цикла я дпополню этот список — системами контроля, проведения тестирования на проникновение, анализа беспроводных сетей, системы обработки инцидентов.