Использование стандартных безопасных системных образов для ноутбуков, рабочих станций и серверов
При поставке оборудования от производителей и поставщиков настройки по умолчанию для устройств, операционных систем и приложений, как правило, ориентированы на легкость внедрения, но не на безопасность. Конечно, возможно и обратное, когда в процессе внедрения системы приходится разрешать некоторые функции в ущерб безопасности. Тем не менее здесь необходим осознанный, квалифицированный подход, так как основные элементы управления, открытые службы и порты, аккаунты и пароли по умолчанию, устаревшие (уязвимые) протоколы, предустановленное ненужное ПО – все это потенциально может быть использовано для несанкционированного проникновения.nnВместо того, чтобы с нуля разрабатывать базовые настройки безопасности для каждой программно-аппаратной системы, предприятие должно использовать публично распространяемые, проверенные, сопровождаемые настройки безопасности, а также руководства по обеспечению безопасности и/или чек-листы. Примечание. Необходимую информацию содержат следующие порталы:n
- The NIST National Checklist Program;
- Информационный портал по безопасности;
- Информационно-аналитический портал;
- Инвентаризация ПО Microsoft SAM.
Далее предприятию необходимо расширять или корректировать публичные исходные настройки безопасности для удовлетворения местных политик и требований, а также обосновывать и документировать принимаемые отклонения, чтобы облегчить последующие осмотры или служебные проверки.nnДля большого комплексного предприятия создание единой базовой конфигурации безопасности (например, один установочный образ для всех рабочих станций по всему предприятию) иногда неприемлемо или невозможно. Вполне вероятно, что необходимо поддерживать различные стандартные образы на основе соответствующих конфигураций систем и необходимых функций для первоначального старта (например, рабочая станция бухгалтера с приложением 1С или станция разработчика ПО и тому подобные). Число вариаций лучше свести к минимуму, чтобы ясно понимать и управлять свойствами безопасности. Однако необходимо быть готовым управлять несколькими базовыми линейками образов.nnПО управления настройками можно использовать для сопоставления параметров ОС, как и для сопоставления параметров приложений, контролируемых машин при поиске отклонений от стандартной конфигурации образа.nnТипичные инструменты отслеживания настроек используют некоторый комплекс: проверка через агента, установленного на каждой управляемой системе, или проверка систем без участия агентов с удаленным входом на каждую управляемую машину. Кроме того, иногда используется гибридный подход, в процессе которого инициируется удаленный сеанс и временный или динамический агент устанавливается на целевой системе для сканирования, а затем агент удаляется.nnСтарайтесь аккуратно и строго управлять конфигурациями. Создайте исходный безопасный образ и используйте его для создания всех новых систем, которые появляются в ИТ-среде предприятия. Всякую востребованную систему, которая «сломана», можно повторно восстановить с помощью такого образа. Периодические обновления и/или исключения из этого образа важно интегрировать в процессы управления изменениями на предприятии. Образы необходимо создать для базовых вариантов рабочих станций, серверов и, возможно, для некоторых виртуальных машин предприятия.nnТиповые образы компонуются как сконфигурированные версии базовой операционной системы и приложений. Конфигурирование обычно включает в себя блокирование или удаление избыточных учетных записей, удаление или отключение ненужных служб, установку необходимых обновлений, закрытие сетевых портов, использование систем обнаружения вторжений и т.д. Типовые образы должны пересматриваться и обновляться на регулярной основе, чтобы поддержать необходимый уровень безопасности в противодействии «свежим» уязвимостям и модифицированным хакерским атакам.nnХранить мастер-образы рекомендуем на надежно защищенных серверах, оснащенных инструментами проверки целостности файлов, руководствуясь принципом постоянного контроля и управления изменениями, чтобы гарантировать возможность только авторизованных изменений. В качестве альтернативы мастер-образы могут быть сохранены на автономных машинах, отключенных от производственной сети. Иногда образы могут быть скопированы на безопасные, надежные носители для их перемещения между серверами и станциями производственной сети.n
Ежедневная периодичность проверки обновлений для системного ПО
Как определить, какие из обновлений для каких систем наиболее важны и критичны? В этом вопросе необходим процесс оценки риска. Риск уязвимости определяется на основе потенциального ущерба и вероятности использования уязвимости. Разумно сегментировать риски по соответствующим группам активов (например, «внешние» серверы, серверы во внутренней сети, рабочие станции, ноутбуки). Для систем с критическими уязвимостями и для важных информационных активов обновления необходимо применять в первую очередь. Можно использовать поэтапное развертывание обновлений, чтобы минимизировать воздействие на инфраструктуру предприятия. На основе уровня рисков желательно определить временной интервал или предполагаемые допустимые сроки для установки обновлений.nnРазумно применять автоматизированные средства управления исправлениями и механизмы обновления ПО для операционных и прикладных программ на всех устройствах, для которых такие механизмы доступны и приемлемы. Обновления должны применяться ко всем системам, даже к автономным, изолированным от сети.nnСледует измерить период времени между поставками обновлений для новых уязвимостей и убедиться, что интервал времени равен или меньше, чем контрольные показатели, установленные на предприятии (допустимое время между очередными обновлениями). Предусмотрите альтернативные контрмеры, если обновления не поступят в срок.n
Еженедельная периодичность проверки обновлений для прикладного ПО
Постарайтесь внедрить автоматизацию обновлений и программных модулей для приложений аналогично, как для операционных систем. Если устаревшие прикладные системы более не могут быть исправлены, «обновляйтесь» до последней версии программного обеспечения прикладной системы. По возможности освобождайте системы от старого и неиспользуемого ПО.nnПрименяя автоматизированные обновления для прикладного ПО, будьте предельно осторожны! Установите применяемые модификации и корректировки сначала в тестовой среде, прежде чем внедрять их в производственные корпоративные системы. Если «свежие» обновления нарушают работу критически важных бизнес-приложений на тестовых машинах, то специалисты предприятия вынуждены будут выработать другой подход. Например, «смягчить» условия эксплуатации тех систем, где обновление не может быть установлено из-за его влияния на бизнес-функциональность системы.n
Ограничение числа пользователей с администраторскими правами
Настоятельно рекомендуем строго ограничить число пользователей, которые обладают правами доступа, большими, чем необходимо для работы, и/или, которые наделены служебными полномочиями изменять конфигурацию базовой операционной системы. Это поможет предотвратить установку несанкционированного ПО и другие злоупотребления правами администратора.nnВнимательно следите за логами, связанными с любой активностью назначения прав доступа и соответствующими логами учетных записей администраторов, чтобы гарантировать, что все действия и соответствующие им права привилегированных учетных записей ограничены во времени рамками легитимного периода.n
Постоянная оценка уязвимости и защищенности
Понимание и управление уязвимостями давно стало постоянной деятельностью, требующей значительных затрат времени, внимания и ресурсов, соответственно, специалисты безопасности должны отслеживать постоянный поток новой информации: обновления ПО, советы по безопасности, бюллетени по угрозам и т.д.nnВозьмите за правило запускать автоматизированные средства обнаружения «слабых мест» в обороне по всем системам в сети на еженедельной или более частой основе. При этом полезно составлять общий список наиболее критических уязвимостей для каждого ответственного администратора системы наряду с ранжированной оценкой риска. Сравнение эффективности действий системных администраторов и подразделений в снижении риска может привести к возрождению «социалистического соревнования».nnСканирование компьютерных систем выполняйте с применением специального аккаунта, который не должен использоваться для любых других административных мероприятий и должен быть привязан к конкретной машине с определенным IP-адресом. Важно, чтобы только авторизованные сотрудники имели доступ к управляющему интерфейсу сканирования и что роль сканера доступна только уполномоченным пользователям.nnНарушители, хакеры и злоумышленники имеют доступ к той же информации и используют промежутки времени между появлением новых «прорех» и защитными обновлениями. Очевидно, что если исследователи сообщают о новых найденных недостатках в системе или ПО, то начинается «активное» движение. Задействованы три стороны: нападающие («вооружение», реализация атаки, проникновение), специалисты безопасности (оценка риска, регрессионное тестирование обновлений, установка) и поставщики (разработка, внедрение изменений, подписей или обновлений).nnДля оценки безопасности настроек систем доступны разнообразные сканеры уязвимостей. Некоторые предприятия пользуются коммерческими услугами с помощью дистанционно управляемых онлайн-сканеров для поддержания эффективности защиты. Чтобы классифицировать обнаруженные недостатки компьютерных систем, предпочтительно использовать средства обнаружения «слабых мест», согласно некоторому набору открытых стандартов, которые перечисляют программные недостатки, проблемы конфигураций, а также измеряют недостатки безопасности, сопоставляя уязвимости и их источники по категориям.nnПримечание. В этом вопросе помощь может оказать целый ряд признанных в отраслевой индустрии схем классификаций выявленных проблем для платформ и устройств (CVE, CCE, OVAL, CPE, CVSS, XCCDF, CWE).nnПодпишитесь на рассылки по безопасности, чтобы оставаться в курсе новостей о найденных проблемах и недостатках, а также, чтобы использовать получаемые новости для обновления механизмов защиты, хотя бы ежемесячно. Для наличия гарантий убедитесь, что инструменты сканирования «слабых мест», которые вы используете в системах безопасности, регулярно обновляются в соответствии с важными публикациями. Это необходимо, так как специалисты безопасности всегда сталкиваются с особыми трудностями при расширении масштабов поражения по всему предприятию. Возникает конфликт очередности действий, а иногда и «неописуемые» побочные эффекты.nnПредприятие, которое не сканирует наличие бреши в безопасности систем и превентивно не устраняет выявленные недостатки, сталкивается с большой вероятностью того, что его компьютерные системы уже скомпрометированы. Применение этих семи ключевых аксиом позволит предприятию превентивно уменьшить риски возникновения разрушительных инцидентов и предотвратить серьезные нарушения информационной безопасности.nnИсточник: Системный администратор №7-8 2016