Семь ключевых основ контроля безопасности. Продолжение
Как оценить уровень безопасности предприятия? Зачем нужна еженедельная проверка обновлений? Что такое настройки безопасности и как управлять конфигурациями? Ответы на эти и другие вопросы в продолжении статьи, опубликованной в журнале IT Manager № 8.
Типовые безопасные системные образы для ноутбуков, рабочих станций и серверов
При поставке оборудования настройки, выполненные по умолчанию для устройств, операционных систем и приложений, как правило, ориентированы на легкость внедрения, но не на безопасность. Основные элементы управления, открытые службы и порты, аккаунты и пароли по умолчанию, устаревшие (уязвимые) протоколы, предустановленное ненужное ПО — все это потенциально может быть использовано для несанкционированного проникновения.
Вместо того чтобы с нуля разрабатывать базовые настройки безопасности для каждой программно-аппаратной системы, предприятие должно использовать публично распространяемые, проверенные, сопровождаемые настройки безопасности, а также руководства по обеспечению безопасности и/или чек-листы. Такую информацию содержат следующие порталы:
- The NIST National Checklist Program; [1]
- Информационный портал по безопасности; [2]
- Информационно-аналитический портал; [3]
- Инвентаризация ПО Microsoft SAM. [4]
Далее предприятию необходимо расширять или корректировать публичные исходные настройки безопасности для удовлетворения локальных политик и требований, а также обосновывать и документировать принимаемые отклонения, чтобы облегчить последующие осмотры или внутренние служебные проверки.
Для крупного комплексного предприятия создание единой базовой конфигурации безопасности (например, один установочный образ для всех рабочих станций всей компании) иногда неприемлемо или невозможно. Вполне вероятно, что понадобится поддерживать различные стандартные типовые образы, устранив соответствующие уязвимости и добавив необходимые функции для первоначального старта (например, веб-сервер в DMZ, сервер с электронной почтой или сервер приложений во внутренней сети). Число вариаций лучше свести к минимуму, чтобы ясно понимать и управлять свойствами безопасности. Однако нужно быть готовым и к управлению несколькими базовыми линейками образов.
Инструментальное ПО управления настройками можно использовать для сопоставления параметров контролируемых машин при поиске отклонений от стандартной конфигурации образа. Типичные инструменты отслеживания настроек имеют определенный комплекс: проверку через агента, установленного на каждой управляемой системе или безагентскую проверку систем с дистанционным входом на каждую управляемую машину под учетными данными администратора. Кроме того, иногда применяется и гибридный подход, в процессе которого инициируется удаленный сеанс и временный или динамический агент устанавливается на целевой системе для сканирования, затем агент удаляется.
Старайтесь аккуратно и строго управлять конфигурациями. Сформируйте исходный безопасный образ и используйте его для создания всех новых систем, появляющихся в ИТ-среде предприятия. Любую востребованную систему, если она «сломана», удается восстановить с помощью безопасного образа, периодические обновления и/или исключения из которого важно интегрировать в процессы управления изменениями на предприятии. Причем образы должны быть предусмотреены для всех рабочих станций, серверов и других компьютеров организации.
Типовые стабильные образы компонуются как сконфигурированные версии базовой операционной системы и ряда приложений, установленных на системе. Конфигурирование обычно включает блокирование или удаление избыточных учетных записей, удаление или отключение ненужных служб, установку необходимых обновлений, закрытие открытых и неиспользуемых сетевых портов, удаление неисполняемых скриптов, а также включение файрволов и систем обнаружения вторжений. Типовые образы должны пересматриваться и обновляться регулярно, чтобы поддержать соответствующий уровень безопасности в противодействии «свежим» уязвимостям и модифицированным хакерским атакам.
Хранить мастер-образы рекомендуем на надежно защищенных серверах, оснащенных инструментами проверки целостности файлов, руководствуясь принципом постоянного контроля и управления изменениями, чтобы гарантировать возможность только авторизованных изменений. В качестве альтернативы мастер-образы могут быть сохранены на автономных, отключенных от производственной сети машинах или скопированы на безопасные, надежные носители для их перемещения между серверами и станциями сети предприятия.
Ежедневная проверка обновлений для системного ПО
Как определить, какие из обновлений для каких систем наиболее важны и критичны? В этом вопросе нужен процесс оценки риска. Риск уязвимости определяется на основе потенциального ущерба и вероятности использования уязвимости. Разумно сегментировать риски по соответствующим группам активов (например, DMZ-серверы, серверы внутренней сети, рабочие станции, ноутбуки). Для высокорисковых уязвимостей и важных активов обновления необходимо применять в первую очередь. Можно прибегнуть к поэтапному развертыванию обновлений, чтобы минимизировать воздействие на инфраструктуру предприятия. На основе уровня рисков желательно определить временной интервал или предполагаемые допустимые сроки для установки обновлений.
Рекомендуем установить автоматизированные средства управления исправлениями и механизмы обновления ПО для операционных и прикладных программ на всех устройствах, для которых такие механизмы доступны и приемлемы. Обновления должны применяться ко всем системам, даже к автономным, изолированным от сети.
Следует измерить период времени между поставками обновлений для новых уязвимостей и убедиться, что интервал времени равен или меньше, чем контрольные показатели, принятые на предприятии (допустимое время между очередными обновлениями). Предусмотрите альтернативные контрмеры, если обновления не поступят в срок.
Еженедельная проверка обновлений для прикладного ПО
Внедряйте автоматизацию обновлений и программных модулей для приложений, как для операционных систем. Если устаревшие прикладные системы более не могут быть исправлены, «обновляйтесь» до последней версии программного обеспечения прикладной системы. Освобождайте системы от устаревшего, старого и неиспользуемого ПО.
Применяя вышеизложенные приемы, будьте предельно осторожны! Установите необходимые обновления в тестовой среде, прежде чем внедрять их в производственные корпоративные системы. Если свежие обновления нарушают работу критически важных бизнес-приложений на тестовых машинах, то специалисты предприятия вынуждены будут выработать другой подход. Например, «смягчить» условия эксплуатации тех систем, где обновление нельзя установлено из-за его влияния на бизнес-функциональность системы.
Ограничение числа пользователей с административными правами
Настоятельно советуем строго ограничить число пользователей, которые обладают знаниями, необходимыми для администрирования ОС, и наделены служебными полномочиями изменять конфигурацию базовой операционной системы. Это поможет предотвратить установку несанкционированного ПО и другие злоупотребления правами администратора.
Внимательно следите за логами, связанными с любой сканирующей активностью, и соответствующими логами учетных записей администраторов. Это гарантирует, что все сканирования и соответствующий им доступ привилегированных учетных записей ограничен во времени легитимными рамками.
Возьмите за правило запускать автоматизированные средства обнаружения уязвимостей по всем системам в сети еженедельно или чаще. При этом полезно составлять ранжированные списки наиболее критических уязвимостей для каждого ответственного администратора системы наряду с оценкой риска. Сравнение эффективности действий системных администраторов и подразделений в снижении риска может привести к возрождению «социалистического соревнования». Используйте проверенные сканеры уязвимостей для их поиска на основе кода и базовых конфигураций.
Выполняйте сканирование в аутентифицированном режиме с локальными агентами, работающими на каждой конечной системе, чтобы провести анализ конфигурации безопасности, с удаленными сканерами с правами администратора на тестируемой системе. При сканировании уязвимостей необходим специальный аккаунт, который не должен использоваться для других административных мероприятий и должен быть привязан к конкретной машине с определенным IP-адресом. Важно, чтобы только авторизованные сотрудники имели доступ к управляющему интерфейсу сканирования уязвимостей, а роль сканера была предусмотрена только для уполномоченных пользователей.
Постоянная оценка уязвимости и угроз
Понимание и управление уязвимостями давно стало деятельностью, требующей значительных затрат времени, внимания и ресурсов. Поэтому специалисты безопасности должны отслеживать непрерывный поток новой информации: обновления ПО, советы по безопасности, бюллетени по угрозам и т. д.
Нарушители, хакеры и злоумышленники имеют доступ к той же информации и используют промежутки времени между появлением новых «прорех» и защитными обновлениями. Очевидно, что если исследователи сообщают о новых уязвимостях, то начинается активное движение трех сторон: нападающих хакеров, специалистов безопасности и вендоров.
Для оценки безопасности настроек систем доступны разнообразные модификации инструментов сканирования уязвимостей. Некоторые предприятия пользуются коммерческими услугами с помощью дистанционно управляемых сканирующих инструментов для поддержания эффективности защиты. Предприятия, которые не сканируют наличие уязвимостей и превентивно не устраняют выявленные недостатки, подвергаются угрозе того, что их компьютерные системы уже скомпрометированы. В то же время специалисты безопасности сталкиваются с особыми трудностями при расширении масштабов поражения по всему предприятию. Возникает конфликт очередности действий, а иногда и «неописуемые» побочные эффекты.
Для того чтобы оставаться в курсе новостей о найденных уязвимостях и использовать новости для обновления механизмов защиты, имеет смысл подписаться на ежемесячные рассылки по безопасности. Для гарантии убедитесь, что инструменты сканирования уязвимостей, которые вы используете в системах безопасности, регулярно обновляются в соответствии с важными публикациями.
Применение всех этих ключевых аксиом позволит предприятию превентивно уменьшить риски возникновения разрушительных инцидентов и предотвратить серьезные нарушения информационной безопасности.
Источники:
1. The NIST National Checklist Program. http://checklists.nist.gov
2. Информационный портал по безопасности. http://www.securitylab.ru
3. Информационно-аналитический портал. http://iso27000.ru
4. Инвентаризация ПО. https://www.microsoft.com/ru-ru/sam/inventory.aspx
Опубликовано 27.10.2016