Картинка

БЛОГ про

все цікаве у світі телекомунікацій

CIS Benchmarks: кращі практики, гайдлайни і рекомендації з інформаційної безпеки

2017-10-31
Автор: Телесфера

CIS Benchmarks

Центр інтернет-безпеки (CIS) є некомерційною організацією, яка розробляє власні контрольні показники і рекомендації, які дозволяють організаціям удосконалювати свої програми забезпечення безпеки та відповідності вимогам. Ця ініціатива спрямована на створення базових рівнів конфігурації безпеки систем, які зазвичай зустрічаються у всіх організаціях.

Для завантаження доступні кілька десятків гайдлайнів з безпечного налаштування різних систем: Windows, Linux, OSX, MySQL, Cisco і багатьох інших: learn.cisecurity.org/benchmarks

У цій статті розглянемо «Critical Security Controls Version 6.1» - чеклист перевірки безпеки систем.

Критичні елементи управління безпекою

Інвентаризація авторизованих і неавторизованих пристроїв

Розгорніть системи автоматичного виявлення пристроїв і використовуйте їх для створення попередньої інвентаризації систем, підключених до загальнодоступних і приватної мереж організації. Слід використовувати як активні інструменти, які сканують діапазони мережевих адрес IPv4 або IPv6, так і пасивні інструменти, які ідентифікують хости на основі аналізу їх трафіку. Використовуйте поєднання активних і пасивних інструментів і застосовуйте їх в рамках програми безперервного моніторингу.

Якщо організація динамічно призначає адреси з використанням DHCP, використовуйте цю інформацію для поліпшення інвентаризації пристроїв і виявлення невідомих систем.

Переконайтеся, що все придбане обладнання буде додано до інвентаризаційних списків.

Ведення списків інвентаризації всіх систем, підключених до мережі і самих мережевих пристроїв, запис щонайменше мережевих адрес, імен машин, призначення кожної системи, власника, відповідального за кожен пристрій, і відділу, пов'язаного з кожним пристроєм.
Інвентаризація повинна включати в себе кожну систему з IP-адресою в мережі, включаючи, але не обмежуючись, АРМ, ноутбуками, серверами, мережевим обладнанням (маршрутизатори, комутатори, брандмауєри і т. д.), принтерами, мережевими накопичувачами, IP-телефонами і т. д.

Розгортання перевірки рівня мережі 802.1x для обмеження і управління підключенням пристроїв до мережі. Пристрої, що використовують 802.1x повинні бути прив'язані до даних інвентаризації для визначення авторизованих або неавторизованих систем.

Використовуйте сертифікати для перевірки автентичності систем перед підключенням до приватної мережі.

Інвентаризація авторизованого і неавторизованого програмного забезпечення

Створіть список авторизованого програмного забезпечення і версії, які потрібні на підприємстві для кожного типу системи, включаючи сервери, робочі станції і ноутбуки різного призначення і використання. Цей список повинен контролюватися засобами перевірки цілісності файлів, щоб підтвердити, що авторизоване програмне забезпечення не було змінено. Цілісність файлу перевіряється як частина програми безперервного моніторингу.

Використовуйте технологію «білого списку» додатків, яка дозволяє системам запускати програмне забезпечення лише в тому випадку, якщо вона була придбана в білий список і запобігає виконанню всього іншого програмного забезпечення в системі. Білий список може бути дуже великим, щоб користувачі не відчували незручностей при використанні загального програмного забезпечення. Або, для деяких спеціальних систем (які вимагають лише невеликої кількості програм для досягнення необхідної функціональності бізнесу), білий список може бути досить вузьким.

Система інвентаризації програмного забезпечення повинна відстежувати версію базової операційної системи, а також додатків, встановлених на ній. Системи інвентаризації програмного забезпечення повинні бути прив'язані до інвентаризації обладнання, тому всі пристрої і пов'язане з ними програмне забезпечення відслідковуються з єдиного джерела.

Безпечні конфігурації для апаратного і програмного забезпечення

Встановіть стандартні безпечні конфігурації ваших операційних систем і програмних додатків.

Відстежуйте конфігурації, створюючи безпечні образи установки, які використовуються для створення всіх нових систем, розгорнутих на підприємстві. Регулярні оновлення або виключення для цього способу повинні бути інтегровані в процеси управління змінами організації. Образи повинні бути створені для робочих станцій, серверів та інших систем, використовуваних організацією.

Зберігайте майстер-образи на безпечно налаштованих серверах, перевірених за допомогою інструментів перевірки цілісності. В якості альтернативи, ці образи можуть бути збережені на автономних машинах.

Цілісність файлів образів перевіряється як частина програми безперервного моніторингу.

Виконувати все віддалене адміністрування серверів, робочих станцій, мережевих пристроїв і аналогічного обладнання по захищених каналах. Протоколи, такі як telnet, VNC, RDP або інші, які не підтримують шифрування, повинні використовуватися тільки в тому випадку, якщо вони виконуються по вторинному каналу шифрування, наприклад SSL, TLS або IPSEC.

Використовуйте інструменти перевірки цілісності файлів, щоб гарантувати, що критичні системні файли (в тому числі чутливі системні і прикладні виконувані файли, бібліотеки та конфігурації) не були змінені. Перевірки цілісності повинні ідентифікувати підозрілі системні зміни, такі як: права власника і дозволи на зміни файлів або каталогів; використання альтернативних потоків даних, які можуть бути використані для приховування шкідливих дій; і введення додаткових файлів в ключові системні області (що може вказувати на шкідливе корисне навантаження, залишене зловмисниками або додатковими файлами, ненавмисно доданими в процесі пакетного поширення) .Файловая цілісність важливих системних файлів перевіряється як частина програми безперервного моніторингу.

Запускайте автоматичні інструменти виявлення вразливостей для всіх систем в мережі на щотижневій або більш частій основі і відправляйте пріоритетні списки найбільш критичних вразливостей кожній відповідальній особі.

Підпишіться на розсилки за інформацією про уразливість (security-list, bugtraq), щоб бути в курсі виникаючих ризиків та оперативно реагувати. Крім того, переконайтеся, що використовувані вами інструменти виявлення вразливостей регулярно оновлюються.

Розгорніть автоматизовані інструменти патч-менеджменту для оновлення програмного забезпечення для операційної системи і програмного забезпечення/додатків на всіх системах. Патчі повинні застосовуватися до всіх систем, навіть автономних.

Використання адміністративних привілеїв

Мінімізуйте адміністративні привілеї, використовуйте адміністративні облікові записи, тільки коли вони необхідні. Впровадити цілеспрямований аудит по використанню адміністративних привілейованих акаунтів і контролюйте аномальну поведінку.

Використовуйте автоматичні інструменти для інвентаризації всіх адміністративних облікових записів і підтвердіть, що кожен співробітник з правами адміністратора повноправно наділений цими правами в рамках своєї діяльності.

Перед розгортанням будь-яких нових пристроїв в мережевому середовищі змініть всі паролі за замовчуванням для додатків, операційних систем, маршрутизаторів, брандмауєрів, точок бездротового доступу та інших систем.

Налаштуйте системи журналювання і попередження, в разі коли обліковий запис доданий чи видалений з групи адміністраторів домену або коли в систему доданий новий обліковий запис локального адміністратора.

Налаштуйте системи журналювання і попередження про будь-який неуспішний вхід в адміністративний обліковий запис.

Використовуйте бгатофакторну аутентифікацію для всього адміністративного доступу, включаючи доступ до адміністратора домену. Багатофакторна аутентифікація може включати в себе безліч методів, включаючи використання смарт-карт, сертифікатів, токенів, біометричних даних або інших подібних методів аутентифікації.

Адміністратори повинні використовувати виділений комп'ютер для всіх адміністративних завдань або завдань, що вимагають підвищеного доступу. Ця машина повинна бути ізольована від основної мережі організації і не мати доступу до Інтернету. Ця машина не повинна використовуватися для читання електронної пошти, складання документів або серфінгу в Інтернеті.

Обслуговування, моніторинг та аналіз журналів аудиту

Увімкніть як мінімум два синхронізованих джерела часу, з яких всі сервери і мережеве обладнання регулярно повинні отримувати інформацію про час, для того щоб мітки часу в журналах були узгоджені.

Підтвердіть параметри журналу аудиту для кожного апаратного пристрою і встановленого на ньому програмного забезпечення, щоб журнали включали дату, тимчасову мітку, вихідні адреси, адреси призначення і будь-яку іншу системну інформацію. Системи повинні записувати Журнали в стандартизованому форматі, такому як записи системного журналу або ті, які описані в ініціативі Common Expression (на сайті CIS). Якщо системи не можуть генерувати журнали в стандартизованому форматі, необхідно використовувати інструменти нормалізації і перетворення журналів в такий формат.

Переконайтеся, що всі системи, в яких зберігаються журнали, мають достатньо місця для зберігання журналів. Журнали повинні архівуватися і підписуватися цифровим підписом на періодичній основі.

Налаштуйте мережеві прикордонні пристрої, в тому числі брандмауери, мережеві IPS, вхідні та вихідні проксі, щоб досить докладно зареєструвати весь трафік (як дозволений, так і заблокований).

Розгорніть SIEM (Security Information and Event Management) і для агрегації і консолідації журналів з декількох комп'ютерів і для кореляції і аналізу журналів. Використовуючи інструмент SIEM, системні адміністратори і співробітники служби безпеки повинні розробляти профілі загальних подій із заданих систем, для налаштування виявлення аномалій.

Захист електронної пошти та веб-браузера

Переконайтеся, що в організації дозволено використовувати тільки повністю підтримувані веб-браузери та поштові клієнти, в ідеалі - тільки саму останню версію браузерів, щоб використовувати останні функції безпеки і виправлення.

Видаліть або відключіть будь-які непотрібні або несанкціоновані браузери або поштові клієнтські плагіни/додатки.

Обмежте використання непотрібних мов сценаріїв у всіх веб-браузерах і поштових клієнтів. Це включає використання таких мов, як ActiveX і JavaScript, в системах, де немає необхідності підтримувати такі можливості.

Організація повинна підтримувати і застосовувати фільтри URL-адрес, які обмежують здатність системи підключатися до веб-сайтів, не затверджених організацією. Організація повинна підписатися на служби категоризації (блек-лістинг) URL-адрес, щоб забезпечити їх актуальність з використанням останніх визначень категорій веб-сайтів. Некатегорізіровані сайти блокуються за замовчанням. Ця фільтрація повинна застосовуватися для кожної з систем організації.

Щоб знизити ймовірність підміни повідомлень електронної пошти, впровадьте SPF.

Увімкніть фільтрацію вмісту електронної пошти і фільтрацію веб-контенту.

Захист від шкідливих програм

Використовуйте автоматизовані інструменти для постійного моніторингу робочих станцій, серверів і мобільних пристроїв за допомогою антивірусних програм, брандмауерів і IPS. Всі події виявлення шкідливих програм повинні бути відправлені на серверні кошти адміністрування антивірусного захисту і сервери журналів подій.

Використовуйте програмне забезпечення для захисту від шкідливих програм, яке пропонує централізовану інфраструктуру, яка збирає інформацію про репутацію файлів. Після застосування оновлення автоматизовані системи повинні перевірити, що кожна система отримала оновлення.

Налаштуйте ноутбуки, робочі станції і сервери, щоб вони не могли автоматично запускати контент зі знімних носіїв, таких як USB-флешки, жорсткі диски USB, CD / DVD-диски, пристрої FireWire і змонтовані мережеві ресурси. Налаштуйте системи так, щоб вони автоматично проводили сканування зйомних носіїв.

Використовуйте мережеві засоби захисту від шкідливих програм, щоб ідентифікувати виконувані файли в усьому трафіку мережі та використовувати методи, відмінні від виявлення на основі сигнатур, для виявлення та фільтрування шкідливого контенту до того, як він досягне кінцевої точки - застосовуйте превентивні заходи захисту.

Обмеження і контроль мережевих портів

Переконайтеся, що в кожній системі працюють тільки порти, протоколи та служби з необхідними бізнес-потребами.

Виконуйте автоматичне сканування портів на регулярній основі за всіма ключовими серверами. Якщо виявлена зміна, яка не вказана в затвердженому профілі сервера організації, необхідно створити попередження перевірити порт.

Додайте брандмауєри додатків перед будь-якими критичними серверами для перевірки трафіку, що йде на сервер. Будь-які несанкціоновані спроби доступу або трафік повинні бути заблоковані і попереджені.

Можливість відновлення даних

Переконайтеся, що для кожної системи автоматично створюється регламентна резервна копія, а для систем, що зберігають конфіденційну інформацію це робиться ще частіше.

Щоб забезпечити можливість швидкого відновлення системи з резервної копії, операційна система, прикладне програмне забезпечення і дані на АРМ повинні бути включені в загальну процедуру резервного копіювання. Ці три компоненти системи не обов'язково повинні бути включені в один і той же файл резервної копії або використовувати одне і те ж програмне забезпечення для резервного копіювання. З плином часу повинно бути кілька резервних копій, так що в разі зараження шкідливими програмами відновлення може здійснюватися з версії, яка передує початковії інфекції. Всі політики резервного копіювання повинні відповідати нормативним або офіційним вимогам.

Переконайтеся, що резервні копії надійно захищені за допомогою фізичної безпеки або шифрування при їх збереженні, а також при переміщенні по мережі. Сюди входять віддалені резервні копії і хмарні сервіси.

Захищені конфігурації для мережевих пристроїв

Порівняйте конфігурацію брандмауєра, маршрутизатора або комутатора зі стандартними безпечними конфігураціями, визначеними для кожного типу мережевого пристрою, що використовується в організації. Конфігурація безпеки таких пристроїв повинна бути документально підтверджена, перевірена і схвалена службою ІТ/ІБ. Будь-які відхилення від стандартної конфігурації або поновлення стандартної конфігурації повинні бути задокументовані і схвалені в системі управління змінами.

Всі нові правила конфігурації, крім простого налаштування, які дозволяють трафіку проходити через пристрої мережевої безпеки, такі як брандмауери і мережеві IPS, повинні бути задокументовані і записані в системі управління конфігурацією з конкретною бізнес-причиною для кожної зміни і особою, відповідальною за бізнес-потребу.

Використовуйте автоматичні інструменти для перевірки стандартних конфігурацій пристроїв і виявлення змін. Всі зміни в таких файлах повинні реєструватися і автоматично повідомлятися співробітникам служби безпеки.

Встановіть останню стабільну версію будь-яких пов'язаних з безпекою оновлень на всіх мережевих пристроях.

Мережеві інженери повинні використовувати виділений комп'ютер для всіх адміністративних завдань або завдань, що вимагають підвищеного доступу. Ця машина повинна бути ізольована від основної мережі організації і не мати доступу до Інтернету. Ця машина не повинна використовуватися для читання електронної пошти, складання документів або серфінгу в Інтернеті.

Розгорніть мережеві агенти IDS в DMZ-системах і мережах, які виявлять аномалії і виявлять компрометацію цих систем. Вони можуть виявляти атаки за допомогою використання сигнатур, аналізу поведінки або інших механізмів для аналізу трафіку.

Захист даних

Виконайте оцінку даних для ідентифікації конфіденційної інформації, що вимагає застосування засобів шифрування і цілісності.

Розгорніть затверджене програмне забезпечення для шифрування жорсткого диску для пристроїв і систем, що містять конфіденційні дані.

Використовуйте мережеві рішення DLP для моніторингу та управління потоком даних в межах мережі. Будь-які аномалії, які перевищують звичайні моделі трафіку слід зазначити і вжити відповідних заходів щодо їх усунення.

Завершення

Наведений вище матеріал може бути адаптований в тій чи іншій мірі для використання у вашій організації.

Джерело: https://habrahabr.ru/company/pentestit/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).