Реестр защитных мер

Все, что делает служба информационной безопасности можно описать через защитные меры.

В контексте Сервисе защитная мера – это любая упорядоченная активность службы безопасности.

Цель любой защитной меры – влиять на риски безопасности и/или исполнение требований. В некоторых случаях защитная мера сама по себе может никак не влиять на риски, но быть необходима для реализации других защитных мер.

Защитная мера — это не средство защиты (СЗИ), средство защиты это лишь один из возможных инструментов для реализации защитной меры.

Перейти к разделу Защитные меры

Возможности

Сервис позволяет построить управление процессами службы безопасности через защитные меры реализуя следующие функции:

Создание реестра защитных мер;
Многомерная классификация защитных мер;
Планирование, ведение жизненного цикла защитной меры;
Создание операционной активности (задач) на базе защитных мер, в том числе регулярных задач (процессов);
Определение влияния защитной меры на риски безопасности и/или соответствие требованиям;
Определение ресурсов, необходимых для внедрения и поддержания защитной меры;
Оценка эффективности средств защиты и иных инструментов через оценку защитных мер, для реализации которых они используются.

Классификации

В сервисе к карточкам защитных мер применяются различные классификации:

по типу;
по способу реализации;
по периодичности;
по текущему статусу.

По статусу

Классификация защитных мер по статусу позволяет отразить весь жизненный цикл защитной меры и включает следующие состояния: Не определен > Потребность > Проект > Внедрение > Реализовано > Поломка > Отменено.

Не определен
Статус Не определен назначается защитным мерам при их создании или при добавлении защитной меры из базы Community. Этот статус означает что защитная мера добавлена в реестр команды, но по ее статусу отсутствует информация, неясно требуется ли ее реализовывать. Такие меры никак не влияют на расчет рисков или соответствие требованиям и требуют дальнейшей проработки.
Потребность
Статус Потребность означает, что принято решение о необходимости внедрения защитной меры, но еще не определено, как именно и когда мера будет реализовываться. Мера в данном статусе участвует в оценке рисков и контроле соответствия для определения будущих, планируемых показателей и требует дальнейшего анализа с целью определения механизмов и сроков реализации.
Проект
Статус Проект означает, что в отношении меры понятны механизмы ее реализации (например, используемые средства защиты), проведена всесторонняя классификация меры, запланированы даты внедрения, определены ответственные за внедрение лица.
Внедрение
Статус Внедрение означает, что на текущий момент мера находится в процессе внедрения. Такие меры отображаются в разделе Мои дела у ответственных за внедрение лиц.
Реализовано
Статус Реализовано означает, что мера была успешно внедрена и действует на текущий момент. Влияние меры учитывается при расчете текущих показателей уровня рисков безопасности и соответствия требованиям.
Поломка
Статус Поломка устанавливается если в результате аудита, инцидентов безопасности или иных событий выявлено, что мера не функционирует должным образом. Текущее влияние меры на риски безопасности и соответствие требованиям отменяется.
Отменено
Статус Отменено означает что мера выведена из эксплуатации, она более не влияет и не учитывается при оценке рисков и контроле соответствия требованиям. Такие меры хранятся в реестре для сохранения целостности и ретроспективной оценки развития системы защиты.

В зависимости от текущего статуса к защитным мерам в сервисе применяются различные алгоритмы обработки. Так, например, для того чтобы на базе защитной меры создавались регулярные задачи ее статус должен быть Реализовано. А для того, чтобы защитная мера попала в План работ ее статус должен быть Проект, Внедрение или Реализовано.

По типу

Классификация защитных мер по типу состоит из двух групп классификаций – базовой и расширенной.
Базовая классификация мер состоит из следующих типов:

Организационные (процедурные, административные) меры
Это меры, направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации.
Технические (логические) меры
Это различные технологические решения и меры, в частности использование технических средств обеспечения безопасности – антивирусов, межсетевых экранов, систем обнаружения вторжений и т. д.
Физические меры
Это меры, направленные на ограждение и физическую изоляцию, физический контроль доступа, запирающие устройства и хранилища.

Расширенная классификация защитных мер по способу их воздействия на риски безопасности включает следующие типы:

Превентивные меры
Эти меры направлены на предотвращение инцидентов безопасности, блокируя или останавливая кого-либо или что-либо, реализуются до возникновения предполагаемого инцидента.
Примеры:
- Блокировка несанкционированного трафика на межсетевых экранах;
- Обнаружение и блокировка атак системой предотвращения вторжений;
- Обнаружение и блокировка вредоносного ПО антивирусом;
- Двухфакторная аутентификация при входе в систему;
- Шифрование жестких дисков;
- Повышение осведомленности работников;
- Установка заборов вокруг территории.
Детективные меры
Эти меры применяются для выявления любых вредоносных действий, нарушений и инцидентов. Эти меры не останавливают и не смягчают попытки вторжения, они только идентифицируют и сообщают о них.
Примеры:
- Обнаружение атак системой обнаружения вторжений IDS;
- Обнаружение аномалий в журналах событий через корреляции в SIEM системе;
- Детектор движения в серверном помещении;
- Охранники на территории;
- Видеонаблюдение;
- Ведение журналов событий.
Корректирующие меры
Эти меры направлены на смягчение последствий в момент инцидента безопасности или возвращение системы в нормальное состояние после инцидента.
Примеры:
- Восстановление операционной системы или данных из резервной копии;
- Обновление устаревшего антивируса;
- Установка патчей.
  Примечание: приведенные примеры являются частью процесса управления инцидентами безопасности и не вносятся в реестр защитных мер. Вносить корректирующие меры в реестр следует только если их внедрение растянуто во времени, направлено не только на устранение последствий конкретного инцидента, но и на снижение рисков безопасности / исполнение требований.
Восстановительные (резервирующие) меры
Эти меры направлены на подготовку к инцидентам безопасности и используются для возвращения системы в нормальное состояние, в состояние до инцидента безопасности. Эти меры дополняют работу корректирующих контрмер.
Примеры:
- Регулярное резервное копирование данных;
- Создание площадки аварийного восстановления;
- Подключение резервного канала Интернет-провайдера.
Удерживающие (сдерживающие) меры
Эти меры направлены на то, чтобы отговорить злоумышленников атаковать компанию. Другими словами, сдерживающая контрмера используется, чтобы заставить злоумышленника дважды подумать о своих злонамеренных намерениях.
Примеры:
- Отображение баннеров с предупреждением при входе систему;
- Напоминание работникам об ответственности за нарушение информационной безопасности;
- Установка поста охраны при входе на территорию;
- Видеонаблюдение.
Компенсирующие меры
Этим меры обеспечивают альтернативные варианты защиты, когда иные меры либо невозможно, либо слишком дорого реализовать.

Каждая защитная мера может относиться к нескольким типам. Например, охранники считаются превентивной, детективной и сдерживающей мерой.
Стоит отметить, что в смежных с информационной безопасностью стандартах, например в системе менеджмента качества, принята упрощенная классификация активностей (мер, действий) в отношении событий безопасности. Разделение идет на меры, предпринимаемые до того, как инцидент произошел и меры, реализуемые после наступления инцидента. Все меры направлены на устранение причин и следовательно возможности нежелательного события:

Предупреждающее действие (preventive action): Действие, предпринятое для устранения причины потенциального несоответствия или другой потенциально нежелательной ситуации.
Корректирующее действие (corrective action): Действие, предпринятое для устранения причины несоответствия и предупреждения его повторного возникновения.

Сервис позволяет назначать защитной мере несколько классификаций одновременно.

По периодичности

Защитные меры классифицируются по периодичности:

Разовая;
Постоянная;
По событию;
Периодическая
- ежедневная,
- еженедельная,
- ежемесячная,
- ежеквартальная,
- ежегодная.

Классификация по периодичности позволяет отделить разовые активности от процессов, формировать регулярные задачи.

По способу реализации

Защитные меры классифицируются по способу реализации, делясь на автоматические и выполняемые вручную. Автоматические меры подразумевают что исполняются без участия оператора. Например, автоматическое обновление системы антивирусной защиты.

Ресурсы

Для реализации и поддержания защитной меры используются человеческие и материальные ресурсы. Ресурсы определяются через назначение ответственного за защитную меру и определение инструментов, используемых защитной мерой.

Ответственный

Для защитной меры может быть назначен только один ответственный. Ответственный берется из реестра активов, из разделов Люди или Юридические лица.

Подобная гибкость выбора позволяет установить в качестве ответственного за защитную меру конкретное лицо (например Иванов А.А.), группу лиц (например Отдел безопасности), роль (например Администратор безопасности), внешнюю организацию (например ООО «Оператор SOC»).

Ответственный участвует в процессе управления защитными мерами – ему назначаются защитные меры на внедрение, приходят регулярные задачи по защитной мере и т.д.

Ответственный на различных этапах жизненного цикла защитной меры (как правило, при переходе от внедрения к эксплуатации) может меняться. В таких случаях необходимо обновлять карточку защитной меры.

Инструменты

Для защитной меры может быть указан один или несколько инструментов, используемых для ее реализации. Инструменты берутся из реестра активов и, в большинстве случаев, являются средствами защиты, но также это могут быть иные программные и аппаратные решения, групповые политики, скрипты, в некоторых случаях юридические лица.

Примеры:

Для защитной меры Централизованная установка средств антивирусной защиты на ПК ответственным будет Администратор безопасности, инструментами будут СЗИ Антивирус и Групповые политики домена (если установка агентов реализуется через GPO).
Для защитной меры Тестирование внешнего периметра на проникновение ответственным будет роль начальник службы безопасности, а инструментом будет ООО «Пентест-подрядчик» или СЗИ Сканер уязвимостей (если тестирование проводится самостоятельно).

Защитные меры могут быть связаны друг с другом, для возможности выстраивания последовательности внедрения защитных мер, реализации комплексного проекта по внедрению системы защиты. Подобная связь учитывается при выводе защитной меры из эксплуатации.

Влияние на риски

В контексте сервиса, цель любой защитной меры - влиять на риски безопасности. В некоторых случаях защитная мера сама по себе может никак не влиять на риски но быть необходима для реализации других защитных мер или исполнения требований.

Защитная мера может влиять на вероятность и/или на ущерб риска. Уровень влияния может быть следующим:

Отсутствует - мера никак не влияет на риск
Низкий - небольшое влияние
Средний - достаточное влияние для того, чтобы снизить риск на половину
Высокий - мера значительно снижает риск
Полностью - мера полностью исключает риск. Например, устраняя источник риска, позволяя уйти от появления риска или гарантированно его исключая.

Одна защитная мера может влиять на один или несколько рисков безопасности, в каждом случае величина влияния (на вероятность и/или на ущерб) может быть разной.
Связать защитную меру с рисками а так же установить или изменить величину влияния защитной меры на риски можно несколькими способами:

В карточке редактирования защитной меры во вкладке Риски
В карточке редактирования риска во вкладке Защитные меры
На странице защитной меры в заголовке раздела Связанные риски нажав на кнопку изменения связей
На странице защитной меры в разделе Связанные риски нажав на кнопку редактирования конкретного риска и перейдя в вкладку Защитные меры

Посмотреть текущие связи и влияние защитной меры на риски можно на странице защитной меры

Влияние на требования

Помимо влияния на риски безопасности защитные меры могут использоваться для исполнения требований - законов, регуляторов, стандартов и лучших практик. Установить что защитная мера исполняет требования можно несколькими способами:

В карточке редактирования защитной меры во вкладке Требования
На странице требования (раздела документа) в разделе Связанные защитные меры, нажав на кнопку изменения связей

Одна защитная мера может исполнять различные требования, в том числе из разных документов.
Уровень влияния защитной меры на требования не устанавливается. Расчет исполнения требования осуществляется по текущему статусу всех связанных с требованием защитных мер. Например, если для требования установлена связь только с одной защитной мерой и статус у этой защитной меры Реализовано, то требование будет считаться исполненным. А если требование связано с несколькими защитными мерами, то оно будет считаться исполненным только когда все эти защитные меры будут в статусе Реализовано. Меры в статусе Отменено не учитываются при расчете.

Планирование и отчетность

Из защитных мер в сервисе автоматически формируются планы работы и отчеты о выполнении плана работ.

Для появления защитной меры в плане (отчете) необходимо исполнение нескольких условий:

Статус защитной меры: Проект, Внедрение или Реализовано;
Для защитной меры установлены сроки на внедрение или указана дата реализации;
Сроки на внедрение или дата реализации находятся в пределах планируемого (отчетного) периода.

Все запланированные, но не внедренные защитные меры переносятся в план следующего года.

Предустановленные шаблоны позволяют сформировать платы на текущий год, текущий квартал и следующий квартал, а также отчеты за прошлый квартал и прошлый год. При этом возможно, используя фильтры в реестре защитных мер, сформировать представление за любой период.

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

	Название	Дата	Влияние
Community 18 7 / 33	Настройка безопасной конфигурации для серверов ОС Linux Разово Вручную Техническая Превентивная 16.05.2022	16.05.2022	18 7 / 33
Цель: сокращение поверхности атаки. Часть общего процесса управления безопасностью конфигураций (Hardening). Общий алгоритм: Определить, задокументировать требования к безопасности конфигурации. Применить безопасную конфигурацию на существующих хостах. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям. Источником для формирования требований к безопасности конфигурации служат: Руководства по настройке безопасности от производителя (например, Red Hat Enterprise Linux Security guide); Руководства по настройке безопасности (например, CIS CentOS Linux Benchmarks, CIS Debian Linux Benchmarks, CIS Red Hat Enterprise Linux Benchmarks, CIS Ubuntu Linux Benchmarks, SCAP Security Guide Project, FIPS for Ubuntu); Рекомендации регулирующих органов и отрасли; Собственные наработки и решения. Документирование требований осуществляется в зависимости от принятых подходов в организации. Вариант реализации: описать требования в карточке защитной меры. Пример документа Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами. Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере. Минимальные требования к безопасной конфигурации: Изменить пароли по умолчанию. Настроить SSH Настроить сложность паролей Настроить смену (жизненный цикл) паролей Настроить политику аутентификации Отключить или удалить ненужные учетные записи пользователей Отключить или ограничить ненужные службы, порты и протоколы Удалить ненужное программное обеспечение При необходимости ограничить физические порты Настроить баннеры при входе В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены: Подключение хоста к корпоративной системе мониторинга Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) Конфигурация NTP и часового пояса Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible). Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций. Показателем эффективности процесса может являться: - общий процент соответствия требованиям (суммарно по всем хостам), - процент хостов, соответствующих требованиям. *Рекомендации к заполнению карточки:* Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой. Описать принятый в компании перечень требований к безопасности конфигурации. Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент Добавить шаблон регулярной задачи по проверке конфигураций. Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community 10 / 34	Проведение штабных киберучений Ежегодно Вручную Организационная 08.05.2022	08.05.2022	10 / 34
Цель: проверка реагирования службы информационной безопасности и персонала компании на типовые сценарии инцидентов безопасности. Штабные киберучения позволяют проверить как будет производиться реагирование на различные сценарии угроз и определить необходимую степень взаимодействия между различным персоналом, как со стороны службы информационной безопасности, так и со стороны других подразделений организации. В отличие от проведения тестирования на проникновение или проведения тренировок на киберполигоне штабные киберучения не требуют работы с инфраструктурой, но требуют построения четкого плана по минимизации рисков той или иной угрозы. Примеры сценариев для киберучений Способ реализации: самостоятельно или с привлечением внешних контрагентов/консультантов. *Рекомендации к заполнению карточки:* Создать шаблон регулярной задачи на проведение киберучений. В результатах выполненных задач или в заметках к мере вести учет принятых корректирущих действий по результатам киберучений.
Community 37 / 26	Управление рисками информационной безопасности Ежеквартально Вручную Организационная Детективная 08.05.2022	08.05.2022	37 / 26
Цель: выявление и устранение актуальных проблем информационной безопасности. Общий процесс управления рисками включает следующие подпроцессы: Оценивание / Risk Assessment Идентификация / Risk Identification Результат: Реестр рисков Анализ / Risk Analysis Результат: оценка параметров рисков (ущерб, вероятность) Оценка / Risk Evaluation Результат: рассчет величины для каждого риска, соотнесение рисков с допустимым уровнем Обработка / Risk Treatment Результат: План обработки рисков Реализация меры означает выполнение в организации всех подпроцессов управления рисками. Варианты реализации: На бумаге; В таблицах (Excel); В SECURITM Подробнее в Документации Для обеспечения процесса должны быть определены: область оценки рисков (активы или типы активов, для которых оцениваются риски); ценность (приоритет) активов (типов активов), для которых проводится оценка рисков; периодичность оценивания (ежегодно, ежеквартально, непрерывно/динамически); методика оценки, включая: формулы расчета величины риска; критерии для оценки рисков; критерии принятия рисков ( = критерии приемлемости риска); риск-аппетит ( = уровень допустимого риска, допустимый остаточный риск); ответственные и роли в процессе; владельцы рисков; Результатами процесса являются: Реестр рисков, в т.ч.: реестр недопустимых рисков; реестр принятых рисков; План обработки рисков включает перечень влияющих на риски защитных мер ( = средств управления, контролей). *Рекомендации к заполнению карточки:* Создать шаблон регулярной задачи по актуализации реестра рисков, переоценке рисков, проверке полноты и исполнения плана обработки рисков.
Community 11 / 11	Проведение обучающих мероприятий по информационной безопасности Разово Организационная 08.05.2022	08.05.2022	11 / 11
Цель: повышение осведомленности работников. Выполнять регулярные мероприятия по повышению осведомленности, а также поддерживать знания в области безопасности. Варианты реализации: Очные или дистанционные курсы; Разовые встречи или вебинары; Непрерывное (регулярное) обучение; Платформы для обучения (например, Kaspersky Automated Security Awareness Platform). Проведение рассылок по информационной безопасности выделено в отдельную защитную меру. Обучение может затрагивать: Только технический персонал, пользователей с привилегированными правами в информационных системах; Работников допущенных к конфиденциальной информации и в ключевые системы компании; Всех работников. Для обучения должна быть определена периодичность. Дополнительное обучение может назначаться в результате инцидентов безопасности, смены должности работника. *Рекомендации к заполнению карточки:* Описать в карточке кого из работников обучают, с какой периодичностью, каким образом; Если разработаны отдельные документы (программа, план обучения) - привести на них ссылки; Добавить шаблон регулярной задачи по проведению обучения.
Community 1 13 / 23	Централизованная установка обновлений для ОС Windows через WSUS сервер Ежедневно Автоматически Техническая Превентивная Корректирующая 04.05.2022	04.05.2022	1 13 / 23
Цель: устранение технических уязвимостей в системном и прикладном ПО Microsoft Для доменной инфраструктуры Windows централизация установки обновлений ОС и продуктов Microsoft (Edge, Office) осуществляется через службу обновлений Windows Server Update Services (WSUS). Обновления могут устанавливаться автоматически или вручную. Режим обновления может быть различным в зависимости от типа обновляемых активов. Например для ПК - автоматическая установка, а на серверы - вручную администратором. Могут устанавливаться все обновления или только критические обновления и обновления безопасности. Настройка режима обновления осуществляется на уровне службы WSUS и на уровне ПК/Серверов через групповые политики домена (GPO). *Рекомендации к заполнению карточки:* Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки) Добавить WSUS сервер(ы) в реестр активов (тип - WSUS) и связать с карточкой как инструменты. Описать политики (GPO) обновлений. Если GPO ведутся в реестре активов - связать с карточкой меры как инструменты. Добавить шаблон регулярной задачи на контроль работоспособности WSUS
Community 9 25 / 34	Выделение ключевых систем в отдельную сеть (сегментация сети) Разово Вручную Техническая Превентивная 03.05.2022	03.05.2022	9 25 / 34
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне. Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании. В зависимости от особенностей компании в отдельные сегменты выделяют: Технологические, производственные сети Банковские системы Инфраструктуру SWIFT ПК руководства Ключевые бизнес-системы Системы персональных данных Способы сегментации: Логический, с помощью технологий VLAN на сетевом оборудовании Логический, на уровне управления виртуальной инфраструктурой Физический, путем создания отдельных ЛВС для ключевых сегментов Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру. *Рекомендации к заполнению карточки:* Указать перечень сегментов и их назначение Пояснить способы/технологии сегментации Описать как настроено ограничение доступа (ACL) Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Community 1	Замена TLS сертификата на сертификат портала государственных услуг Разово Вручную Техническая Превентивная Компенсирующая 21.03.2022	21.03.2022	1
Цель: заблаговременная замена иностранных сертификатов на отечественные. В рамка[ санкций зарубежный удостоверяющий центр может произвести отзыв сертификата. Трафик между клиентом и сервером будет продолжать шифроваться, но браузеры будут отображать соединение как не доверенное. Меры со стороны веб-серверов и сайтов: Через аккаунт юридического лица запросить отечественный TLS сертификат на портале государственных услуг https://gosuslugi.ru/tls Подготовить инструкцию замены в случае отзыва иностранного сертификата. Организовать резервный http-редирект с инструкцией для пользователей. Меры со стороны клиентов и локальных ИТ инфраструктур: Установить пользователям браузер Яндекс или Атом. Вручную скачать и установить корневой сертификат удостоверяющего центра портала государственных услуг https://gosuslugi.ru/tls. В соответствии с инструкцией добавить сертификат в браузер (Chrome, Firefox). *Рекомендации к заполнению карточки:* Указать перечень публичных сервисов для которых выпущены сертификаты Создать шаблон ежегодной задачи на перевыпуск сертификатов Если ведется учет электронных подписей (полученных сертификатов) - вести его в разделе Электронная подпись
Community 25 / 46	Ведение реестра информационных активов По событию Вручную Организационная 16.03.2022	16.03.2022	25 / 46
Цель: учёт, инвентаризация активов различного типа Типы активов, подлежащие в учёту, определяются в зависимости от уровня зрелости компании, исполняемых требований и целей. Варианты реализации: Бумажные реестры Электронные таблицы (excel) CMDB/ITAM системы Сервис SECURITM (модуль Активы) В заметке к защитной мере приведен пример регламента учёта информационных активов на базе SECURITM. *Рекомендации к заполнению карточки:* Написать регламент учета активов и разместить его прямо в карточке или как ссылку на внешний документ Указать перечень учитываемых типов активов
Community 1 4 / 7	Блокировка обращений по черному списку рефереров средствами NGINX Разово Техническая Превентивная Компенсирующая 09.03.2022	09.03.2022	1 4 / 7
Цель: снизить нагрузку на веб сервер заблокировав мусорные и спам обращения. Реализация через конфигурацию NGINX. 1. Берем готовый файл конфигурации со списком плохих рефереров отсюда: https://github.com/Stevie-Ray/referrer-spam-blocker Примечание: Необходимо загрузить проект через git, либо в виде архива, затем использовать из него файл referral-spam.conf Так стоит сделать, чтобы не сбилась оригинальная кодировка файла, т.к. там встречаются UTF-8 символы в названиях доменов. 2. Дополняем черный список по рекомендациям НКЦКИ Источник: https://safe-surf.ru/specialists/news/676114/ 3. Далее преобразуем список плохих рефереров в регулярные выражения, как это сделано в файле referral-spam.conf. Он получится таким: # ukraine "~cyber\-yuzh\.com" 1; "~ukraine\.is\-great\.org" 1; "~stop\-russia\.rf\.gd" 1; "~stop\-russia\.synergize\.co" 1; "~fuck\-desinformation\.netlify\.app" 1; "~stop\-\-russian\-\-desinformation\-near\-page\.translate\.goog" 1; "~stop\-russian\-desinformation\.near\.page" 1; "~stop\-russia\.great\-site\.net" 1; "~the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1; "~slavaukraini\.000webhostapp\.com" 1; "~the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1; "~stop\-russian\-desinformation\.near\.page" 1; "~fly\.freecluster\.eu" 1; "~ovh1\.vanagas\.tech" 1; "~freeanon\.xyz" 1; "~mwl\.vdl\.pl" 1; "~norussian\.tk" 1; "~dstat\.sorryy\.me" 1; "~jebacruskich\.page" 1; "~81g6bk\.csb\.app" 1; "~vug\.pl" 1; "~kaszaniok\.github\.io" 1; "~dildouslugi\.ga" 1; Примечание: список на сайте НКЦКИ обновляется, следует брать список от туда. Дополняем общий список нашим списком и сохраняем файл referral-spam.conf. Добавить referral-spam.conf в /etc/nginx и включить его глобально в /etc/nginx/nginx.conf: `http { include referral-spam.conf; }` Добавить следующие параметры в файлы конфигураций всех сайтов /etc/nginx/site-available/your-site.conf которые требуют защиты: `server { if ($bad_referer) { return 444; } }` Т.е. кладем файл referral-spam.conf в папку /etc/nginx, подключаем его в файле /etc/nginx/nginx.conf. Далее в блоке server каждого сайта, который требуется защитить, добавляем возврат кода 444 при условии определения переменной $bad_referer. Рекомендации к заполнению карточки:* Создать шаблон регулярной задачи на актуализацию черного списка рефереров
Community 1 3 / 12	Отключение Cisco Smart Install Разово Вручную Техническая Превентивная Компенсирующая 09.03.2022	09.03.2022	1 3 / 12
Цель: снижение последствий от санкционных действий производителя (Cisco). Проверка наличия smartinstall 1. Заходим на оборудование, вводим команду - "show vstack config" #show vstack config Role: Client (SmartInstall disabled) <- компонент выключен никаких действия не требуется Role: Not Director (SmartInstall enabled) <- компонент включен `Vstack Director IP address: 0.0.0.0 * Following configurations will be effective only on director * Vstack default management vlan: 1 Vstack start-up management vlan: 1 Vstack management Vlans: none Join Window Details: Window: Open (default) Operation Mode: auto (default) Vstack Backup Details: Mode: On (default) Repository:` 2. Если компонент включен, для его отключения: Заходим в конфигурацию "conf t" Вводим команду "no vstack" Проверяем "show vstack config" 3. Если коммутатор не применяет команду "no vstack" требуется на vlan управления применить ACL 3.1. создаем ACL Заходим в конфигурацию "conf t" `ip access-list extended SMI_HARDENING_LIST deny tcp any any eq 4786 permit ip any any exit` 3.2 применяем на vlan управления int vlan 11 – номер vlan управления `ip access-group SMI_HARDENING_LIST in exit` Проверка лицензий 4. Выполнить команду (если такой команды нет, то переходим к п.5) `#show license status` Smart Licensing is ENABLED <- если DISABLED то никаких действия не требуется Registration: Status: REGISTERED Smart Account: XXXXX Virtual Account: DEFAULT Export-Controlled Functionality: NOT ALLOWED Initial Registration: SUCCEEDED on Nov 13 09:12:34 NNNN MSK Last Renewal Attempt: SUCCEEDED on Nov 02 09:15:07 NNNN MSK Next Renewal Attempt: May 01 09:15:05 NNNN MSK Registration Expires: Nov 02 09:10:04 NNNN MSK License Authorization: Status: OUT OF COMPLIANCE on Nov 13 09:12:45 NNNN MSK Last Communication Attempt: PENDING on Mar 04 15:58:19 2022 MSK Failure reason: Waiting for reply Next Communication Attempt: Mar 04 16:14:04 2022 MSK Communication Deadline: May 06 01:36:48 2022 MSK 5. Выполнить команду (если такой команды нет, никаких действия не требуется) #show call-home Current call home settings: call home feature : enable <- включен call-home call home message's from address: Not yet set up call home message's reply-to address: Not yet set up vrf for call-home messages: Not yet set up contact person's email address: NNNN contact person's phone number: Not yet set up street address: Not yet set up customer ID: Not yet set up contract ID: Not yet set up site ID: Not yet set up source ip address: Not yet set up source interface: Not yet set up Mail-server: XXXXXXXXXXXXXXXXXXX http proxy: XXXXXXXXXXXXXXXXXX http secure: server identity check: enabled http resolve-hostname: default Smart licensing messages: enabled Profile: CiscoTAC-1 (status: ACTIVE) 6. Проверить конфигурацию call-home (имя профиля, email даны для примера) `#show run \| beg ^call-home call-home contact-email-addr cisco_support@rt.ru profile "CiscoTAC-1" active destination transport-method http no destination transport-method email` 7. При необходимости - заблокировать, например так `conf t call-home http-proxy "127.0.0.10" port 8128 profile "CiscoTAC-1" destination transport-method http no destination transport-method email end wr mem`