Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Цель: сокращение поверхности атаки.
Часть общего процесса управления безопасностью конфигураций (Hardening).
Общий алгоритм:
Часть общего процесса управления безопасностью конфигураций (Hardening).
Общий алгоритм:
- Определить, задокументировать требования к безопасности конфигурации.
- Применить безопасную конфигурацию на существующих хостах.
- Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
- Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
Источником для формирования требований к безопасности конфигурации служат:
- Руководства по настройке безопасности от производителя (например, Red Hat Enterprise Linux Security guide);
- Руководства по настройке безопасности (например, CIS CentOS Linux Benchmarks, CIS Debian Linux Benchmarks, CIS Red Hat Enterprise Linux Benchmarks, CIS Ubuntu Linux Benchmarks, SCAP Security Guide Project, FIPS for Ubuntu);
- Рекомендации регулирующих органов и отрасли;
- Собственные наработки и решения.
Документирование требований осуществляется в зависимости от принятых подходов в организации.
Вариант реализации: описать требования в карточке защитной меры. Пример документа
Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.
Вариант реализации: описать требования в карточке защитной меры. Пример документа
Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.
Минимальные требования к безопасной конфигурации:
- Изменить пароли по умолчанию.
- Настроить SSH
- Настроить сложность паролей
- Настроить смену (жизненный цикл) паролей
- Настроить политику аутентификации
- Отключить или удалить ненужные учетные записи пользователей
- Отключить или ограничить ненужные службы, порты и протоколы
- Удалить ненужное программное обеспечение
- При необходимости ограничить физические порты
- Настроить баннеры при входе
В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены:
- Подключение хоста к корпоративной системе мониторинга
- Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM)
- Конфигурация NTP и часового пояса
Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible).
Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.
Показателем эффективности процесса может являться:
- общий процент соответствия требованиям (суммарно по всем хостам),
- процент хостов, соответствующих требованиям.
Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.
Показателем эффективности процесса может являться:
- общий процент соответствия требованиям (суммарно по всем хостам),
- процент хостов, соответствующих требованиям.
Рекомендации к заполнению карточки:
- Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
- Описать принятый в компании перечень требований к безопасности конфигурации.
- Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
- Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент
- Добавить шаблон регулярной задачи по проверке конфигураций.
- Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Классификация
Тип
Техническая
?
Технические (логические) меры
Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию.
Внутри орган...
Превентивная
?
Превентивные меры
Направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо, или что-либо.
Примеры: Межсетевые экраны; Системы предотвр...
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено
Исполнение требований
CIS Critical Security Controls v8 (The 18 CIS CSC):
16.7
16.7 Use Standard Hardening Configuration Templates for Application Infrastructure
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening.
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening.
NIST Cybersecurity Framework (RU):
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.1.1
A.14.1.1 Анализ и спецификация требований информационной безопасности
Мера обеспечения информационной безопасности: Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем
Мера обеспечения информационной безопасности: Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем
SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УКФ.0
УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы
NIST Cybersecurity Framework (EN):
PR.IP-1
PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УКФ.0
УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы
Требования по защите информации к конфигурации Linux Ubuntu
Мониторинг
Конфигурация
Логирование событий
Конфигурация
/etc/rsyslog.d/50-default.conf:
Примечание
В зависимости от назначения актива рекомендуется расширить перечень логируемых событий.
Настройка SSH
Сложность паролей
Жизненный цикл паролей
Пароли должны меняться раз в 90 дней
В файле /etc/login.defs необходимо изменить значения следующих опций:
Примечание
Политика аутентификации
Конфигурация
Учетные записи
Конфигурация
У заблокированных учетных записей вместо поля pass_hash должно быть установлено ! или *
Конфигурация NTP и часового пояса
Настройка баннера
Должен быть включен и настроен баннер входа.
Banner (/etc/issue, /etc/issue.net):