Куда я попал?
Цель:
- сокращение каналов утечки информации
- уменьшение возможностей для горизонтального перемещения в локальной сети;
- снизить возможность загрузки ВПО с несанкционированной общей сетевой папки SMB;
- противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB shared folder), оставив доступ только к списку легитимных сетевых папок.
Варианты реализации:
Варианты реализации:
- Локальный межсетевой экран
- DLP с функцией контроля SMB протокола, например КИБ SearchInform
Общий алгоритм действий
- Определить перечень легальных SMB шар и узлов, к которым необходимо подключаться по SMB
- Настроить белый список на локальных СЗИ
- Включить блокировку
Важно: SMB один из ключевых протоколов для локального взаимодействия в доменной инфраструктуре. Перед включением блокировки необходимо провести тщательный аудит всех информационных потоков по протоколу SMB.
Рекомендации к заполнению карточки:
- Описать в карточке общую политику в отношении сетевых файловых ресурсов,
- Средство защиты, которым осуществляется блокировка, присоединить к карточке как Инструмент,
- Добавить Инструкцию (например, в заметках к мере) по добавлению/исключению каталогов из доступа
- Если ведется учет (реестр) сетевых файловых ресурсов - вести его в разделе Объекты файловой системы \ Файлы и папки
- Создать шаблон регулярной задачи на актуализацию списка общих сетевых папок и прав.
Область действия: Вся организация
Классификация
Тип
Техническая
?
Превентивная
?
Реализация
Автоматически
Периодичность
Постоянно
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗИС.16
ЗИС.16 Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов
УПД.3
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.1.2
А.9.1.2 Доступ к сетям и сетевым сервисам
Мера обеспечения информационной безопасности: Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение
Мера обеспечения информационной безопасности: Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 9.4
CSC 9.4 Apply Host-Based Firewalls or Port-Filtering
Apply host-based firewalls or port-filtering tools on end systems, with a default-deny rule that drops all traffic except those services and ports that are explicitly allowed.
Apply host-based firewalls or port-filtering tools on end systems, with a default-deny rule that drops all traffic except those services and ports that are explicitly allowed.
CSC 14.3
CSC 14.3 Disable Workstation to Workstation Communication
Disable all workstation-to-workstation communication to limit an attacker's ability to move laterally and compromise neighboring systems, through technologies such as Private VLANs or micro segmentation.
Disable all workstation-to-workstation communication to limit an attacker's ability to move laterally and compromise neighboring systems, through technologies such as Private VLANs or micro segmentation.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.3
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗИС.16
ЗИС.16 Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.35
ЗИС.35 Управление сетевыми соединениями
NIST Cybersecurity Framework (EN):
DE.AE-1
DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed
Связанные риски
Риск | Связи | |
---|---|---|
Раскрытие ключей (паролей) доступа из-за
возможности автоматической аутентификации в ОС Windows
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
1 |