Главное меню

Карточка защитной меры

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Приведение конфигурации IP телефонов в соответствие требованиям безопасности

3 3

Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.
Пример требований безопасности к конфигурации IP телефонов:

Смена пароля для учетной записи администратора
Обновление прошивки IP телефонов до крайней стабильной версии
Отключение неиспользуемых/небезопасных портов/протоколов
1. HTTP (порт 80)
2. Telnet (порт 23)
3. VxWorks debugger (порт 17185)
Настройка встроенного межсетевого экрана

Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Примечание: рекомендуется включить настройку безопасной конфигурации в процесс установки новых телефонов и внедрить защитную меру как регулярную ежегодную задачу

Инструкция

Найти в локальной сети все IP телефоны
Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
Проверить текущие настройки и версию прошивки.
Если требуется - провести настройку в соответствии с установленными требованиями

Классификация

Тип

Техническая

Превентивная

Реализация

Вручную

Периодичность

Ежегодно

Ответственный

Не определено

Инструменты

Не определено

Предшествующие меры

Не требуется

Следующие меры

Не определено

Исполнение требований

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":

A.14.2.5

A.14.2.5 Принципы разработки защищенных систем
Средства реализации: Принципы разработки защищенных систем должны быть установлены, документированы, поддерживаться и применяться во всех случаях внедрения информационных систем.

A.8.1.3

A.8.1.3 Надлежащее использование активов
Средства реализации: Правила для надлежащего использования информации и активов, связанных с информацией и устройствами обработки информации должны быть определены, документированы и внедрены.

A.18.2.3

A.18.2.3 Анализ технического соответствия
Средства реализации: Информационные системы должны регулярно анализироваться на соответствие политикам и стандартам информационной безопасности организации.

A.12.1.2

A.12.1.2 Управление изменениями
Средства реализации: Изменения в организации, бизнес-процессах, средствах для обработки информации и системах, которые влияют на информационную безопасность, должны быть управляемыми.

A.14.2.4

A.14.2.4 Ограничения на изменения в пакетах программ
Средства реализации: Модификация пакетов программ не должна поощряться и должна быть ограничена только необходимыми изменениями, а все изменения должны строго контролироваться.

A.14.2.2

A.14.2.2 Процедуры управления системными изменениями
Средства реализации: Изменения в системах в течение цикла разработки должны быть управляемыми посредством формализованных процедур управления изменениями.

A.12.5.1

A.12.5.1 Установка программ в эксплуатируемых системах
Средства реализации: Должны быть внедрены процедуры для управления установкой программного обеспечения в эксплуатируемых системах.

A.14.2.3

A.14.2.3 Технический анализ приложений после изменений операционной платформы
Средства реализации: После изменения операционных платформ, критичные бизнес-приложения должны быть проанализированы и протестированы, чтобы гарантировать, что отсутствует негативное влияние на деятельность организации или безопасность.

A.12.6.2

A.12.6.2 Ограничения на установку программного обеспечения
Средства реализации: Правила, регулирующие установку программного обеспечения пользователями, должны быть разработаны и внедрены.

A.9.1.2

A.9.1.2 Доступ к сетям и сетевым службам
Средства реализации: Пользователи должны получать доступ только к тем сетям и сетевым службам, для которых у них есть авторизация.

The 20 CIS Controls Resources:

CSC 5.1

CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.

CSC 18.11

CSC 18.11 Use Standard Hardening Configuration Templates for Databases
For applications that rely on a database, use standard hardening configuration templates. All systems that are part of critical business processes should also be tested.

CSC 7.2

CSC 7.2 Disable Unnecessary or Unauthorized Browser or Email Client Plugins
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.

CSC 7.3

CSC 7.3 Limit Use of Scripting Languages in Web Browsers and Email Clients
Ensure that only authorized scripting languages are able to run in all web browsers and email clients.

CSC 5.2

CSC 5.2 Maintain Secure Images
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.

CSC 9.2

CSC 9.2 Ensure Only Approved Ports, Protocols, and Services Are Running
Ensure that only network ports, protocols, and services listening on a system with validated business needs are running on each system.

CSC 15.4

CSC 15.4 Disable Wireless Access on Devices if Not Required
Disable wireless access on devices that do not have a business purpose for wireless access.

CSC 7.1

CSC 7.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.

CSC 15.5

CSC 15.5 Limit Wireless Access on Client Devices
Configure wireless access on client machines that do have an essential wireless business purpose, to allow access only to authorized wireless networks and to restrict access to other wireless networks.

CSC 4.7

CSC 4.7 Limit Access to Script Tools
Limit access to scripting tools (such as Microsoft® PowerShell and Python) to only administrative or development users with the need to access those capabilities.

CSC 13.4

CSC 13.4 Only Allow Access to Authorized Cloud Storage or Email Providers
Only allow access to authorized cloud storage or email providers.

NIST Cybersecurity Framework:

PR.IP-1

PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)

PR.PT-3

PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities

Связанные риски

Риск	Угроза	Уязвимость	Тип актива	Связи
Несанкционированный доступ к IP телефону из локальной сети из-за наличия технических (программных) уязвимостей в IP телефоне НСД	Несанкционированный доступ к IP телефону из локальной сети НСД	Наличие технических (программных) уязвимостей	IP телефон	2
Несанкционированный доступ к IP телефону из локальной сети из-за возможности подбора пароля путем перебора (bruteforce) в IP телефоне НСД	Несанкционированный доступ к IP телефону из локальной сети НСД	Возможность подбора пароля путем перебора (bruteforce)	IP телефон	2
Несанкционированный доступ к IP телефону из локальной сети из-за использования протокола Telnet в IP телефоне НСД	Несанкционированный доступ к IP телефону из локальной сети НСД	Использование протокола Telnet	IP телефон	2