Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

SWIFT Customer Security Controls Framework v2022

Framework

2 - 2.10 Application Hardening

Для проведения оценки соответствия по документу войдите в систему.
2.10 Application Hardening
Обязательно для типа архитектуры A1 A2 A3
Область требования: Коннектор SWIFT | Коммуникационный интерфейс SWIFT | Соединение SWIFTNet | Интерфейс обмена сообщениями SWIFT | Графический пользовательский интерфейс SWIFT
Control Definition 

Control Objective: Reduce the attack surface of SWIFT-related components by performing application hardening on the SWIFT-compatible messaging and communication interfaces, the SWIFT connector and related applications. 

In-scope components: 
  • messaging interface 
  • communication interface 
  • GUI 
  • SWIFTNet Link 
  • SWIFT connector 
Risk Drivers: 
  • excess attack surface 
  • exploitation of insecure application configuration 
Implementation Guidance 

Control Statement: 
All messaging interfaces and communication interfaces products within the SWIFT secure zone are SWIFT compatible. Application security hardening is conducted and maintained on all in-scope components. 

Control Context: 
Application hardening applies the security concept of “least privilege” to an application by disabling features and services that are not required for normal operations. This process reduces the application capabilities, features, and protocols that may be used during an attack. The process also makes sure that potential default credentials 
are changed. 
In addition, SWIFT runs a Compatible Interface Programme to make sure interfaces are aligned with current practices and to give the customer additional assurance, guarantees, and better visibility regarding individual product capabilities. Upon the successful validation of the test results by the SWIFT Test Authority, the interface 
is published in the Compatible Register. As per the SWIFT General Terms and Conditions, customers must use a SWIFT-compatible interface. 

Implementation Guidelines: 
The implementation guidelines are common methods to apply the relevant control. The guidelines are a helpful way to begin an assessment, but should never be considered as an "audit checklist" as each user’s implementation may vary. Therefore, in cases where some implementation guidelines elements are not present or partially covered, mitigations as well as particular environment specificities must be considered to properly assess the overall compliance adherence level (as per the suggested guidelines 
or as per the alternatives). 
  • Make sure the messaging and communication interfaces are SWIFT-compatible (the list of compatible interfaces is published in the Compatible Register on www.swift.com). 
    • The SWIFT-compatible interface should meet all the security conformance requirements (mandatory and advisory) defined in the SWIFT Compatible Interface Programme. 
      • If some security conformance requirements are yet to be met, then the user should upgrade to a SWIFT-compatible interface by implementing at least the minimum mandatory security conformance requirements. 
      • The interface provider should be contacted in case of doubts regarding the availability of some security functionalities or their proper configuration and usage.
  • • All in-scope applications are hardened considering one or more of the following: 
    • vendor security, operational or configuration guidance (such as the Alliance Security Guidance) 
    • a local or a regulator's standard security configuration, or controls set of the same rigour as the vendor guidance 
  • • At a minimum, the application hardening process should do the following: 
    • Change default existing passwords. 
    • Disable or remove unnecessary user accounts. 
    • Disable or restrict unnecessary components, adaptors, or connectivity methods. 
    • Securely configure the adapters, connectivity methods, or remote connections. 
    • Remove unnecessary packages. 
    • Adjust any default configurations known to be vulnerable. 
  • Deviations from the selected hardening configuration (that is, a set of rules) are documented along with the justification for the deviation. 

Optional Enhancements: 
Additional applications installed on the systems that host in-scope components and handle SWIFT-related data are also subject to considered application hardening as per the vendor recommendations.

Похожие требования

NIST Cybersecurity Framework (RU):
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УКФ.2 УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.1.1
A.14.1.1 Анализ и спецификация требований информационной безопасности 
Мера обеспечения информационной безопасности: Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем 
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УКФ.0 УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы
УКФ.2 УКФ.2 Управление изменениями
NIST Cybersecurity Framework (EN):
PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УКФ.0 УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы
УКФ.2 УКФ.2 Управление изменениями

Связанные защитные меры

Название Дата Влияние
Community
18 10 / 69
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022
16.05.2022 18 10 / 69
Цель: сокращение поверхности атаки.
Часть общего процесса управления безопасностью конфигураций (Hardening).

Общий алгоритм:
  1. Определить, задокументировать требования к безопасности конфигурации.
  2. Применить безопасную конфигурацию на существующих хостах.
  3. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
  4. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
Источником для формирования требований к безопасности конфигурации служат:
Документирование требований осуществляется в зависимости от принятых подходов в организации.
Вариант реализации: описать требования в карточке защитной меры. Пример документа

Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.

Минимальные требования к безопасной конфигурации:
  • Изменить пароли по умолчанию.
  • Настроить SSH 
  • Настроить сложность паролей
  • Настроить смену (жизненный цикл) паролей 
  • Настроить политику аутентификации
  • Отключить или удалить ненужные учетные записи пользователей
  • Отключить или ограничить ненужные службы, порты и протоколы
  • Удалить ненужное программное обеспечение
  • При необходимости ограничить физические порты
  • Настроить баннеры при входе
В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены:
  • Подключение хоста к корпоративной системе мониторинга
  • Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) 
  • Конфигурация NTP и часового пояса
Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible).

Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.

Показателем эффективности процесса может являться: 
- общий процент соответствия требованиям (суммарно по всем хостам), 
- процент хостов, соответствующих требованиям.

Рекомендации к заполнению карточки:
  • Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
  • Описать принятый в компании перечень требований к безопасности конфигурации.
  • Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
  • Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент 
  • Добавить шаблон регулярной задачи по проверке конфигураций.
  • Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community
3 3 / 33
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021
29.07.2021 3 3 / 33
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.

Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Инструкция к регулярной задаче
  1. Найти в локальной сети все IP телефоны
    Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
  2. Проверить текущие настройки и версию прошивки.
  3. Если требуется - провести настройку в соответствии с установленными требованиями
Рекомендации к заполнению карточки:
  • Описать требования к безопасной конфигурации
  • Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа
  • Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;