Cis critical security controls. контроль 3 безопасная конфигурация устройств

Безопасная конфигурация программного и
аппаратного обеспечения мобильных
устройств, рабочих станций и серверов
Красноярск, 2015 г.
Хеирхабаров Теймур Самедович
специалист по защите информации
admin@kb-61.com

Категории уязвимостей информационных систем
Категорииуязвимостей
Уязвимости
проектирования
реализации
конфигурации

Безопасная конфигурация
Hardening
Конфигурации «по умолчанию», с которым поставляются
оборудование, операционные системы и приложения обеспечивают
простое и быстрое внедрение новых систем/сервисов, однако в
большинстве случаев небезопасны.
Базовые настройки, большое количество не нужных сетевых сервисов,
служб, пароли «по умолчанию», предустановленное, но не
планируемое к использованию ПО – всё это активно используется
злоумышленниками для компрометации систем.
Рассматриваемый контроль предполагает создание
стандартизированных безопасных конфигураций (baseline) для
различных компонентов ИТ-инфраструктуры и поддержание их в
актуальном состоянии с помощью процессов управления
конфигурациями и изменениями.
Все новые сервера, рабочие станции и мобильные устройства ещё на
этапе подготовки и ввода в эксплуатацию приводятся в соответствие
стандартизированным конфигурациям. В ходе эксплуатации
производится периодический анализ в целях выявления отклонений от
стандартизированных конфигураций и последующего их устранения.

Зачем это нужно?
Требование регулятора. Приказ ФСТЭК № 21 от 18.02.2013

Требование регулятора. Приказ ФСТЭК № 31 от 14.03.2014

Позиция Gartner
Gartner, “How To Design a Server Protection Strategy.” December, 2011
Gartner считает
это мерой № 1
в обеспечении
безопасности
серверов

Позиция SANS
SANS (теперь уже Center for Internet Security) считает
управление безопасными конфигурациями 3-ей по значимости
мерой.

Позиция Агентства Национальной безопасности США
Агентство Национальной
Безопасности США считают
управление безопасными
конфигурациями 7-ой по
значимости мерой.

Раз это нужно, то почему мало кто этим занимается?
Статистика
http://www.ptsecurity.ru/download/PT_Corporate_vulnerability_2015_rus.pdf
В исследование включены
корпоративные системы 18 крупных
российских и зарубежных компаний.
В 2014 г. лишь 6 % систем не
содержало уязвимостей средней и
высокой степеней риска, связанных с
недостатками конфигурации.

Количество возможных параметров групповой политики
Windows
Group Policy Settings Reference for Windows and Windows Server
https://www.microsoft.com/en-us/download/details.aspx?id=25250

The CIS Critical Security Controls for Effective Cyber Defense.
CSC 3: Secure Configuration for Hardware and Software
3.1 Необходимо разработать стандартизированные безопасные
конфигурации операционных систем и приложений и реализовать их в
виде эталонных образов для каждого из типов систем, используемых в
организации. Эталонные образы должны основываться на усиленных
(hardened) версиях базовых ОС и приложений. Образу должны на
регулярной основе обновляться с учётом появления новых уязвимостей
и векторов атак.
3.2 Подготовку новых систем необходимо осуществлять из эталонных
образов. В случае компрометации работающих систем они должны
также восстанавливаться из этих образов. Периодические обновления
эталонных образов должны быть интегрированы в процесс управления
изменениями в организации. Образы должны быть созданы для
рабочих станций, серверов и других типов систем, используемых в
организации.
3.3 Эталонные образы должны хранится в безопасном месте и
подвергаться периодическому контролю целостности и выявлению
несанкционированных изменений. В отдельных случаях образы могут
храниться в offline хранилищах, неподключенных к сети организации.

Что включает в себя понятие «безопасная конфигурация».
NIST SP800-123 «Guide to General Server Security»
 Удаление (отключение) ненужных служб, приложений и сетевых
протоколов, а также компонентов приложений.
 Изменение паролей «по умолчанию».
 Отключение/удаление неиспользуемых учётных записей и групп.
 Реализация принципа минимизации привилегий для учётных записей
пользователей, служб и приложений.
 Настройка парольной политики ОС и приложений: минимальная
длина, минимальный/максимальный сроки действия, сложность
(требования к используемому алфавиту), хранение в виде хэшей,
хранение истории паролей (ограничение повторного использования
паролей), механизмы защиты от перебора (CAPTCHA, блокировки
после нескольких неудачных попыток аутентификации).
 Настройка аудита событий ОС и приложений, реализующих функции
информационных систем. Настройка синхронизации времени из
единого источника.
 Установка набора стандартных средств защиты (AV/FW/HIPS/СЗИ от
НСД/агент DLP и т.д.).

Что включает в себя понятие «безопасная конфигурация».
NIST SP800-123 «Guide to General Server Security»
 Установка всех доступных обновлений ОС и приложений.
 Выполнение первичного сканирования на уязвимости и устранение
всех выявленных уязвимостей.
 Удаление документации, оставленной на сервере разработчиками,
производителями, специалистами интегратора (для серверов).
 Удаление тестовых файлов/скриптов/конфигурационных файлов,
оставленных после пусконаладочных работ (для серверов).
 Удаление компиляторов (для серверов).
 Изменение стандартных баннеров сетевых служб (для серверов).
 Использование везде, где это возможно безопасных версий
протоколов доступа клиента к серверу (HTTPS, SMTPS и т.д.).
 Ограничение использования аппаратных ресурсов процессами
сетевых служб, установка квот дискового пространства (для
серверов).
 Настройка специфичных параметров безопасности ОС и
приложений (сервера и рабочие станции).

Где взять готовые стандарты по безопасной настройке?
Руководства от вендоров

Microsoft Security Compliance Manager
https://technet.microsoft.com/ru-ru/library/cc677002.aspx

Center for Internet Security Benchmarks
https://benchmarks.cisecurity.org/downloads/multiform/index.cfm
Организация CIS разрабатывает стандарты по безопасной настройке
для большого количества широко используемых ОС, ПО и
оборудования. В настоящей момент к бесплатной загрузке доступно
111 стандартов.

Управление информационных систем Министерства обороны США
http://iase.disa.mil/stigs/Pages/a-z.aspx
На ресурсе к загрузке доступно 529 руководств (STIGs) для огромного
спектра систем. Руководства представлены в формате XCDF.

Руководства Агентства Национальной Безопасности США
https://www.nsa.gov/ia/mitigation_guidance/security_configuration_guide
s/index.shtml
Представлены руководства для используемых в данном ведомстве
систем.

Руководства по безопасной настройке сертифицированных ФСТЭК
версий ПО Microsoft
http://www.altx-soft.ru/groups/page-23.htm

Инструменты для создание образов и
развёртывание из них систем
Безопасные конфигурации должны быть реализованы в виде образов,
с которых в последующем должно осуществляться развёртывание всех
новых систем. Возможные инструменты для этой задачи:
• System Center Configuration Manager;
• Windows Automated Installation Kit;
• Acronis (Snap Deploy, True Image, Backup);
• Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ;
• Cobbler для Linux систем;
• Если используем виртуализацию, то для создание эталонных
образов может использоваться функция шаблонов виртуальных
машин.

Пример реализации инфраструктуры для снятия и
хранения образов
1) Подготовка WinPE + klrwrap, klpexut, klosprep и доставка на ВМ.
2) klriwrap регистрируется на ВМ в качестве службы, которая запускает
klpexut. klpexut соединяется с сервером KSC, модифицирует загрузчик ВМ
для последующей загрузки в WinPE, запускает sysprep.exe. После
выполняет перезагрузку ВМ.
3) ВМ, загрузившись в WinPE, соединяется с сервером KSC и получает путь и
права к папке для промежуточного хранения образа.
4) ImageX из WinPE захватывает образ с ВМ. По завершению образ
копируется на сервер KSC и регистрируется в качестве инст. пакета.

Пример реализации процедуры подготовки новых
рабочих станций с учётом требований безопасности
 На всех Access-портах сегмента пользовательских устройств КСПД
включена аутентификация 802.1x по сертификатам (если ОС
устройства содержит Suplicant, умеющий это) или MAB (если ОС
устройства не содержит Supplicant или встроенный Supplicant не
понимает сертификатов). Без сертификата компьютер не попадёт в
продакшн. Сертификаты выдаёт подразделение ИБ после проверки.
 Подготовка устройств осуществляется сотрудниками отдела ИТ. На
момент подготовки компьютер включен в специальный сетевой
сегмент, в котором нет аутентификации.
 В этом сегменте есть DHCP и PXE. «Голый» компьютер загружается
по сети с PXE сервера. Загрузившись, регистрируется на Kaspersky
Security Center (с помощью klpxeut) и переходит в режим ожидания.
 В консоли управления Kaspersky для зарегистрированного ПК
создаётся задание на развёртывание ОС из образа: выбирается
образ, задаются дополнительные параметры (имя, домен, сетевые
настройки, скрипты для запуска после установки и т.п.), выбираются
дополнительные инсталляционные пакеты.
 На основании заданного задание на подготавливаемом ПК
начинается процедура развёртывания ОС из образа.

Развёртывание ОС из образа с помощью PXE-сервера и
Kaspersky Security Center

Cis critical security controls. контроль 3 безопасная конфигурация устройств

Пример реализации процедуры подготовки ПК. Регистрация
актива типа «Рабочая станция» в CMDB на базе Request Tracker

Пример реализации процедуры подготовки ПК.
Автоматическая регистрация заявки на ввод в эксплуатацию ПК
После развёртывания ОС учётная запись соответствующего
компьютера перемещается ИТ в необходимую OU Active Directory.
На OU действует групповая политика, включающая автоматический
запрос на сертификат компьютера. В результате ПК генерирует запрос
на сертификат.
Запрос уходит на CA, который в свою очередь генерирует письмо,
уходящие на специальный почтовый ящик Request Tracker.
В Request Tracker на основании этого письма регистрируется заявка на
ввод в эксплуатацию ПК. О заявке уведомляются специалист ИБ,
сетевой администратор, инженер, ответственный за подготовку ПК.

Пример реализации процедуры подготовки новых
серверов с учётом требований безопасности
 Перед началом подготовки сервера администратор, который будет
этим заниматься, должен завести в Request Tracker соответствующий
актив, а также заявку на ввод в эксплуатацию сервера.
 По факту регистрации заявки уведомляются специалист ИБ и
сетевой администратор.
 Специалист ИБ выясняет что это за сервер, инициирует процедуру
определения уровня критичности, при необходимости создаёт
заявки для администратора, подготавливающего сервер, на
установку дополнительных средств защиты и настроек (если они не
были учтены в эталонном образе).
 Администратора сети выдаёт IP адреса, актуализирует информацию
в своей БД сетевых подключений, создаёт необходимые правила на
межсетевом экране.
 Сервер разворачивается из шаблона виртуальной машины
(используется виртуализация серверов).
 На момент подготовки сервер включен в сетевой сегмент для
тестовой среды.

CSC 3: Secure Configuration for Hardware and Software 3.4
3.4 Удалённое администрирование любых систем должно
осуществляться только через безопасные протоколы, обеспечивающие
криптографическую защиту передаваемой информации.
Говоря об этом контроле, хотелось бы упомянуть про отдельный класс
средств ИБ – «Системы контроля привилегированных пользователей».
Они позволяют:
• записывать все сессии удалённого администрирования (протоколы
SSH, RDP, VNC и др.);
• управлять паролями привилегированных УЗ – администраторы знают
логин и пароль только от интерфейса системы контроля, в котором
они уже выбирают куда идти и по какому протоколу, не вводя
пароля в системе назначения (пароль и логин отдаёт системе
назначения сама система контроля);
• создавать триггеры на потенциально опасные действия. При их
наступлении обрывать соответствующие сессии администрирования
или уведомлять определённых лиц;
• реализовать доступ администраторов к определённым серверам
только после одобрения запроса ответственным лицом.

CSC 3: Secure Configuration for Hardware and Software 3.4.
Системы контроля привилегированных пользователей
Примеры систем контроля привилегированных пользователей:

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
3.5 Необходимо использовать инструменты контроля целостности для
того чтобы быть уверенным в неизменности критичных файлов
(включая исполняемые файлы, библиотеки и конфигурации
конфиденциальных систем и приложений). Обо всех изменениях в
таких файлах должен автоматически оповещаться персонал
безопасности. Система передачи информации об изменениях должна
иметь способность вычислять обычные и ожидаемые изменения,
выделяя необычные и непредвиденные события.
3.6 Необходимо использовать автоматизированные системы
мониторинга, позволяющие выявлять отклонения от
стандартизированных безопасных конфигураций, а также
несанкционированные изменения.

Для реализации контролей 3.5-3.6 можно использовать скрипты, а
также различные системы контроля соответствия требованиям,
которые часто объединены с системами анализ защищённости.
Возможные инструменты:
• Positive Technologies MaxPatrol (модуль Compliance);
• АЛТЭКС-СОФТ RedCheck;
• АЛТЭКС-СОФТ NetCheck;
• Nessus;
• Qualys (модуль Policy Compliance);
• System Center Configuration Manager;
• VMware vCenter Configuration Manager;
• Git – отличное решение для контроля изменений тестовых
конфигурационных файлов.

Примеры инструментов. Positive Technologies MaxPatrol
Соответствие просканированных узлов стандартам

Просмотр информации по несоответствию требованиям

Формирование собственного стандарта

Формирование собственного стандарта. Использование
универсальных проверок

Контроль целостности файлов

Примеры инструментов. Microsoft Security Compliance Manager
С помощью консольной утилиты «LocalGPO» из состава Microsoft SCM
делаем резервную копию групповой политики компьютера (можно
удалённого если, например, использовать утилиту совместно с
psexec).

Импортируем созданную с помощью LocalGPO копию ГП в SCM.

Выбираем в дереве Baseline-ов импортированную политику и жмём
«Compare/Merge».

Выбираем Baseline, с
которым будем сравнивать.

Получаем отчёт.

Примеры инструментов. VMware Compliance Checker
Вводим адрес Vcenter или ESXi хоста, а также данные учётной записи.

Примеры инструментов. VMware Compliance Checker
Получаем отчёт о соответствии VMware Hardening Guide.

Примеры инструментов. Microsoft Baseline Security Analyzer
Вводим адрес проверяемого хоста и выбираем типы проверок.

Примеры инструментов. Microsoft Baseline Security Analyzer
Получаем отчёт.

Примеры инструментов. Lynis
Запуск Lynis для проверки *nix систем.

Примеры инструментов. Lynis
Фрагмент
отчёта Lynis.

CSC 3: Secure Configuration for Hardware and Software 3.7
3.7 Для централизованного управления конфигурациями должны
использоваться специальные инструменты, позволяющие из единой
точки управлять конфигурациями и развёртывать их на большое
количество систем, а также выполнять откат к базовым конфигурациям
либо по расписанию, либо на основании триггеров.

Метрики для контроля 3
№ Метрика Низкий
риск
Средни
й риск
Высоки
й риск
3.1 Процент систем, несоответствующих стандартам
безопасной конфигурации
< 1 % 1% - 4% 5%-10%
3.2 Процент систем, конфигурация безопасности
которых не управляется корпоративной системой
управления конфигурациями
< 1 % 1% - 4% 5%-10%
3.3 Процент систем с неустановленными
обновлениями ОС
< 1 % 1% - 4% 5%-10%
3.4 Процент систем с неустановленными
обновлениями ПО
< 1 % 1% - 4% 5%-10%
3.5 Количество несанкционированных изменений,
заблокированных за последнее время
корпоративной системой управления
конфигурациями
3.6 Время, необходимое на обнаружение изменений
в системе
60
минут
1 день 1
неделя
3.7 Время, необходимое на откат
несанкционированных изменений
60
минут
1 день 1
неделя

Спасибо за внимание!
Вопросы?

Cis critical security controls. контроль 3 безопасная конфигурация устройств

Related slideshows

More Related Content

Cis critical security controls. контроль 3 безопасная конфигурация устройств

Editor's Notes