cis critical security controls. контроль 3 безопасная конфигурация...

Безопасная конфигурация программного и аппаратного обеспечения мобильных

устройств, рабочих станций и серверов

Красноярск, 2015 г.

Хеирхабаров Теймур Самедовичспециалист по защите информации

admin@kb-61.com

Категории уязвимостей информационных систем

Кате

гори

и уя

звим

осте

йУязвимости

проектирования

Уязвимости реализации

Уязвимости конфигурации

Безопасная конфигурацияHardening

Конфигурации «по умолчанию», с которым поставляются оборудование, операционные системы и приложения обеспечивают простое и быстрое внедрение новых систем/сервисов, однако в большинстве случаев небезопасны.Базовые настройки, большое количество не нужных сетевых сервисов, служб, пароли «по умолчанию», предустановленное, но не планируемое к использованию ПО – всё это активно используется злоумышленниками для компрометации систем.Рассматриваемый контроль предполагает создание стандартизированных безопасных конфигураций (baseline) для различных компонентов ИТ-инфраструктуры и поддержание их в актуальном состоянии с помощью процессов управления конфигурациями и изменениями.Все новые сервера, рабочие станции и мобильные устройства ещё на этапе подготовки и ввода в эксплуатацию приводятся в соответствие стандартизированным конфигурациям. В ходе эксплуатации производится периодический анализ в целях выявления отклонений от стандартизированных конфигураций и последующего их устранения.

Зачем это нужно?Требование регулятора. Приказ ФСТЭК № 21 от 18.02.2013

Зачем это нужно?Требование регулятора. Приказ ФСТЭК № 31 от 14.03.2014

Зачем это нужно?Позиция Gartner

Gartner, “How To Design a Server Protection Strategy.” December, 2011

Gartner считает это мерой № 1в обеспечении безопасности серверов

Зачем это нужно?Позиция SANS

SANS (теперь уже Center for Internet Security) считает управление безопасными конфигурациями 3-ей по значимости мерой.

Зачем это нужно?Позиция Агентства Национальной безопасности США

Агентство Национальной Безопасности США считают управление безопасными конфигурациями 7-ой по значимости мерой.

Раз это нужно, то почему мало кто этим занимается?Статистика

http://www.ptsecurity.ru/download/PT_Corporate_vulnerability_2015_rus.pdf

В исследование включены корпоративные системы 18 крупных российских и зарубежных компаний.В 2014 г. лишь 6 % систем не содержало уязвимостей средней и высокой степеней риска, связанных с недостатками конфигурации.

Количество возможных параметров групповой политикиWindows

Group Policy Settings Reference for Windows and Windows Serverhttps://www.microsoft.com/en-us/download/details.aspx?id=25250

The CIS Critical Security Controls for Effective Cyber Defense.CSC 3: Secure Configuration for Hardware and Software

3.1 Необходимо разработать стандартизированные безопасные конфигурации операционных систем и приложений и реализовать их в виде эталонных образов для каждого из типов систем, используемых в организации. Эталонные образы должны основываться на усиленных (hardened) версиях базовых ОС и приложений. Образу должны на регулярной основе обновляться с учётом появления новых уязвимостей и векторов атак.3.2 Подготовку новых систем необходимо осуществлять из эталонных образов. В случае компрометации работающих систем они должны также восстанавливаться из этих образов. Периодические обновления эталонных образов должны быть интегрированы в процесс управления изменениями в организации. Образы должны быть созданы для рабочих станций, серверов и других типов систем, используемых в организации.3.3 Эталонные образы должны хранится в безопасном месте и подвергаться периодическому контролю целостности и выявлению несанкционированных изменений. В отдельных случаях образы могут храниться в offline хранилищах, неподключенных к сети организации.

Что включает в себя понятие «безопасная конфигурация».NIST SP800-123 «Guide to General Server Security»

Удаление (отключение) ненужных служб, приложений и сетевых протоколов, а также компонентов приложений.

Изменение паролей «по умолчанию». Отключение/удаление неиспользуемых учётных записей и групп. Реализация принципа минимизации привилегий для учётных

записей пользователей, служб и приложений. Настройка парольной политики ОС и приложений: минимальная

длина, минимальный/максимальный сроки действия, сложность (требования к используемому алфавиту), хранение в виде хэшей, хранение истории паролей (ограничение повторного использования паролей), механизмы защиты от перебора (CAPTCHA, блокировки после нескольких неудачных попыток аутентификации).

Настройка аудита событий ОС и приложений, реализующих функции информационных систем. Настройка синхронизации времени из единого источника.

Установка набора стандартных средств защиты (AV/FW/HIPS/СЗИ от НСД/агент DLP и т.д.).

Что включает в себя понятие «безопасная конфигурация».NIST SP800-123 «Guide to General Server Security»

Установка всех доступных обновлений ОС и приложений. Выполнение первичного сканирования на уязвимости и устранение

всех выявленных уязвимостей. Удаление документации, оставленной на сервере разработчиками,

производителями, специалистами интегратора (для серверов). Удаление тестовых файлов/скриптов/конфигурационных файлов,

оставленных после пусконаладочных работ (для серверов). Удаление компиляторов (для серверов). Изменение стандартных баннеров сетевых служб (для серверов). Использование везде, где это возможно безопасных версий

протоколов доступа клиента к серверу (HTTPS, SMTPS и т.д.). Ограничение использования аппаратных ресурсов процессами

сетевых служб, установка квот дискового пространства (для серверов).

Настройка специфичных параметров безопасности ОС и приложений (сервера и рабочие станции).

Где взять готовые стандарты по безопасной настройке?Руководства от вендоров

Где взять готовые стандарты по безопасной настройке?Microsoft Security Compliance Manager

https://technet.microsoft.com/ru-ru/library/cc677002.aspx

Где взять готовые стандарты по безопасной настройке?Center for Internet Security Benchmarks

https://benchmarks.cisecurity.org/downloads/multiform/index.cfmОрганизация CIS разрабатывает стандарты по безопасной настройке для большого количества широко используемых ОС, ПО и оборудования. В настоящей момент к бесплатной загрузке доступно 111 стандартов.

Где взять готовые стандарты по безопасной настройке?Управление информационных систем Министерства обороны США

http://iase.disa.mil/stigs/Pages/a-z.aspxНа ресурсе к загрузке доступно 529 руководств (STIGs) для огромного спектра систем. Руководства представлены в формате XCDF.

Где взять готовые стандарты по безопасной настройке?Руководства Агентства Национальной Безопасности США

https://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/index.shtmlПредставлены руководства для используемых в данном ведомстве систем.

Где взять готовые стандарты по безопасной настройке?Руководства по безопасной настройке сертифицированных ФСТЭК

версий ПО Microsofthttp://www.altx-soft.ru/groups/page-23.htm

Инструменты для создание образов и развёртывание из них систем

Безопасные конфигурации должны быть реализованы в виде образов, с которых в последующем должно осуществляться развёртывание всех новых систем. Возможные инструменты для этой задачи:• System Center Configuration Manager;• Windows Automated Installation Kit;• Acronis (Snap Deploy, True Image, Backup);• Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ;• Cobbler для Linux систем;• Если используем виртуализацию, то для создание эталонных

образов может использоваться функция шаблонов виртуальных машин.

Пример реализации инфраструктуры для снятия ихранения образов

1) Подготовка WinPE + klrwrap, klpexut, klosprep и доставка на ВМ.2) klriwrap регистрируется на ВМ в качестве службы, которая запускает

klpexut. klpexut соединяется с сервером KSC, модифицирует загрузчик ВМ для последующей загрузки в WinPE, запускает sysprep.exe. После выполняет перезагрузку ВМ.

3) ВМ, загрузившись в WinPE, соединяется с сервером KSC и получает путь и права к папке для промежуточного хранения образа.

4) ImageX из WinPE захватывает образ с ВМ. По завершению образ копируется на сервер KSC и регистрируется в качестве инст. пакета.

Пример реализации процедуры подготовки новыхрабочих станций с учётом требований безопасности

На всех Access-портах сегмента пользовательских устройств КСПД включена аутентификация 802.1x по сертификатам (если ОС устройства содержит Suplicant, умеющий это) или MAB (если ОС устройства не содержит Supplicant или встроенный Supplicant не понимает сертификатов). Без сертификата компьютер не попадёт в продакшн. Сертификаты выдаёт подразделение ИБ после проверки.

Подготовка устройств осуществляется сотрудниками отдела ИТ. На момент подготовки компьютер включен в специальный сетевой сегмент, в котором нет аутентификации.

В этом сегменте есть DHCP и PXE. «Голый» компьютер загружается по сети с PXE сервера. Загрузившись, регистрируется на Kaspersky Security Center (с помощью klpxeut) и переходит в режим ожидания.

В консоли управления Kaspersky для зарегистрированного ПК создаётся задание на развёртывание ОС из образа: выбирается образ, задаются дополнительные параметры (имя, домен, сетевые настройки, скрипты для запуска после установки и т.п.), выбираются дополнительные инсталляционные пакеты.

На основании заданного задание на подготавливаемом ПК начинается процедура развёртывания ОС из образа.

Развёртывание ОС из образа с помощью PXE-сервера и Kaspersky Security Center

Пример реализации процедуры подготовки ПК. Регистрацияактива типа «Рабочая станция» в CMDB на базе Request Tracker

Пример реализации процедуры подготовки ПК.Автоматическая регистрация заявки на ввод в эксплуатацию ПК

После развёртывания ОС учётная запись соответствующего компьютера перемещается ИТ в необходимую OU Active Directory.На OU действует групповая политика, включающая автоматический запрос на сертификат компьютера. В результате ПК генерирует запрос на сертификат.Запрос уходит на CA, который в свою очередь генерирует письмо, уходящие на специальный почтовый ящик Request Tracker.В Request Tracker на основании этого письма регистрируется заявка на ввод в эксплуатацию ПК. О заявке уведомляются специалист ИБ, сетевой администратор, инженер, ответственный за подготовку ПК.

Пример реализации процедуры подготовки новыхсерверов с учётом требований безопасности

Перед началом подготовки сервера администратор, который будет этим заниматься, должен завести в Request Tracker соответствующий актив, а также заявку на ввод в эксплуатацию сервера.

По факту регистрации заявки уведомляются специалист ИБ и сетевой администратор.

Специалист ИБ выясняет что это за сервер, инициирует процедуру определения уровня критичности, при необходимости создаёт заявки для администратора, подготавливающего сервер, на установку дополнительных средств защиты и настроек (если они не были учтены в эталонном образе).

Администратора сети выдаёт IP адреса, актуализирует информацию в своей БД сетевых подключений, создаёт необходимые правила на межсетевом экране.

Сервер разворачивается из шаблона виртуальной машины (используется виртуализация серверов).

На момент подготовки сервер включен в сетевой сегмент для тестовой среды.

The CIS Critical Security Controls for Effective Cyber Defense.CSC 3: Secure Configuration for Hardware and Software 3.4

3.4 Удалённое администрирование любых систем должно осуществляться только через безопасные протоколы, обеспечивающие криптографическую защиту передаваемой информации.

Говоря об этом контроле, хотелось бы упомянуть про отдельный класс средств ИБ – «Системы контроля привилегированных пользователей». Они позволяют:• записывать все сессии удалённого администрирования (протоколы

SSH, RDP, VNC и др.);• управлять паролями привилегированных УЗ – администраторы

знают логин и пароль только от интерфейса системы контроля, в котором они уже выбирают куда идти и по какому протоколу, не вводя пароля в системе назначения (пароль и логин отдаёт системе назначения сама система контроля);

• создавать триггеры на потенциально опасные действия. При их наступлении обрывать соответствующие сессии администрирования или уведомлять определённых лиц;

• реализовать доступ администраторов к определённым серверам только после одобрения запроса ответственным лицом.

CSC 3: Secure Configuration for Hardware and Software 3.4.Системы контроля привилегированных пользователей

Примеры систем контроля привилегированных пользователей:

The CIS Critical Security Controls for Effective Cyber Defense.CSC 3: Secure Configuration for Hardware and Software 3.5-3.6

3.5 Необходимо использовать инструменты контроля целостности для того чтобы быть уверенным в неизменности критичных файлов (включая исполняемые файлы, библиотеки и конфигурации конфиденциальных систем и приложений). Обо всех изменениях в таких файлах должен автоматически оповещаться персонал безопасности. Система передачи информации об изменениях должна иметь способность вычислять обычные и ожидаемые изменения, выделяя необычные и непредвиденные события.3.6 Необходимо использовать автоматизированные системы мониторинга, позволяющие выявлять отклонения от стандартизированных безопасных конфигураций, а также несанкционированные изменения.

The CIS Critical Security Controls for Effective Cyber Defense.CSC 3: Secure Configuration for Hardware and Software 3.5-3.6

Для реализации контролей 3.5-3.6 можно использовать скрипты, а также различные системы контроля соответствия требованиям, которые часто объединены с системами анализ защищённости. Возможные инструменты:• Positive Technologies MaxPatrol (модуль Compliance);• АЛТЭКС-СОФТ RedCheck;• АЛТЭКС-СОФТ NetCheck;• Nessus;• Qualys (модуль Policy Compliance);• System Center Configuration Manager;• VMware vCenter Configuration Manager; • Git – отличное решение для контроля изменений тестовых

конфигурационных файлов.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Positive Technologies MaxPatrol

Соответствие просканированных узлов стандартам

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Positive Technologies MaxPatrol

Просмотр информации по несоответствию требованиям

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Positive Technologies MaxPatrol

Формирование собственного стандарта

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Positive Technologies MaxPatrol

Формирование собственного стандарта. Использование универсальных проверок

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Positive Technologies MaxPatrol

Контроль целостности файлов

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Positive Technologies MaxPatrol

Контроль целостности файлов

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Microsoft Security Compliance Manager

С помощью консольной утилиты «LocalGPO» из состава Microsoft SCM делаем резервную копию групповой политики компьютера (можно удалённого если, например, использовать утилиту совместно с psexec).

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Microsoft Security Compliance Manager

Импортируем созданную с помощью LocalGPO копию ГП в SCM.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Microsoft Security Compliance Manager

Выбираем в дереве Baseline-ов импортированную политику и жмём «Compare/Merge».

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Microsoft Security Compliance Manager

Выбираем Baseline, с которым будем сравнивать.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Microsoft Security Compliance Manager

Получаем отчёт.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. VMware Compliance Checker

Вводим адрес Vcenter или ESXi хоста, а также данные учётной записи.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. VMware Compliance Checker

Получаем отчёт о соответствии VMware Hardening Guide.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Microsoft Baseline Security Analyzer

Вводим адрес проверяемого хоста и выбираем типы проверок.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Microsoft Baseline Security Analyzer

Получаем отчёт.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Lynis

Запуск Lynis для проверки *nix систем.

CSC 3: Secure Configuration for Hardware and Software 3.5-3.6Примеры инструментов. Lynis

Фрагмент отчёта Lynis.

The CIS Critical Security Controls for Effective Cyber Defense.CSC 3: Secure Configuration for Hardware and Software 3.7

3.7 Для централизованного управления конфигурациями должны использоваться специальные инструменты, позволяющие из единой точки управлять конфигурациями и развёртывать их на большое количество систем, а также выполнять откат к базовым конфигурациям либо по расписанию, либо на основании триггеров.

The CIS Critical Security Controls for Effective Cyber Defense.Метрики для контроля 3

№ Метрика Низкий риск

Средний риск

Высокий риск

3.1 Процент систем, несоответствующих стандартам безопасной конфигурации

< 1 % 1% - 4% 5%-10%

3.2 Процент систем, конфигурация безопасности которых не управляется корпоративной системой управления конфигурациями

< 1 % 1% - 4% 5%-10%

3.3 Процент систем с неустановленными обновлениями ОС

< 1 % 1% - 4% 5%-10%

3.4 Процент систем с неустановленными обновлениями ПО

< 1 % 1% - 4% 5%-10%

3.5 Количество несанкционированных изменений, заблокированных за последнее время корпоративной системой управления конфигурациями

3.6 Время, необходимое на обнаружение изменений в системе

60 минут

1 день 1 неделя

3.7 Время, необходимое на откат несанкционированных изменений

60 минут

1 день 1 неделя

Спасибо за внимание!Вопросы?