Руководство по пониманию контрольных показателей, базовых показателей и золотых образов

22 ноября 2022 г.

Когда тема информационной безопасности обсуждается широко, не на том уровне, на котором ее обсуждают специалисты по информационной безопасности или кибербезопасности, а вместо этого в зале заседаний или за столами конференц-зала, поднимается один и тот же вопрос (в обязательном порядке). Что «мы» можем сделать для большей безопасности?

Неизменно имена поставщиков & модные словечки используются, как коммандос в фильме 1980-х годов Чака Норриса. После этого шквала следующим логическим шагом будет обсуждение доверенных третьих лиц, которых можно привлечь в качестве наемников, чтобы «привести нас в форму».

Однако за это приходится платить высокую цену, и я имею в виду не только денежную. Часто организации, нанимающие этих «наемников» (не в обиду наемникам, читающим это), имеют внутреннего защитника, который в течение некоторого времени предлагал значимые изменения, но, поскольку они сами не рассматриваются как «консультанты», их мнение может быть недействительным.< /p>

Этот человек предлагает здравые идеи, адаптированные к вашей организации, но они не пользуются успехом. Вы можете знать этого человека. Вы можете быть этим человеком! Вы говорите что-то вроде «нам нужна CMDB!» или "Мне нужна ваша поддержка, чтобы организовать регулярный аудит нашей Active Directory".

Возможно, вы даже предложили установить Golden Image для ОС, которые вы развертываете; Windows Server, RHEL, Debian, Windows Desktop и т. д.... если вы знаете этого человека или этот человек ЕСТЬ ВЫ, то эти слова на этой странице для вас!

Во-первых, давайте разберемся с некоторыми бытовыми вещами. Я хочу выровнять и дать определения некоторым из этих слов, чтобы мы могли быстро двигаться вперед. Ниже приведены несколько определений. Я рассмотрю их отношения в следующих разделах....

Условия

Базовый уровень: вы найдете несколько вариантов этого ключевого слова, но следует помнить одно: это моментальный снимок текущей конфигурации системы (настройки на уровне ОС, установленные приложения, конфигурации приложений, пользователи и т. д.). .).

Например, если вам нужно определить базовый уровень веб-сервера, вы можете сказать, что базовый уровень содержит следующие параметры:

1. ОС: RedHat 8
2. Приложения: Apache; MySQL, Java
3. Пользователи: (Root, Алиса, Tom4)
4. Настройки ОС: запретить удаленный вход с правами root

Эти параметры и, скорее всего, многие другие подобные параметры создадут основу для системы. Это не что иное, как конфигурация системы в данный момент времени. Этот базовый уровень можно использовать, чтобы «оглянуться назад» и посмотреть, что изменилось.

Эталон

Эталонный анализ — это отдельная проверка. Что такое чек? Он буквально проверяет системные настройки, например, установлено ли приложение. Это приложение на уровне исправления XYZ? Он установлен в определенном каталоге?

Все эти вопросы, по сути, являются «проверкой», и каждый из них ставит под угрозу контрольный показатель. "Эталон" – это конкретная конфигурация или системный параметр, которые ваша организация (или отрасль) считает лучшими.

Тесты — это способ оценить, соответствует ли система известным хорошим конфигурациям (что, в свою очередь, должно уменьшить поверхность атаки этой системы).

Как вы это называете, когда вы группируете кучу тестов, укрепляете систему и настраиваете ее именно так, как вам нужно...?

Золотой образ

Золотой образ обычно представляет собой целую серверную (или настольную) систему, в которой установлены все приложения, необходимые для этой цели, настроены все параметры на уровне системы и все уникальные изменения, необходимые для интеграции в вашу среду.

Затем вы определяете эту систему как базовую (сохраняете ее конфигурацию в виде моментального снимка), и эта базовая конфигурация становится вашим «золотым образом».

Думайте об этом золотом образе как о своем «золотом стандарте» — именно так вы хотели бы развертывать каждый сервер в будущем. Она была усилена, доказала свою работоспособность и ею можно управлять.

Процесс

1. Исходный уровень. Как же мы можем использовать эти новые (яркие) термины, чтобы укрепить и защитить нашу среду? Прежде всего, нам нужен способ зафиксировать существующие базовые показатели всех развернутых систем. Это можно сделать вручную, если вы работаете в небольшой среде, поскольку большинство серверов будут близки к своей «стандартной» конфигурации, если они новее и похожи.

Создание электронной таблицы с именами хостов слева, а затем отдельного документа даже с несколькими вещами для проверки (ваши тесты) — отличный способ начать работу.

Помните, что безопасность — это не принцип «все или ничего». Вы должны думать об этом больше в духе: "Я лучше на этой неделе, чем на прошлой неделе?".

В идеале у вас должен быть автоматизированный метод для выполнения этого запроса и сбора всех необходимых данных, но если у вас его нет, есть несколько способов автоматизировать эту задачу (например, PowerShell или Bash). Я не буду рассматривать эти методы здесь, так как они выходят за рамки этого (вводного) поста....

1. Эталонный анализ. После того, как вы зафиксировали базовый уровень, пришло время взглянуть на конфигурацию с использованием эталонных показателей, определенных вашей организацией, или эталонных показателей, подобных тем, которые доступны в Центре интернет-безопасности (CIS): основной каталог CIS Benchmarks: HTTPS. Сравнительные тесты CIS для Windows Server: https://www.cisecurity.org/benchmark/microsoft_windows_server/

Это важный шаг. Все шаги важны, но этот самый важный. С помощью этих эталонных тестов вы обнаружите уязвимости в системе и конфигурации, которые могут привести к нарушениям безопасности.

1. Золотой образ. Теперь, когда вы собрали конфигурации системы (базовый уровень) и выполнили проверки конфигурации (эталонные показатели), вы должны быть готовы к созданию золотого образа.

Этот образ является продуктом этого процесса, он будет развернут в среде и известен как безопасный. С практической точки зрения, было бы здорово, если бы вы могли использовать свой Golden Image в качестве базы для всех будущих серверов (буквально клонируя его с помощью своего гипервизора).

Я бы сделал это вашим выбором №1, если это вообще возможно. Если это нецелесообразно, вам нужно будет создать процесс и полностью задокументировать каждый шаг, а также создать этап аудита, чтобы убедиться, что все будущие развертываемые системы соответствуют вашему золотому образу.

Прохождение

Я подумал, что было бы полезно увидеть пример того, как это может работать в небольшой (до среднего) среде, где обычно возникает наибольшая потребность в таком типе управления конфигурацией.

1. Соберите базовые показатели системы

Допустим, это нужно сделать вручную. Первое, что мы хотим сделать, это определить приоритеты систем, которые мы проверяем. Какая система самая критическая? Это ваши контроллеры домена AD (DC)? Это сервер бизнес-приложений? Что бы это ни было, оно идет первым, затем вы выбираете № 2, № 3, № 4 и т. д. Мы хотим направить нашу энергию туда, где в первую очередь можно найти наибольшую ценность!

Для целей этого пошагового руководства предположим, что мы начинаем с AD DC или вашего сервера управления идентификацией в типичной среде Windows. Для краткости скажу, что мы хотим проверить только следующие 3 параметра (бенчмарки):

1. CIS — Microsoft Windows Server 2012 R2 — 2.3.2.2: убедитесь, что для параметра «Аудит: немедленное отключение системы, если невозможно зарегистрировать аудит безопасности» установлено значение «Отключено» https://workbench.cisecurity.org/benchmarks /288 r:HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa -> CrashOnAuditFail -> 1; r:HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa -> CrashOnAuditFail -> 2;

2. CIS — Microsoft Windows Server 2012 R2 — 2.3.5.2: убедитесь, что для параметра «Контроллер домена: требования к подписи сервера LDAP» установлено значение «Требовать подпись» [https://workbench.cisecurity.org/benchmarks/288] r :HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters -> LDAPServerIntegrity -> !2;

3. CIS — Microsoft Windows Server 2012 R2 — 2.3.6.2: убедитесь, что для параметра «Член домена: цифровое шифрование данных безопасного канала (по возможности)» установлено значение «Включено» https://workbench.cisecurity.org/benchmarks/ 288 r:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetlogonParameters -> SealSecureChannel -> 0;

Итак, мы поняли, что фактическое содержание этих тестов не имеет смысла для этого пошагового руководства, мне просто нужно на что-то сослаться ;)

Если я делаю это вручную, я либо подключаюсь через удаленный реестр, PowerShell (или RDP, если нет другого варианта), и проверяю, существуют ли эти ключи реестра. На данном этапе все, что мы делаем, это «смотрим», но не «касаемся». Это базовый этап, вносить изменения пока не нужно. На следующем шаге мы сравним конфигурацию этой системы с эталонными тестами.

2. Выявление слабых сторон системы с помощью контрольных показателей

После того, как мы подключились к нашим наиболее важным серверам и собрали информацию, связанную с (3) контрольными показателями CIS, приведенными выше, мы теперь можем сравнить базовый уровень системы с контрольными показателями, предоставленными CIS!

Именно на этом этапе будут выявлены неправильные или некачественные конфигурации, и необходимо будет внести изменения. Помните, что хорошие изменения обдумываются (проверяются!) и полная стратегия отказа известна до начала изменений.

Чтобы отслеживать соответствие (или несоответствие) эталонным показателям, вы можете использовать простую электронную таблицу с именами хостов слева (в виде строк) и именами эталонных показателей вверху (в виде столбцов).

Отметьте соответствие или несоблюдение, как вам нравится, просто убедитесь, что это имеет смысл для вас через месяц, когда вы вернетесь к этому (потому что вы будете отвлекаться, переделывать задачи и иметь свободное время от этой работы!).

3. Создайте золотой образ

После того, как системы с высоким приоритетом, которые являются наиболее важными, будут настроены и защищены, самое время приступить к созданию идеального образа для всех будущих развертываний серверов.

Обычно это выглядит как создание новой ВМ (продолжим использовать Windows Server); затем с помощью эталонных показателей CIS измените систему, чтобы она соответствовала этим эталонным показателям.

После того, как эталонные тесты были реализованы, требуется полное тестирование системы по ее прямому назначению. Это не мелкомасштабный тест, а полноценный контроль качества для всех его целей!

В заключение...

Развертывание безопасных серверов — это легко решаемая задача № 1 для большинства организаций малого и среднего бизнеса. Чтобы обеспечить ее завершение, эта работа должна иметь соответствующий уровень одобрения.

Опять же, в идеале этот процесс должен быть в основном (или полностью) автоматизирован и требует лишь небольшого участия человека.

У меня нет никаких платформ, которые я мог бы порекомендовать, но системы, которые собирают конфигурацию и настройки приложений и централизуют эти данные для оптимизации этого процесса, были бы моим первым выбором!

---

Оригинал