3-ий контроль из набора мер CIS Critical Security Controls 6-ой версии - что это такое, зачем это нужно, как реализовать и контролировать. Пример реализации на базе решений Kaspersky, MaxPatrol и Request Tracker. Пример использования Request Tracker для учёта информационных активов.

1. Безопасная конфигурация программного и
аппаратного обеспечения мобильных
устройств, рабочих станций и серверов
Красноярск, 2015 г.
Хеирхабаров Теймур Самедович
специалист по защите информации
admin@kb-61.com

2. Категории уязвимостей информационных систем
Категорииуязвимостей
Уязвимости
проектирования
Уязвимости
реализации
Уязвимости
конфигурации

3. Безопасная конфигурация
Hardening
Конфигурации «по умолчанию», с которым поставляются
оборудование, операционные системы и приложения обеспечивают
простое и быстрое внедрение новых систем/сервисов, однако в
большинстве случаев небезопасны.
Базовые настройки, большое количество не нужных сетевых сервисов,
служб, пароли «по умолчанию», предустановленное, но не
планируемое к использованию ПО – всё это активно используется
злоумышленниками для компрометации систем.
Рассматриваемый контроль предполагает создание
стандартизированных безопасных конфигураций (baseline) для
различных компонентов ИТ-инфраструктуры и поддержание их в
актуальном состоянии с помощью процессов управления
конфигурациями и изменениями.
Все новые сервера, рабочие станции и мобильные устройства ещё на
этапе подготовки и ввода в эксплуатацию приводятся в соответствие
стандартизированным конфигурациям. В ходе эксплуатации
производится периодический анализ в целях выявления отклонений от
стандартизированных конфигураций и последующего их устранения.

4. Зачем это нужно?
Требование регулятора. Приказ ФСТЭК № 21 от 18.02.2013

5. Зачем это нужно?
Требование регулятора. Приказ ФСТЭК № 31 от 14.03.2014

6. Зачем это нужно?
Позиция Gartner
Gartner, “How To Design a Server Protection Strategy.” December, 2011
Gartner считает
это мерой № 1
в обеспечении
безопасности
серверов

7. Зачем это нужно?
Позиция SANS
SANS (теперь уже Center for Internet Security) считает
управление безопасными конфигурациями 3-ей по значимости
мерой.

8. Зачем это нужно?
Позиция Агентства Национальной безопасности США
Агентство Национальной
Безопасности США считают
управление безопасными
конфигурациями 7-ой по
значимости мерой.

9. Раз это нужно, то почему мало кто этим занимается?
Статистика
http://www.ptsecurity.ru/download/PT_Corporate_vulnerability_2015_rus.pdf
В исследование включены
корпоративные системы 18 крупных
российских и зарубежных компаний.
В 2014 г. лишь 6 % систем не
содержало уязвимостей средней и
высокой степеней риска, связанных с
недостатками конфигурации.

10. Количество возможных параметров групповой политики
Windows
Group Policy Settings Reference for Windows and Windows Server
https://www.microsoft.com/en-us/download/details.aspx?id=25250

11. The CIS Critical Security Controls for Effective Cyber Defense.
CSC 3: Secure Configuration for Hardware and Software
3.1 Необходимо разработать стандартизированные безопасные
конфигурации операционных систем и приложений и реализовать их в
виде эталонных образов для каждого из типов систем, используемых в
организации. Эталонные образы должны основываться на усиленных
(hardened) версиях базовых ОС и приложений. Образу должны на
регулярной основе обновляться с учётом появления новых уязвимостей
и векторов атак.
3.2 Подготовку новых систем необходимо осуществлять из эталонных
образов. В случае компрометации работающих систем они должны
также восстанавливаться из этих образов. Периодические обновления
эталонных образов должны быть интегрированы в процесс управления
изменениями в организации. Образы должны быть созданы для
рабочих станций, серверов и других типов систем, используемых в
организации.
3.3 Эталонные образы должны хранится в безопасном месте и
подвергаться периодическому контролю целостности и выявлению
несанкционированных изменений. В отдельных случаях образы могут
храниться в offline хранилищах, неподключенных к сети организации.

12. Что включает в себя понятие «безопасная конфигурация».
NIST SP800-123 «Guide to General Server Security»
 Удаление (отключение) ненужных служб, приложений и сетевых
протоколов, а также компонентов приложений.
 Изменение паролей «по умолчанию».
 Отключение/удаление неиспользуемых учётных записей и групп.
 Реализация принципа минимизации привилегий для учётных записей
пользователей, служб и приложений.
 Настройка парольной политики ОС и приложений: минимальная
длина, минимальный/максимальный сроки действия, сложность
(требования к используемому алфавиту), хранение в виде хэшей,
хранение истории паролей (ограничение повторного использования
паролей), механизмы защиты от перебора (CAPTCHA, блокировки
после нескольких неудачных попыток аутентификации).
 Настройка аудита событий ОС и приложений, реализующих функции
информационных систем. Настройка синхронизации времени из
единого источника.
 Установка набора стандартных средств защиты (AV/FW/HIPS/СЗИ от
НСД/агент DLP и т.д.).

13. Что включает в себя понятие «безопасная конфигурация».
NIST SP800-123 «Guide to General Server Security»
 Установка всех доступных обновлений ОС и приложений.
 Выполнение первичного сканирования на уязвимости и устранение
всех выявленных уязвимостей.
 Удаление документации, оставленной на сервере разработчиками,
производителями, специалистами интегратора (для серверов).
 Удаление тестовых файлов/скриптов/конфигурационных файлов,
оставленных после пусконаладочных работ (для серверов).
 Удаление компиляторов (для серверов).
 Изменение стандартных баннеров сетевых служб (для серверов).
 Использование везде, где это возможно безопасных версий
протоколов доступа клиента к серверу (HTTPS, SMTPS и т.д.).
 Ограничение использования аппаратных ресурсов процессами
сетевых служб, установка квот дискового пространства (для
серверов).
 Настройка специфичных параметров безопасности ОС и
приложений (сервера и рабочие станции).

14. Где взять готовые стандарты по безопасной настройке?
Руководства от вендоров

15. Где взять готовые стандарты по безопасной настройке?
Microsoft Security Compliance Manager
https://technet.microsoft.com/ru-ru/library/cc677002.aspx

16. Где взять готовые стандарты по безопасной настройке?
Center for Internet Security Benchmarks
https://benchmarks.cisecurity.org/downloads/multiform/index.cfm
Организация CIS разрабатывает стандарты по безопасной настройке
для большого количества широко используемых ОС, ПО и
оборудования. В настоящей момент к бесплатной загрузке доступно
111 стандартов.

17. Где взять готовые стандарты по безопасной настройке?
Управление информационных систем Министерства обороны США
http://iase.disa.mil/stigs/Pages/a-z.aspx
На ресурсе к загрузке доступно 529 руководств (STIGs) для огромного
спектра систем. Руководства представлены в формате XCDF.

18. Где взять готовые стандарты по безопасной настройке?
Руководства Агентства Национальной Безопасности США
https://www.nsa.gov/ia/mitigation_guidance/security_configuration_guide
s/index.shtml
Представлены руководства для используемых в данном ведомстве
систем.

19. Где взять готовые стандарты по безопасной настройке?
Руководства по безопасной настройке сертифицированных ФСТЭК
версий ПО Microsoft
http://www.altx-soft.ru/groups/page-23.htm

20. Инструменты для создание образов и
развёртывание из них систем
Безопасные конфигурации должны быть реализованы в виде образов,
с которых в последующем должно осуществляться развёртывание всех
новых систем. Возможные инструменты для этой задачи:
• System Center Configuration Manager;
• Windows Automated Installation Kit;
• Acronis (Snap Deploy, True Image, Backup);
• Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ;
• Cobbler для Linux систем;
• Если используем виртуализацию, то для создание эталонных
образов может использоваться функция шаблонов виртуальных
машин.

21. Пример реализации инфраструктуры для снятия и
хранения образов
1) Подготовка WinPE + klrwrap, klpexut, klosprep и доставка на ВМ.
2) klriwrap регистрируется на ВМ в качестве службы, которая запускает
klpexut. klpexut соединяется с сервером KSC, модифицирует загрузчик ВМ
для последующей загрузки в WinPE, запускает sysprep.exe. После
выполняет перезагрузку ВМ.
3) ВМ, загрузившись в WinPE, соединяется с сервером KSC и получает путь и
права к папке для промежуточного хранения образа.
4) ImageX из WinPE захватывает образ с ВМ. По завершению образ
копируется на сервер KSC и регистрируется в качестве инст. пакета.

22. Пример реализации процедуры подготовки новых
рабочих станций с учётом требований безопасности
 На всех Access-портах сегмента пользовательских устройств КСПД
включена аутентификация 802.1x по сертификатам (если ОС
устройства содержит Suplicant, умеющий это) или MAB (если ОС
устройства не содержит Supplicant или встроенный Supplicant не
понимает сертификатов). Без сертификата компьютер не попадёт в
продакшн. Сертификаты выдаёт подразделение ИБ после проверки.
 Подготовка устройств осуществляется сотрудниками отдела ИТ. На
момент подготовки компьютер включен в специальный сетевой
сегмент, в котором нет аутентификации.
 В этом сегменте есть DHCP и PXE. «Голый» компьютер загружается
по сети с PXE сервера. Загрузившись, регистрируется на Kaspersky
Security Center (с помощью klpxeut) и переходит в режим ожидания.
 В консоли управления Kaspersky для зарегистрированного ПК
создаётся задание на развёртывание ОС из образа: выбирается
образ, задаются дополнительные параметры (имя, домен, сетевые
настройки, скрипты для запуска после установки и т.п.), выбираются
дополнительные инсталляционные пакеты.
 На основании заданного задание на подготавливаемом ПК
начинается процедура развёртывания ОС из образа.

23. Развёртывание ОС из образа с помощью PXE-сервера и
Kaspersky Security Center

25. Пример реализации процедуры подготовки ПК. Регистрация
актива типа «Рабочая станция» в CMDB на базе Request Tracker

26. Пример реализации процедуры подготовки ПК.
Автоматическая регистрация заявки на ввод в эксплуатацию ПК
После развёртывания ОС учётная запись соответствующего
компьютера перемещается ИТ в необходимую OU Active Directory.
На OU действует групповая политика, включающая автоматический
запрос на сертификат компьютера. В результате ПК генерирует запрос
на сертификат.
Запрос уходит на CA, который в свою очередь генерирует письмо,
уходящие на специальный почтовый ящик Request Tracker.
В Request Tracker на основании этого письма регистрируется заявка на
ввод в эксплуатацию ПК. О заявке уведомляются специалист ИБ,
сетевой администратор, инженер, ответственный за подготовку ПК.

28. Пример реализации процедуры подготовки новых
серверов с учётом требований безопасности
 Перед началом подготовки сервера администратор, который будет
этим заниматься, должен завести в Request Tracker соответствующий
актив, а также заявку на ввод в эксплуатацию сервера.
 По факту регистрации заявки уведомляются специалист ИБ и
сетевой администратор.
 Специалист ИБ выясняет что это за сервер, инициирует процедуру
определения уровня критичности, при необходимости создаёт
заявки для администратора, подготавливающего сервер, на
установку дополнительных средств защиты и настроек (если они не
были учтены в эталонном образе).
 Администратора сети выдаёт IP адреса, актуализирует информацию
в своей БД сетевых подключений, создаёт необходимые правила на
межсетевом экране.
 Сервер разворачивается из шаблона виртуальной машины
(используется виртуализация серверов).
 На момент подготовки сервер включен в сетевой сегмент для
тестовой среды.

31. The CIS Critical Security Controls for Effective Cyber Defense.
CSC 3: Secure Configuration for Hardware and Software 3.4
3.4 Удалённое администрирование любых систем должно
осуществляться только через безопасные протоколы, обеспечивающие
криптографическую защиту передаваемой информации.
Говоря об этом контроле, хотелось бы упомянуть про отдельный класс
средств ИБ – «Системы контроля привилегированных пользователей».
Они позволяют:
• записывать все сессии удалённого администрирования (протоколы
SSH, RDP, VNC и др.);
• управлять паролями привилегированных УЗ – администраторы знают
логин и пароль только от интерфейса системы контроля, в котором
они уже выбирают куда идти и по какому протоколу, не вводя
пароля в системе назначения (пароль и логин отдаёт системе
назначения сама система контроля);
• создавать триггеры на потенциально опасные действия. При их
наступлении обрывать соответствующие сессии администрирования
или уведомлять определённых лиц;
• реализовать доступ администраторов к определённым серверам
только после одобрения запроса ответственным лицом.

32. CSC 3: Secure Configuration for Hardware and Software 3.4.
Системы контроля привилегированных пользователей
Примеры систем контроля привилегированных пользователей:

33. The CIS Critical Security Controls for Effective Cyber Defense.
CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
3.5 Необходимо использовать инструменты контроля целостности для
того чтобы быть уверенным в неизменности критичных файлов
(включая исполняемые файлы, библиотеки и конфигурации
конфиденциальных систем и приложений). Обо всех изменениях в
таких файлах должен автоматически оповещаться персонал
безопасности. Система передачи информации об изменениях должна
иметь способность вычислять обычные и ожидаемые изменения,
выделяя необычные и непредвиденные события.
3.6 Необходимо использовать автоматизированные системы
мониторинга, позволяющие выявлять отклонения от
стандартизированных безопасных конфигураций, а также
несанкционированные изменения.

34. The CIS Critical Security Controls for Effective Cyber Defense.
CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Для реализации контролей 3.5-3.6 можно использовать скрипты, а
также различные системы контроля соответствия требованиям,
которые часто объединены с системами анализ защищённости.
Возможные инструменты:
• Positive Technologies MaxPatrol (модуль Compliance);
• АЛТЭКС-СОФТ RedCheck;
• АЛТЭКС-СОФТ NetCheck;
• Nessus;
• Qualys (модуль Policy Compliance);
• System Center Configuration Manager;
• VMware vCenter Configuration Manager;
• Git – отличное решение для контроля изменений тестовых
конфигурационных файлов.

35. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Positive Technologies MaxPatrol
Соответствие просканированных узлов стандартам

36. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Positive Technologies MaxPatrol
Просмотр информации по несоответствию требованиям

37. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Positive Technologies MaxPatrol
Формирование собственного стандарта

38. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Positive Technologies MaxPatrol
Формирование собственного стандарта. Использование
универсальных проверок

39. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Positive Technologies MaxPatrol
Контроль целостности файлов

40. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Positive Technologies MaxPatrol
Контроль целостности файлов

41. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Microsoft Security Compliance Manager
С помощью консольной утилиты «LocalGPO» из состава Microsoft SCM
делаем резервную копию групповой политики компьютера (можно
удалённого если, например, использовать утилиту совместно с
psexec).

42. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Microsoft Security Compliance Manager
Импортируем созданную с помощью LocalGPO копию ГП в SCM.

43. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Microsoft Security Compliance Manager
Выбираем в дереве Baseline-ов импортированную политику и жмём
«Compare/Merge».

44. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Microsoft Security Compliance Manager
Выбираем Baseline, с
которым будем сравнивать.

45. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Microsoft Security Compliance Manager
Получаем отчёт.

46. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. VMware Compliance Checker
Вводим адрес Vcenter или ESXi хоста, а также данные учётной записи.

47. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. VMware Compliance Checker
Получаем отчёт о соответствии VMware Hardening Guide.

48. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Microsoft Baseline Security Analyzer
Вводим адрес проверяемого хоста и выбираем типы проверок.

49. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Microsoft Baseline Security Analyzer
Получаем отчёт.

50. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Lynis
Запуск Lynis для проверки *nix систем.

51. CSC 3: Secure Configuration for Hardware and Software 3.5-3.6
Примеры инструментов. Lynis
Фрагмент
отчёта Lynis.

52. The CIS Critical Security Controls for Effective Cyber Defense.
CSC 3: Secure Configuration for Hardware and Software 3.7
3.7 Для централизованного управления конфигурациями должны
использоваться специальные инструменты, позволяющие из единой
точки управлять конфигурациями и развёртывать их на большое
количество систем, а также выполнять откат к базовым конфигурациям
либо по расписанию, либо на основании триггеров.

53. The CIS Critical Security Controls for Effective Cyber Defense.
Метрики для контроля 3
№ Метрика Низкий
риск
Средни
й риск
Высоки
й риск
3.1 Процент систем, несоответствующих стандартам
безопасной конфигурации
< 1 % 1% - 4% 5%-10%
3.2 Процент систем, конфигурация безопасности
которых не управляется корпоративной системой
управления конфигурациями
< 1 % 1% - 4% 5%-10%
3.3 Процент систем с неустановленными
обновлениями ОС
< 1 % 1% - 4% 5%-10%
3.4 Процент систем с неустановленными
обновлениями ПО
< 1 % 1% - 4% 5%-10%
3.5 Количество несанкционированных изменений,
заблокированных за последнее время
корпоративной системой управления
конфигурациями
3.6 Время, необходимое на обнаружение изменений
в системе
60
минут
1 день 1
неделя
3.7 Время, необходимое на откат
несанкционированных изменений
60
минут
1 день 1
неделя

54. Спасибо за внимание!
Вопросы?