Центр интернет-безопасности (CIS) является некоммерческой организацией, которая разрабатывает собственные контрольные показатели и рекомендации, которые позволяют организациям совершенствовать свои программы обеспечения безопасности и соответствия требованиям. Эта инициатива направлена на создание базовых уровней конфигурации безопасности систем, которые обычно встречаются во всех организациях. В этой статье я продолжу публикацию лучших практик и советов по организации информационной безопасности.
Критические элементы управления безопасностью
Контроль доступа
Сегментируйте сети на основе ролей пользователей, уровня доступа или классификации информации, хранящейся на серверах. Храните конфиденциальную информацию о отделенных VLAN с настроенным межсетевым экраном; проверяйте что только авторизованные лица получают доступ к информации, необходимой для выполнения своих конкретных обязанностей.
Все средства коммуникации конфиденциальной информации должны использовать шифрование.
Вся информация, хранящаяся в системах, должна быть защищена на уровне файловой системой, сетевого доступа, приложениия или списками управления доступом.Только уполномоченные лица должны иметь доступ к информации, основанной на необходимости доступа к информации в рамках своих обязанностей.
Чувствительная информация, хранящаяся в системах должны быть зашифрована и использовать вторичный механизм аутентификации, не интегрированный в операционную систему.
Необходимо вести подробный журнал аудита доступа к непубличной информации и специальной аутентификации для конфиденциальных данных.
Системы хранения резервных копий должны использоваться в качестве автономных систем.
Контроль доступа беспроводных сетей
Убедитесь в том, что каждое беспроводное устройство, подключенное к сети совпадает с разрешенной конфигурацией и профилем безопасности. Организация должна запретить доступ к этим беспроводным устройствам.
Настройте сетевые инструменты выявления уязвимостей для обнаружения беспроводных точек доступа, подключенных к проводной сети. Выявленные устройства должны быть согласованы со списком авторизованных точек беспроводного доступа.
Используйте системы обнаружения вторжений (WIDS) для идентификации неавторизованных беспроводных устройств и обнаружения попыток атак.
Убедитесь, что используется шифрование не ниже Advanced Encryption Standard (AES) и уровень защиты не ниже Wi-Fi Protected Access 2 (WPA2).
Убедитесь в том, что беспроводные сети используют протоколы аутентификации, такие как Extensible Authentication Protocol-Transport Layer Security (EAP / TLS), которые обеспечивают защиту учетных данных.
Создайте отдельных виртуальные локальные сети (VLAN) для систем BYOD или других ненадежных устройств. Доступ к этой VLAN должен рассматриваться как ненадежный.
Контроль учетных записей
Просмотрите все системные учетные записи и отключите учетные записи, которые не связаны с бизнесом-процессами.
Убедитесь в том, что все учетные записи имеют дату истечения срока действия, которая контролируется и применяется.
Немедленно блокировать учетные записи уволенных сотрудников. Отключение вместо удаления учетных записей позволяет сохранять данные аудита.
Регулярно контролируйте использование всех учетных записей, автоматический выход из системы после стандартного периода бездействия.
Настройте экран блокировки доступа к необслуживаемым рабочим станциям.
Следите за использованием учетных записей для определения неактивных аккаунтов. Отключите учетные записи, которые не отнесены к действующим сотрудникам.
Используйте и настройте блокировку учетных записей таким образом, чтобы после определенного числа неудачных попыток входа учетная запись была заблокирована.
Контролируйте попытки доступа деактивированных аккаунтов.
Настройте доступ для всех учетных записей с помощью централизованной точки аутентификации, например, Active Directory или LDAP.
Используйте многофакторную аутентификацию для всех учетных записей пользователей, имеющих доступ к конфиденциальным данным или системам.
Если многофакторная аутентификация не поддерживается, учетные записи должны иметь криптостойкие пароли в системе (более 14 символов).
Убедитесь, что все учетные записи и учетные данные аутентификации передаются по сети с использованием зашифрованных каналов.
Убедитесь в том, что все файлы аутентификации шифруются или хэшируются и что эти файлы не могут быть доступны никому, кроме администраторов.
Контроль уровня осведомленности персонала
Провести анализ навыков сотрудников в области практической ИБ.
Обеспечить должное обучение недостающим навыкам.
Реализовать программу по повышению безопасности, проводить регулярные тренинги.
Проверка и повышение уровня осведомленности с помощью периодических проверок, в том числе и социотехнических векторов атак и рассылок.
Используйте соревновательные мероприятия для достижения большего результата в области практической ИБ.
Контроль прикладного программного обеспечения
Для всех приобретаемых версий прикладного программного обеспечения — убедитесь, что версия, которую вы используете по-прежнему поддерживается поставщиком. Если нет, то обновитесь до самой последней версии и установите все необходимые патчи и рекомендации по безопасности.
Защитите веб-приложения с помощью межсетевых экранов веб-приложений.
Не показывайте сообщения об ошибках системы для конечных пользователей, не администратором системы.
Введите отдельные условия для производственных и непроизводственных систем. Разработчики не должны иметь неконтролируемый доступ к производственной среде.
Убедитесь в том, что весь персонал по разработке программного обеспечения знает и применяет приемы безопасного написания кода для конкретной среды разработки.
Используйте средства тестирования (в т.ч. автоматизированные) разрабатываемых приложений, документируйте и ведите ситорию релизов и багфиксинга.
Реагирование на инциденты
Убедитесь в том, что существует письменные процедуры реагирования на инциденты, которые включают в себя определение ролей персонала и определяют этапы обработки инцидента.
Опишите должностные обязанности и кург лиц для обработки инцидентов, а также принятия решений по ним.
Разрабатайте организационные стандарты для сообщений об аномальных событиях, механизмы такой отчетности, а также такую информацию, которая должна быть включена в уведомлении об инциденте. Эта отчетность должна также включать уведомления для отвественных лиц.
Публикуйте информацию по выявленным инцидентам внутри организации.
Проводите периодические учебные тревоги для выявления скорости и контроля обработки инцидентов.
Тестирование на проникновение
Регулярно проводите внешние и внутренние тесты на проникновение для выявления уязвимостей и векторов атак, которые могут быть успешно использованы для эксплуатации корпоративных систем. Тестирование на проникновение должно происходить вне пределов периметра сети ), а также внутри его границ (т.е. на внутренней сети), чтобы имитировать инсайдерские атаки.
Выполните периодические командное взаимодейтсвие при проведении тестирвоания на проникновение — Red Team для проверки готовности организации к быстрому и эффективному реагирования.
Используйте автоматическое сканирование уязвимостей и инструменты тестирования на проникновения. Результаты оценки уязвимостей сканирования следует использовать в качестве отправной точки для тестированию на проникновение.
Введите балльную систему оценки защищенности систем и тащтельно документируйте результаты каждого тестирования.
Создайте испытательные стенды для тестирования сверхкритичных элементов инфраструктуры.
Завершение
Приведенный выше материал может быть адаптирован в той или иной степени для использования в вашей организации. В следующей статье этого цикла я дпополню этот список — системами контроля, проведения тестирования на проникновение, анализа беспроводных сетей, системы обработки инцидентов.
Автор: LukaSafonov
