АНБ США не так давно (вернее не так давно на это наткнулся я) расставило приоритеты в разработанном SANS (SysAdmin, Audit, Networking, andSecurity Institute), руководстве "20 critical security controls for effective cyber defense" (кликабельно):
Защита от вредоносного кода. Блокировка вредоносов, осуществляющих несанкционированный доступ к системным настройкам или файлам, содержащих информацию ограниченного доступа, а также осуществляющих самовоспроизведение. Использование антивирусного и антишпионского ПО для непрерывного мониторинга и защиты рабочих станций, серверов и мобильных устройств. Автоматическое обновление такого ПО.
Организация восстановления данных. Минимизация ущерба от любых атак. Реализация плана по устранению всех следов атак. Автоматическое резервирование всей требуемой информации для полного восстановления каждой системы, включая ОС, приложения и информацию. Резервирование всех систем еженедельно, а более важной информации – чаще. Регулярное тестирование процесса восстановления.
Безопасные настройки сетевых устройств (межсетевых экранов, маршрутизаторов, коммутаторов и т.п.). Препятствие появлению непредусмотренных точек подключения к сетям интернет, других организаций или внутренним сегментам сети Компании. Сравнение настроек активного сетевого оборудования с установленными в Компании стандартами для каждого типа устройств. Гарантия того, что любые изменения стандартных настроек будут зафиксированы и протестированы и любые временные изменения будут отменены, когда потребность в них исчезнет.
Контроль доступа на основе принципа минимизации полномочий. Предотвращение доступа злоумышленника к критичной информации. Точное определение и отделение критичной информации от информации, которая доступна большому числу пользователей внутренней сети. Установка многоуровневой системы классификации, основанной на влияние, которое может оказать любое раскрытие определенной информации, гарантия того, что только санкционированные пользователи имеют доступ к информации ограниченного доступа.
Тестирование на проникновение. Использование моделирования атак для подтверждения готовности к ним Компании. Проведение регулярных тестов на проникновения (как изнутри, так и снаружи), которые симулируют атаку, в целях определения уязвимостей и оценки возможных последствий. Периодическое проведение мероприятий экспертной группой – заключающихся в попытках получить доступ к критичным информации и системам – для тестирования возможностей внедренных механизмов защиты и реагирования.
Нашел перевод 2011 года тут. Но, что-то там уже не все сходится... в общем, мой перевод:
1. Inventory of Authorized and Unauthorized Devices
Инвентаризация разрешенных и несанкционированно подключенных устройств. Снижение возможности нарушителя по обнаружению и использованию неучтенных и незащищенных систем. Использование систем мониторинга и конфигурирования для поддержания в актуальном состояние списка устройств, подключенных к корпоративной сети, включая сервера, рабочие станции, ноутбуки, мобильные и иные устройства для удаленного доступа.
2. Inventory of Authorized and Unauthorized Software
Инвентаризация разрешенного и несанкционированно установленного программного обеспечения. Поиск уязвимостей или вредоносного программного обеспечения для снижения вероятности или избежания соответствующих атак. Создание перечня разрешенного ПО для каждого типа систем и внедрение инструментов для отслеживания установленного ПО (включая тип, версию и патчи) и наличия неразрешенного или ненужного ПО.
3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers
Безопасные настройки аппаратного и программного обеспечения для серверов, рабочих станций и ноутбуков. Предотвращение использования нарушителями служб и настроек, позволяющих осуществить доступ к корпоративной сети. Создание «безопасного образа», который используется для всех новых систем, внедряемых в Компании, размещение этого образа в защищенном хранилище, регулярный контроль целостности и обновление его конфигурации, отслеживание образов систем в системе управления конфигурациями.
4. Continuous Vulnerability Assessment and Remediation
Непрерывный анализ уязвимостей и их устранение. Проакивный поиск и устранение уязвимостей программного обеспечения, о которых сообщают исследователи или разработчики. Регулярный автоматический запуск сканнеров уязвимостей, сканирующих все системы, и быстрое закрытие любых уязвимостей в течении 48 часов.
5. Malware Defenses
Защита от вредоносного кода. Блокировка вредоносов, осуществляющих несанкционированный доступ к системным настройкам или файлам, содержащих информацию ограниченного доступа, а также осуществляющих самовоспроизведение. Использование антивирусного и антишпионского ПО для непрерывного мониторинга и защиты рабочих станций, серверов и мобильных устройств. Автоматическое обновление такого ПО.6. Application Software Security
Безопасность прикладного ПО. Сканирование с целью обнаружения и закрытия уязвимостей в сетевом и ином ПО. Тщательное тестирование прикладного ПО (как разработанного внутри Компании, так и сторонними разработчиками) на уязвимости, включая как ошибки кода, так и наличие вредоносного кода. Фильтрация всего трафика, получаемого веб-приложениями для избежания ошибок из-за ввода некорректных данных (включая фильтрацию по размеру и типам вносимых данных).
7. Wireless Device Control
Защита и контроль беспроводных устройств. Защита периметра от несанкционированного подключения по беспроводным сетям. Разрешение устройствам подключаться к сети, только если их конфигурация и профиль безопасности соответствуют установленным в Компании, устройство закреплено за своим владельцем и определены бизнес-цели, в рамках которых предоставляется доступ. Гарантия того, что все точки беспроводного доступа настраиваются с использованием корпоративных средств управления. Конфигурирование сканнеров для обнаружения иных точек доступа.
8. Data Recovery Capability
Организация восстановления данных. Минимизация ущерба от любых атак. Реализация плана по устранению всех следов атак. Автоматическое резервирование всей требуемой информации для полного восстановления каждой системы, включая ОС, приложения и информацию. Резервирование всех систем еженедельно, а более важной информации – чаще. Регулярное тестирование процесса восстановления.9. Security Skills Assessment and Appropriate Training to Fill Gaps
Оценка навыков по безопасности, проведение необходимых тренингов. Поиск «пробелов в образовании» и их устранение путем "выполнения упражнений" и посещения треннингов. Разработка программы оценки навыков по ИБ, плана обучения по требующимся компетенциям, использование результатов и эффективное распределение ресурсов для повышения опыта в сфере ИБ.
10. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
Безопасные настройки сетевых устройств (межсетевых экранов, маршрутизаторов, коммутаторов и т.п.). Препятствие появлению непредусмотренных точек подключения к сетям интернет, других организаций или внутренним сегментам сети Компании. Сравнение настроек активного сетевого оборудования с установленными в Компании стандартами для каждого типа устройств. Гарантия того, что любые изменения стандартных настроек будут зафиксированы и протестированы и любые временные изменения будут отменены, когда потребность в них исчезнет.11. Limitation and Control of Network Ports, Protocols, and Services
Ограничение и контроль сетевых портов, протоколов и служб. Разрешение удаленного доступа только легитимным пользователям и сервисам. Применение фаерволов на конечных узлах для фильтрации всего трафика, который явно не разрешен. Корректная конфигурация веб-серверов, почтовых серверов, файловых сервисов и сервисов печати, а также DNS-серверов для ограничения удаленного доступа. Запрет автоматической установки программ, в которых нет необходимости. Перемещение серверов за фаеровол, если не требуется удаленный доступ к ним из внешней сети.
12. Controlled Use of Administrative Privileges
Контроль использования административных привилегий. Защита и проверка привилегированных учетных записей на рабочих станциях, ноутбуках и серверах для предотвращения двух основных видов атак: (1) использования социальной инженерии для того, чтобы пользователь открыл зараженное вложение электронной почты или любой другой файл, или посетил зараженный веб-сайт; и (2) взлома пароля администратора и, тем самым, получения доступа к целевой машине. Использование стойких паролей, соответствующих принятым стандартам.
13. Boundary Defense
Защита периметра. Контроль трафика, проходящего через границы сети, и фильтрация трафика, схожего с генерируемым в ходе атаки и при поведении скомпрометированных компьютеров. Установка многоуровневой защиты периметра, использующую фаерволы, прокси, демилитаризованную зону (DMZ) и другие сетевые инструменты. Фильтрация входящего и исходящего трафика, включая получаемый из сетей бизнес-партнеров.
14. Maintenance, Monitoring, and Analysis of Security Audit Logs
Сопровождение, мониторинг и анализ журналов регистрации событий. Использование детализированных журналов для определения и раскрытия подробностей атак, включая места внедрения вредоносного ПО, и активность на зараженных компьютерах. Генерация установленных форм журналов для каждого устройства и установленного на него ПО, включая дату, время, адреса источника и назначения и другую информацию о каждом пакете и/или транзакции. Хранение журналов на предназначенных для этого серверах, и просмотр еженедельных отчетов для обнаружения и фиксации аномалий.
15. Controlled Access Based on the Need to Know
Контроль доступа на основе принципа минимизации полномочий. Предотвращение доступа злоумышленника к критичной информации. Точное определение и отделение критичной информации от информации, которая доступна большому числу пользователей внутренней сети. Установка многоуровневой системы классификации, основанной на влияние, которое может оказать любое раскрытие определенной информации, гарантия того, что только санкционированные пользователи имеют доступ к информации ограниченного доступа.16. Account Monitoring and Control
Мониторинг и контроль учетных записей. Предотвращение возможности выдачи себя за легитимного пользователя. Просмотр всех учетных записей в системе и блокирование тех, которые не связаны с какими-либо бизнес-процессами и определенными владельцами. Немедленное аннулирование прав доступа к системе для временных работников и подрядчиков по завершению работ. Отключение скрытых (стандартных) учетных записей – шифрование и изоляция всех файлов, связанных с такими аккаунтами. Использование стойких паролей, соответствующих принятым стандартам.
17. Data Loss Prevention
Предотвращение утечек данных. Остановка несанкционированной передачи критичной информации, как через сеть, так и при физическом доступе. Тщательное исследование пересылаемой за границы сети информации (как в электронном виде, так и на материальных носителях), с целью минимизации разглашения информации. Мониторинг деятельности персонала, процессов и систем с использованием централизованной системы управления.
18. Incident Response Management
Организация реагирования на инциденты. Защита репутации Компании, столь же тщательно, как и информации. Разработка инструкции реагирования на инциденты, прозрачно описывающей роли и ответственность для быстрого раскрытия атак и, затем, эффективного снижения ущерба, ликвидации источника угрозы и восстановления целостности системы.
19. Secure Network Engineering
Обеспечение безопасности сети (построение). Организация такой архитектуры сети, которая максимально затрудняет подключение к ней нарушителя. Использование проверенного и безопасного процесса построения сети, не позволяющего обойти механизмы ее защиты. Развертывание сетевой архитектуры с использованием как минимум трех уровней: DMZ, промежуточной и частной сети. Возможность быстрого развертывания новых механизмов контроля доступа для быстрого отражения атак.
20. Penetration Tests and Red Team Exercises
Тестирование на проникновение. Использование моделирования атак для подтверждения готовности к ним Компании. Проведение регулярных тестов на проникновения (как изнутри, так и снаружи), которые симулируют атаку, в целях определения уязвимостей и оценки возможных последствий. Периодическое проведение мероприятий экспертной группой – заключающихся в попытках получить доступ к критичным информации и системам – для тестирования возможностей внедренных механизмов защиты и реагирования.
Комментариев нет:
Отправить комментарий