среда, 15 июня 2011 г.

Практика ИБ \ SANS - Топ 20 наиболее критичных защитных мер и средств

Перевел еще один весьма полезный документ: SANS - Топ 20 наиболее критичных защитных мер и средств. В документе приведены самые важные процессы ИБ, которые следует использовать любой компании для предотвращения несанкционированного доступа злоумышленников к ее системам и сетям, либо минимизации ущерба, который они могут нанести.

Также в документе приведена карта киберугроз, содержащая ключевые элементы, которые присутствуют почти в каждой атаке. Любая атака может быть представлена в виде определенного пути по этой карте. Карта позволяет выбрать наилучшие подходы для защиты от различных атак. В качестве иллюстрации возможного применения карты, на ней показаны три варианта атак: хищение данных банковских карт и финансовой информации, APT-атаки, поисковая оптимизация (SEO).

Топ-20 самых важных защитных мер и средств:
  1. Инвентаризация разрешенных и несанкционированно подключенных устройств. Необходимо иметь полную информацию о подключенных к сети устройствах и блокировать несанкционированное подключение устройств.
  2. Инвентаризация разрешенного и несанкционированно установленного программного обеспечения. Используйте специализированные программные средства для сбора информации об установленных на компьютерах сети приложениях и выявления неразрешенных программ.
  3. Безопасные настройки аппаратного и программного обеспечения для серверов, рабочих станций и ноутбуков. Должны применяться безопасные настройки, а не настройки по умолчанию. Образы, с которых производится установка систем, должны быть предварительно настроены для обеспечения необходимого уровня защиты и протестированы. Должно быть организовано безопасное хранение этих образов.
  4. Безопасные настройки сетевых устройств (межсетевых экранов, маршрутизаторов, коммутаторов и т.п.). Внедрите специализированные средства для оценки правильности работы устройств, осуществляющих фильтрацию трафика, которые выполняют поиск ошибок и несанкционированных изменений конфигураций.
  5. Защита периметра. Создайте периметр сети с помощью межсетевых экранов, прокси, DMZ и систем IPS уровня сети. Проверьте обеспечиваемую ими защиту сканерами уязвимостей.
  6. Сопровождение, мониторинг и анализ журналов регистрации событий. Включите в системах, сетевых устройствах и межсетевых экранах функции журналирования событий. Анализируйте создаваемые журналы.
  7. Безопасность прикладного ПО. Тестируйте разработанное и приобретенное ПО с помощью автоматизированных средств анализа или с посредством ручного тестирования на проникновение. Проводимые атаки должны приводить к автоматической генерации соответствующих предупреждений (алертов).
  8. Контроль использования административных привилегий. Осуществляйте мониторинг использования и отслеживайте учетные записи, имеющие административные привилегии.
  9. Контроль доступа на основе принципа "должен знать". Отделите критичные данные от менее критичных, контролируйте доступ к ним.
  10. Постоянный анализ уязвимостей и их устранение. Внедрите эффективные средства для сканирования, которые, в частности, позволяют сравнивать полученные результаты с результатами предыдущего сканирования для определения произошедших изменений.
  11. Мониторинг и контроль учетных записей. Настройте системы для записи детальной информации об использовании учетных записей, применяйте самостоятельно разработанные скрипты или специализированные приложения для анализа содержимого журналов регистрации событий.
  12. Защита от вредоносного кода. Используйте административные функции или корпоративные системы обеспечения безопасности конечных точек, чтобы проверить, что средства защиты от вредоносных программ и системы IPS/IDS уровня хоста функционируют на всех управляемых компьютерах сети.
  13. Ограничение и контроль сетевых портов, протоколов и служб. Настройте системы так, чтобы минимизировать «атакуемую поверхность» (attack surface) - отключите неиспользуемые службы и протоколы, заблокируйте ненужные для работы порты, установите межсетевые экраны уровня хоста для повышения защиты.
  14. Защита и контроль беспроводных устройств. При использовании беспроводных сетей, применяйте специализированные IDS. Проводите сканирование и мониторинг для обнаружения работающих беспроводных сетей.
  15. Предотвращение утечек данных. Используйте решения DLP для выявления попыток вывода критичных данных за пределы сети компании, а также иной подозрительной активности в защищаемой сети.
  16. Обеспечение безопасности сети. Применяйте лучшие практики в области безопасности при проектировании сети, настройке маршрутизаторов, коммутаторов, критичных серверов, межсетевых экранов, компонентов безопасности и групп клиентских компьютеров.
  17. Тестирование на проникновение. Подражайте действиям компьютерных злоумышленников при определении границ и подходов к проведению тестов на проникновение. Используйте сведения о выявленных недостатках для повышения безопасности.
  18. Организация реагирования на инциденты. Разработайте детальные процедуры реагирования на инциденты. Периодически проводите обучение и практическую отработку этих процедур на основе сценариев.
  19. Организация возможностей восстановления данных. Внедрите надежные и безопасные процедуры резервного копирования важных данных. Тестируйте восстановление различных систем с созданных копий на регулярной основе.
  20. Оценка навыков по безопасности, проведение необходимых тренингов. Оценивайте знания и навыки сотрудников по вопросам безопасности, чтобы определить, достаточно ли их для выполнения сотрудниками своих ролей. При необходимости организуйте дополнительное обучение (повышение осведомленности).
Топ-9 самых опасных векторов атак:
  1. Поисковая оптимизация (SEO - Search Engine Optimization) для распространения вредоносных программ. Когда происходят крупные события, информация о которых появляется во всех новостях, злоумышленники используют технологии SEO, чтобы поднять позиции своих предварительно зараженных веб-страниц в результатах выдачи поисковых систем. Когда ничего не подозревающий пользователь сделает запрос по интересующей его новости в поисковой системе, получит результаты и перейдет по одной из самых верхних ссылок, он попадет на страницу злоумышленника, которая будет пытаться загрузить и запустить на его компьютере вредоносную программу, используя уязвимости программного обеспечения на стороне пользователя.
  2. Эксплуатация уязвимостей в клиентском программном обеспечении, разработанном третьей стороной. Поскольку операционные системы стали значительно более безопасными, злоумышленники все чаще переходят к использованию уязвимостей в стороннем программном обеспечении, работающем в операционной системе, среди которого офисные программы (Word, Excel и PowerPoint), мультимедиа-проигрыватели (Real Player, iTunes, QuickTime), а также специальные утилиты для просмотра документов (например, Adobe Reader). Нередко злоумышленники используют в своих атаках уязвимости «нулевого дня», для которых разработчик еще не выпустил патч, исправляющий недостатки уязвимого программного обеспечения.
  3. Целевой фишинг (Spear Phishing). Это старый, но хорошо работающий метод. Злоумышленники направляют определенным людям в компании тщательно подготовленные целевые сообщения, в попытке убедить жертву открыть вредоносное вложение или перейти по ссылке на сайт, содержащий эксплойты для взлома программ на стороне пользователя. Проходят времена, когда такие фишинговые сообщения содержали множество грамматических ошибок, были основаны на совершенно нелепых сценариях и рассылались миллионам людей. Сегодня фишинговые атаки становятся более целевыми, они направлены на руководителей компаний, в сообщениях указываются тщательно продуманные реалистичные сценарии, они больше не содержат грамматических ошибок.
  4. Перехват браузера (browser hooking). Эксплуатируя уязвимости, позволяющие осуществлять межсайтовое выполнение сценариев на доверенных веб-сайтах, злоумышленники размещают контент, содержащий вредоносные скрипты (сценарии). Когда пользователь открывает такой сайт, браузер на его компьютере запускает эти скрипты, давая злоумышленнику контроль над самим браузером пользователя. Перехваченный таким образом контроль над браузером пользователя, позволяет злоумышленнику использовать его как отправную точку для дальнейших атак на другие системы, в том числе внутренние ресурсы сети и серверы компании. 
  5. Массовые SQL-инъекции. В течение многих лет, атаки, использующие SQL-инъекции, были сосредоточены на краже конфиденциальных данных из отдельных веб-приложений и базы данных. В последнее время злоумышленники расширили использование SQL-инъекций с помощью автоматизированного программного обеспечения, позволяющего одновременно атаковать тысячи веб-приложений. Вместо кражи данных, современные атаки чаще направлены на изменение содержимого баз данных, которые будут отображаться на веб-сайтах. Сегодня плохие парни используют SQL-инъекции для изменения веб-контента и размещения на сайте вредоносных скриптов для атаки на браузеры посетителей, а также других эксплойтов, использующих уязвимости программного обеспечения на стороне пользователя. Целью этого обычно является установка на компьютер пользователя вредоносного программного обеспечения.
  6. Атаки на административные интерфейсы. Большинство крупных корпоративных систем, таких как комплексы обеспечения безопасности конечных точек (Endpoint Security Suite), средства сетевого администрирования, ERP-системы, и даже системы управления HVAC и электроснабжением, настраиваются через административные веб-интерфейсы. Выполняя атаки перехвата браузера или эксплуатируя уязвимости программного обеспечения на стороне пользователя, злоумышленники все чаще охотятся на такие административные интерфейсы, которые могут позволить злоумышленникам контролировать соответствующую систему или инфраструктуру.
  7. Использование сайтов социальных сетей для кражи информации и распространения вредоносных программ. Злоумышленники используют популярные социальные сети, такие как Facebook, LinkedIn, Twitter для сбора критичной информации о деятельности компании и технологиях, используемых сотрудниками. Более того, некоторые злоумышленники распространяют эксплойты и скрипты для перехвата браузера через сайты социальных сетей.
  8. Атаки “передача хэша” (pass-the-hash) в Windows интегрированы в пакеты для проведения атак. Злоумышленники используют технику “передачи хэша” в отношении Windows-систем, чтобы получить доступ в корпоративный домен, используя для аутентификации украденные хэши вместо паролей. Возможности проведение атаки “передача хэша” в настоящее время включены в широко используемые инструменты компьютерных атак, такие как Metasploit и Nmap, значительно упрощая проведение широкомасштабных атак с использованием этой техники.
  9. Взлом оборудования. Поскольку защита программного обеспечения за последние годы значительно улучшилась и одновременно с этим получили широкое распространение различные встраиваемые устройства (embedded device), такие как модули сотовой связи, беспроводные маршрутизаторы, компьютерные модули и т.п., компьютерные злоумышленники чаще стали взламывать оборудование. Посредством перехвата информации, передаваемой по шинам данных (bus sniffing), взлома прошивок, изменения системного времени (clock glitching) и других изощренных атак на оборудование, злоумышленники обходят защитные механизмы и получают ключи шифрования, что помогает им при дальнейших атаках на инфраструктуру компании, которая поддерживает работу таких устройств.


5 комментариев:

Ригель комментирует...
Этот комментарий был удален автором.
eagle комментирует...

А Вы не заглядывали в оригинал, прежде чем сделать это суждение? ;-)
В оригинале это "Network-Based Threat Assessments", а вовсе на IDS. Про IDS сканано ниже, на уровне 2. Уровень 1 касается обеспечения защищенности ПО на этапе его разработки и тестирования.

Ригель комментирует...

Да, не сообразил.

mobi комментирует...

9 пункт очень важен

Анонимный комментирует...

This file is no longer available.
The file you are trying to access is no longer available for download.
Please contact the owner if you have any questions.

Если есть возможность - перезалейте файл.