Кибербезопасность: инструкции и практики
CIS (Center for Internet Security) — Центр интернет-безопасности, некоммерческая организация, которая разрабатывает и выпускает рекомендации по ИБ.
В прошлом материале мы рассмотрели первые шесть критических элементов управления безопасностью (CIS.1 – CIS.6):
- CIS.1 – Инвентаризация и управление активами
- CIS.2 – Управление ПО
- CIS.3 – Защита данных
- CIS.4 – Управление конфигурациями
- CIS.5 – Управление учетными записями и доступом
- CIS.6 — контроль использования административных привилегий
Сегодня рассмотрим шесть критических элементов:
- CIS.7 – Управление уязвимостями
- CIS.8 – Управление журналами событий
- CIS.9 – Обеспечение безопасности электронной почты и браузера
- CIS.10 – Защита от вредоносного ПО
- CIS.11 – Восстановление данных
- CIS.12-13 – Управление и обеспечение безопасности сетевой инфраструктуры
CIS.7 – Управление уязвимостями
Уязвимости — слабые места в ПО, ОС и оборудовании, которые злоумышленники могут использовать для атак. Вот как это предотвратить.
Шаг 1. Создаем программу управления уязвимостями
Здесь определяем объём программы, где указываем, на что обращаем внимание. Например, серверы, рабочие станции, сетевые устройства, облачные ресурсы.
Назначаем ответственных за выявление и устанавливаем регламент выполнения сканирований, приоритеты и сроки устранения уязвимостей.
Шаг 2. Выбираем и настраиваем инструменты сканирования
Например, Nessus, Qualys, OpenVAS, Tenable.io или аналогичные решения, которые могут сканировать инфраструктуру на предмет известных уязвимостей.
Настраиваем автоматическое сканирование раз в неделю для рабочих станций и раз в месяц — для серверов.
Шаг 3. Находим, классифицируем, устраняем
После выполнения сканирования:
- Классифицируем уязвимости и определяем приоритеты устранения. Например, по CVSS (Common Vulnerability Scoring System).
- Пример классификации:
- Высокий риск: уязвимости, которые могут быть немедленно эксплуатированы и влияют на критические системы.
- Средний риск: уязвимости, которые сложнее эксплуатировать или влияют на менее важные системы.
- Низкий риск: уязвимости, которые имеют незначительное влияние.
- Пример классификации:
- Устраняем уязвимости — устанавливаем патчи и обновления от разработчика. Перед установкой на критические системы, тестируем патчи в изолированной среде. Если патч недоступен, снижаем риски — ограничиваем доступ, настраиваем межсетевые экраны или отключаем уязвимые функции.
Шаг 4. Постоянный мониторинг
Подписываемся на уведомления от CVE, NIST и производителей используемого ПО. Создаём отчёты после каждого сканирования. Они должны включать выявленные уязвимости, их классификацию, текущий статус устранения и ответственных лиц.
CIS.8 – Управление журналами событий
В логах всё — входы пользователей, действия привилегированных учетных записей, сетевая активность.
Поэтому ключевая цель здесь — корректно собирать, управлять и анализировать журналы событий, чтобы вовремя находить аномалии.
Шаг 1. Определяем источники логов
Для начала нужно понять, какие источники логов будем мониторить. Идентифицируем ключевые:
- Серверы
- Сетевые устройства
- Рабочие станции
- Приложения
- Облачные сервисы
И категоризируем события по важности:
- Критические: входы в систему, неудачные попытки аутентификации, изменения конфигурации.
- Важные: создание новых учетных записей, модификации данных.
- Информационные: успешные подключения, стандартные операции.
Шаг 2. Настраиваем сбор и хранение
После того, как убедились, что все ключевые компоненты инфраструктуры включены в процесс логирования, настраиваем сбор. Для начала создаём политику логирования, в которой фиксируем, какие события должны фиксироваться, где будут храниться логи и как долго.
- Активируем журналирование в ОС, приложениях и сетевых устройствах. Убеждаемся, что уровень логирования соответствует требованиям. Например, включены записи о критических и важных событиях.
- Настраиваем отправку логов в централизованное хранилище, например, SIEM-систему.
- Шифруем передаваемые логи. Используем безопасные протоколы.
- Исключаем лишние или повторяющиеся записи, чтобы не копить лишние данные.
При хранении учитываем несколько аспектов:
- Обеспечиваем защиту логов:
- Храним журналы событий в зашифрованных хранилищах.
- Ограничиваем доступ к логам.
- Настраиваем резервное копирование.
Шаг 3. Анализ и мониторинг логов
Мониторинг логов позволяет выявлять подозрительные действия и реагировать на них в реальном времени.
- Настраиваем автоматический анализ событий
- Создаём профили типичного поведения для пользователей и систем, чтобы проще было выявлять отклонения.
- Настраиваем оповещения.
- Раз в неделю просматриваем события в журналах, чтобы выявить скрытые угрозы.
Важно: здесь нужно проследить за выполнением требований регуляторов. Средства для шифрования при обработке и защите информации — это криптография, её контролирует ФСБ. Подробнее об этом рассказывали здесь.
CIS.9 – Обеспечение безопасности электронной почты и веба
Это два основных канала, по которым атакующие распространяют вредоносное ПО, инициируют фишинговые атаки и похищают данные. Большая часть успешных кибератак начинается с простого фишингового письма или перехода на вредоносный веб-сайт. Поговорим о том, как этого не допустить.
Шаг 1. Защищаем электронную почту
- Используем защищённые почтовые шлюзы, фильтруем входящие и исходящие сообщения.
- Реализуем протоколы:
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) предотвращает спуфинг электронной почты.
- SPF (Sender Policy Framework) проверяет, разрешено ли отправлять письма от имени вашего домена с указанного сервера.
- DKIM (DomainKeys Identified Mail) подтверждает подлинность отправителя, подписывая сообщения цифровым ключом.
- Блокируем потенциально опасные файлы, например, .exe, .js, .vbs. Проверяем URL на наличие фишинговых или вредоносных сайтов с помощью систем анализа ссылок.
- Используем песочницы (sandboxing) и проверяем подозрительные вложения в изолированной среде.
- Настраиваем политики защиты от фишинга.
- Обучаем сотрудников работе с электронной почтой.
Шаг 2. Защищаем веб
- Используем защищённые веб-шлюзы (Secure Web Gateway, SWG). Контролируем доступ к веб-ресурсам, блокируем вредоносные сайты, фильтруем контент.
- Реализуем DNS-фильтрацию. Перенаправляем запросы к подозрительным доменам через защищённые DNS-сервисы.
- Контролируем HTTPS-трафик. Включаем расшифровку HTTPS-трафика на шлюзах для проверки содержимого и предотвращения обхода фильтров.
- Используем прокси-серверы.
- Используем WAF для защиты, в том числе, от DDoS-атак на уровне приложения.
И, разумеется, мониторинг. Системы почтовой и веб-защиты должны отправлять логи для анализа.
CIS.10 – Защита от вредоносного ПО
Цель этого этапа — предотвращение, обнаружение и нейтрализация угроз, связанных с вредоносным программным обеспечением (malware) — вирусы, трояны, руткиты, шпионские программы и т. д. К концу 2024 года использование вредоносного ПО остается одним из основных методов в атаках.
Средства защиты информации (СЗИ) должны находиться в реестре отечественного ПО и иметь сертификат ФСТЭК. При выборе СЗИ нужно ориентироваться на требования регуляторов. О том, как подобрать нужный тип и класс сертифицированных СЗИ для информационной системы ПДн рассказывали здесь. Обзор на российский Kaspersky Endpoint Security публиковали здесь.
После того, как выбрали СЗИ:
- Разворачиваем защитное ПО на всех устройствах.
- Настраиваем режим защиты в реальном времени (real-time protection), чтобы анализировать файлы при их открытии, загрузке или изменении.
- Настраиваем автоматическое обновление баз данных угроз и ПО.
Затем подключаем сюда CIS.7 — настраиваем мониторинг, сбор логов и автоматическое оповещение о выявлении вредоносного ПО.
Люди остаются наиболее уязвимым звеном в защите от вредоносного ПО, поэтому их обучение имеет критическое значение. Обязательно проводим инструктажи, объясняем, как работает и распространяется вредоносное ПО, а также что делать для защиты.
CIS.11 – Восстановление данных
Потеря данных может нанести серьёзный финансовый, юридический и репутационный ущерб. Надёжный процесс восстановления данных гарантирует, что организация сможет быстро вернуться к нормальной работе даже в случае серьёзного инцидента.
Шаг 1. Создаем стратегию резервного копирования
Для этого:
- Определяем, какие данные и системы имеют первостепенное значение для бизнеса, например, базы данных клиентов, финансовые документы, конфигурации систем.
- Для каждого типа данных устанавливаем частоту создания резервных копий (ежедневно, еженедельно или в реальном времени).
- Определяем типы резервного копирования — полное, инкрементальное.
- Выбираем целевое хранилище резервных копий: локальное (NAS/SAN), облачное или изолированные среды (off-site или cold storage).
- Реализовываем правило «3-2-1». Очень подробно о нем писали здесь.
Шаг 2. Настраиваем и автоматизируем резервное копирование
Чтобы настроить и автоматизировать процесс, используем специализированное ПО. Не забываем:
- Создать расписание на периоды низкой нагрузки — например, ночью или в выходные.
- Настроить уведомления о статусе выполнения задач.
- Шифровать резервные копии.
Шаг 3. План восстановления и его тестирование
Процесс восстановления данных должен быть понятным и быстро осуществляемым.
- Создаем пошаговый план восстановления для разных сценариев — сбои сервера, удаление файлов, кибератаки.
- Назначаем ответственных.
- План должен быть задокументирован и доступен даже в случае потери доступа к основной инфраструктуре.
- Регулярно проверяем резервные копии и тестируем план восстановления.
CIS.12-13 – Управление и обеспечение безопасности сетевой инфраструктуры
Цель на этом этапе: защитить сеть от несанкционированного доступа и создать условия для безопасного обмена информацией внутри и за пределами организации.
Шаг 1. Сегментируем сеть
- Выделяем сегменты для рабочих станций, серверов, систем разработки, IoT-устройств и других элементов. Создаём изолированные зоны для критически важных систем — баз данных, систем управления бизнес-процессами и т.д.
- Настраиваем межсетевые экраны (firewalls) для контроля трафика между сегментами. Убеждаемся, что трафик между зонами разрешён только для необходимых протоколов и портов.
- Используем VLAN для логической сегментации. Делим устройства внутри одной физической сети на виртуальные сегменты, чтобы ограничить нежелательное взаимодействие.
При этом сетевые устройства (маршрутизаторы, коммутаторы, точки доступа) должны быть защищены от компрометации. Для этого:
- Устанавливаем уникальные сложные пароли для всех сетевых устройств. Отключаем неиспользуемые интерфейсы и сервисы (например, Telnet).
- Для управления устройствами используем SSH, HTTPS, SNMPv3.
- Регулярно проверяем наличие обновлений прошивок и оперативно применяем их.
- Логируем действия на устройствах.
Шаг 2. Настраиваем межсетевые экраны (firewalls)
- Создаём правила фильтрации и разрешаем только необходимый трафик — определённые IP-адреса, порты и протоколы.
- Определяем зоны с разным уровнем доверия, например, внешняя сеть, DMZ, внутренняя сеть.
- Используем firewall уровня приложений (WAF) для защиты веб-приложений от атак.
- И снова — мониторим события! Обязательно собираем логи межсетевых экранов.
Шаг 3. Используем системы обнаружения и предотвращения вторжений — IDS/IPS
Эти системы помогают выявлять и блокировать попытки атак в режиме реального времени.
- Настраиваем IDS/IPS для мониторинга периметра, зон с критическими системами.
- Регулярно обновляем сигнатуры угроз, чтобы система могла распознавать актуальные атаки.
- Настраиваем автоматическую реакцию — IPS должна блокировать подозрительные подключения и уведомлять команду безопасности.
Шаг 4. Защищаем беспроводные сети
Для этого:
- Настраиваем беспроводные сети на использование WPA3. Если это невозможно, используем WPA2 с сильным паролем.
- Реализуем MAC-фильтрацию и ограничиваем количество подключений.
- Выделяем гостевую сеть, изолированную от основной инфраструктуры.
- Отключаем вещание SSID для внутренних сетей.
Шаг 5. Следим за DNS-безопасностью
- Используем защищённые DNS-сервисы с функциями фильтрации вредоносных доменов.
- Настраиваем DNSSEC для проверки подлинности записей DNS.
- Фильтруем подозрительные запросы, известные вредоносные или нежелательные домены.
- Мониторим DNS-трафик — анализируем запросы, чтобы выявлять аномальную активность, например, C&C.
Шаг 6. Контролируем доступ и аутентификацию в сети
Чтобы снизить риск несанкционированного подключения, выполняем четыре шага:
- Внедряем систему контроля доступа к сети (NAC). Разрешаем подключение устройств только после проверки их соответствия требованиям безопасности.
- Настраиваем VPN для удалённого доступа. Все подключения из внешней сети должны осуществляться через зашифрованные VPN-туннели.
- Внедряем требования к многофакторной аутентификации (MFA) для всех пользователей.
- Регулярно проверяем активные подключения.
И снова — собираем логи, настраиваем оповещения и мониторим сетевые устройства.
Когда речь идёт об инфобезе, нельзя не упомянуть особенности работы с персональными данными. В чем они заключаются, как выполнить требования закона и не нарваться на штраф — подробно и понятным языком рассказывали здесь.