Архив метки: Hardening

Поделюсь впечатлениями от прошедшей вчера конференции Территория Безопасности, на которой я выступал и был модератором секции, посвящённой управлению уязвимостями и экспозициями

Добавить комментарий

Поделюсь впечатлениями от прошедшей вчера конференции Территория Безопасности, на которой я выступал и был модератором секции, посвящённой управлению уязвимостями и экспозициями

Поделюсь впечатлениями от прошедшей вчера конференции Территория Безопасности, на которой я выступал и был модератором секции, посвящённой управлению уязвимостями и экспозициями. На мой взгляд, Территория Безопасности - лучшая на текущий момент независимая конференция по информационной безопасности в России. Независимая в том смысле, что за ней не стоит какой-то один вендор или организация. И в то же время это масштабное мероприятие с разнообразной деловой программой (4 параллельных трека!) и множеством вендоров, представленных в выставочной части. Деловая программа фактически формируется усилиями комьюнити, и каждая ИБ-специализация имеет там своё место и возможность пересечься в одном зале, чтобы обсудить актуальные темы и то, что действительно наболело.

Я приложил руку к составлению VM-ной части программы, о которой писал ранее. Как по мне, всё прошло отлично, докладчики выступали бойко, отрепетированно и укладывались в достаточно жёсткий тайминг. Времени всегда хочется как можно больше, но, с другой стороны, такие ограничения (~1,5 часа на все про все) стимулируют делать секцию как можно более динамичной.

🔹 Приятно, что наш "позитеховский" взгляд на Exposure Management, сформулированный мной и продемонстрированный (очень подробно и наглядно 👍) Константином Маньяковым, был хорошо воспринят как представителями клиентов, так и представителями других VM-вендоров.

🔹 Хотелось бы отметить замечательный, динамичный и остроумный доклад Кирилла Евтушенко, генерального директора Кауч, с критикой функциональности по детектированию мисконфигураций в Nessus. Мне, как бывшему активному комплаенсописателю с опытом в .audit- и NASL-скриптинге, эта тема была особенно близка и интересна. 🔥

🔹 Хотелось бы поблагодарить Кирилла Сорокина, директора департамента защиты приложений ПАО «Вымпелком» (Билайн), и Романа Мустаева, начальника отдела обеспечения безопасности инфраструктуры АО «Национальная страховая информационная система», за взгляд со стороны компаний-клиентов различного масштаба. Коллеги очень здорово сбалансировали наш вендорский междусобойчик, подсветив актуальные проблемы существующих решений по работе с уязвимостями (в широком смысле 😉).

🔹 Огромная благодарность Дмитрию Чернякову, директору по развитию продуктов АО «АЛТЭКС-СОФТ» (RedCheck), за участие в дискуссии. Очень рад, что наши взгляды по VM-ным вопросам, как правило, в значительной степени совпадают. 🤝

В выставочной части в этом году стендов VM-вендоров было поменьше, чем в прошлом. Но тем не менее было много интересного.

🔻 Этот год был отмечен полноценным участием в выставке Positive Technologies с большим и красивым стендом, посвящённым именно продуктам для работы с уязвимостями/экспозициями (XSpider PRO, MaxPatrol VM, MaxPatrol HCC, MaxPatrol Carbon). Интерес был большой, и наш PT-шный десант очень активно поработал на стенде. 👍

🔻 На стенде RedCheck я потестировал интерфейс нового RedCheck VM. Выглядит симпатично. Понравилась фишка с назначением конкретных уязвимостей на ответственных. Фактически таски "один хост - одна уязвимость". Постараюсь сделать отдельный пост про это.

🔻 Интересно пообщался на стендах EASM-вендора DeteAct, compliance/hardening-вендора Кауч, "российского Skybox" MIST Insight.

Организовано мероприятие было, как всегда, отлично. 💯 По технике всё работало как надо. Кормили вкусно, и еды было в избытке. Всё способствовало приятному и полезному деловому общению. Организаторы и лично продюсер конференций Екатерина Митина - большие молодцы! Спасибо Территории Безопасности, и надеюсь, что до встречи в следующем году!

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем

Добавить комментарий

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем. Документ на 6 страниц, содержит требования, оформленные в 8 групп (символом ✳️ я отметил то, что непосредственно относится к Управлению Уязвимостями):

1. Администрирование, управление конфигурацией и эксплуатацией сетевых устройств: 1.1 администрировать пограничные устройства с изолированных рабочих мест; 1.2 использовать сертификаты или сложные пароли; 1.3 применять уникальные пароли; 1.4 контролировать и журналировать изменения конфигурации; ✳️ 1.5 выявлять и блокировать нелегитимные внешние сервисы; ✳️ 1.6 вести учёт устройств на сетевом периметре; ✳️ 1.7 управлять устройствами с истекающей поддержкой; 1.8 запретить внешнее удалённое администрирование; 1.9 согласовывать изменения с ИБ; 1.10 использовать безопасные протоколы мониторинга.

2. Повышение устойчивости к DDoS-атакам: 2.1 настроить блокировку неразрешённого трафика; 2.2 фильтровать трафик через WAF; 2.3 включить защиту от DDoS; 2.4 ограничивать подключения с одного IP; 2.5 взаимодействовать с оператором связи для противодействия DDoS.

3. Сегментация сети и контроль доступа для защиты ключевых сегментов: 3.1 сегментировать сеть VLAN и локальными сетями; 3.2 контролировать трафик через ACL; 3.3 внедрить ZTNA; 3.4 запретить удалённое администрирование ядра сети; 3.5 создать DMZ с ограниченным доступом к внутренним сегментам.

4. Резервное копирование конфигов: 4.1 назначить ответственного за резервное копирование; 4.2 хранить ≥3 копий на разных носителях, одну отдельно; 4.3 копировать ежемесячно; 4.4 определить права на копирование; 4.5 сохранять критичные конфигурации (ACL, VLAN, NAT, учетные записи); 4.6 проверять восстановление каждые три месяца.

✳️ 5. Управление уязвимостями: 5.1 реализовать управление уязвимостями по Методике анализа защищенности (ФСТЭК 25.11.2025) и Руководству по управлению уязвимостями (ФСТЭК 17.05.2023); 5.2 устанавливать обновления безопасности на пограничных устройствах и тестировать их по Методике тестирования обновлений безопасности (ФСТЭК 28.10.2022) и Методике оценки критичности уязвимостей (ФСТЭК 30.06.2025).

6. Аутентификация и управление доступом: 6.1 централизованный контроль доступа через NAC и межсетевые экраны; 6.2 многофакторная аутентификация для админ-доступа; 6.3 разграничение ролей с минимальными привилегиями.

7. Регистрация и анализ событий ИБ: 7.1 централизованный сбор и анализ событий через SIEM; 7.2 хранение детальных журналов безопасности с временными метками; 7.3 оповещение администраторов о подозрительных действиях и изменениях.

8. Регулярные учения по реагированию на инциденты для проверки их эффективности и восстановления инфраструктуры.

Интересный и подробный документ. 👍 По VM-ной части весьма примечательно, что VM-процесс для периметра рекомендуют строить в соответствии с

🔹 Руководством по Анализу защищённости. Имеются в виду периодические внешние аудиты периметра сторонней организацией с соответствующими критериями успешности? 🤔

🔹 Руководством по организации процесса управления уязвимостями в органе/организации. Был весьма удивлён, т.к. давненько не встречал прямую ссылку на него в документах ФСТЭК. 😲 Всё больше общие требования к VM-процессу, как в 117 приказе или проекте "Мероприятий и мер". 🤷‍♂️

На сайте ФСТЭК 23 января был опубликован документ с рекомендациями по харденингу виртуальной инфраструктуры на базе VMware

Добавить комментарий

На сайте ФСТЭК 23 января был опубликован документ с рекомендациями по харденингу виртуальной инфраструктуры на базе VMware

На сайте ФСТЭК 23 января был опубликован документ с рекомендациями по харденингу виртуальной инфраструктуры на базе VMware. Документ на 13 страниц содержит 19 рекомендаций различного объёма и детализации:

1. Настройка журналов событий
2. Переадресация журналов событий на удалённый сервер
3. Передача журналов в SIEM (таблица "Перечень журналов событий")
4. Оповещение администраторов безопасности посредством SIEM о наступлении событий (список 9 событий)
5. Резервное копирование
6. Многофакторная аутентификация
7. Отключение доступа по SSH
8. Харденинг доступа по SSH (если п.7 невозможен)
9. Ограничение VMware Network API
10. Блокировка VMware Installation Bundles
11. Ограничение HTTPS, клиента vSphere и vMotion
12. Регулярные обновления ПО (с тестированием)
13. Минимизация привилегий
14. Регулярная смена паролей
15. Безопасный режим ESXi
16. Флаг execInstalledOnly
17. Политики безопасности Portgroup
18. Сетевая сегментация
19. Сетевой доступ по чёрным и белым спискам

На сайте ФСТЭК 9 февраля был опубликован документ с рекомендациями по харденингу общесистемного и прикладного ПО под Windows и Linux

Добавить комментарий

На сайте ФСТЭК 9 февраля был опубликован документ с рекомендациями по харденингу общесистемного и прикладного ПО под Windows и Linux

На сайте ФСТЭК 9 февраля был опубликован документ с рекомендациями по харденингу общесистемного и прикладного ПО под Windows и Linux. Документ на 18 страниц содержит 12 групп рекомендаций:

1. Парольные политики Windows и Linux
2. Доступ и логирование событий в MySQL/MariaDB, PostgreSQL, MS SQL Server
3. Отключение SMBv1 в Windows
4. Отключение NTLMv1 в Windows
5. Удаление учётной записи "Гость" из групп "Администраторы" в Windows
6. Хранение учётных данных и ограничение доступа к конфигурационным файлам Windows и Linux
7. Аудит и блокирование неиспользуемых открытых портов
8. Отключение автовхода пользователя в Windows
9. Безопасная настройка SSH в Linux
10. Назначение прав доступа на файлы и директории в Windows и Linux
11. Отключение неиспользуемых служб и компонентов операционной системы в Windows и Linux
12. Отключение неиспользуемых учётных записей и ограничение записей с избыточными правами в Windows и Linux

На сайте ФСТЭК 30 января был опубликован документ с рекомендациями по харденингу Samba

Добавить комментарий

На сайте ФСТЭК 30 января был опубликован документ с рекомендациями по харденингу Samba

На сайте ФСТЭК 30 января был опубликован документ с рекомендациями по харденингу Samba. Samba - пакет программ, которые позволяют обращаться по сети к файлам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части. Является свободным программным обеспечением под лицензией GPL.

Всего в документе 14 страниц. Требования по настройке приводятся на пяти страницах и сгруппированы по темам:

🔹 Настройка общего доступа
🔹 Расширенные настройки
🔹 Настройки аудита ПО
🔹 Проверка недостатков конфигурации

Требования содержат конкретные параметры, которые необходимо настроить, и команды, которые необходимо выполнить. Будет просто разрабатывать проверки на соответствие и скрипты для конфигурирования. 👍

На семи страницах представлены перечни:

🔸 Подсистем
🔸 Уровней журналирования
🔸 Значений для команды full_audit:prefix
🔸 Событий, фиксируемых командами full_audit:success и full_audit:failure
🔸 Типов приоритета

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно

Добавить комментарий

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно. А что мешает конфигурировать безопасно? 🙂 Имхо, основная причина это отсутствие единого реестра, в котором были бы низкоуровневые рекомендации по настройке различных систем, обоснование от каких атак они защищают и что может отъехать от их применения. 🤔

Для уязвимостей, связанных с ошибками в ПО, эту роль худо-бедно выполняет CVE. У NIST и MITRE была аналогичная штука для безопасных конфигураций - CCE. И аналог CVSS - CCSS. Но они давно заброшены. 🤷‍♂️

Конечно, для многих систем есть Hardening Guides, которые перерабатываются в стандарты, такие как CIS Benchmarks. Есть стандарты американских военных DISA STIGS и SCAP-контент от OpenSCAP. Но всё это фрагментировано и с нестабильным качеством.

➡️ Завтра в 14:00 пройдёт вебинар Positive Technologies, про то, зачем нужен харденинг и как делать его проще с MaxPatrol HCC. 😉

Б-152 собрали папку из 10 Телеграм-каналов по информационной безопасности 📁 "ИБ-шечная"!

Добавить комментарий

Б-152 собрали папку из 10 Телеграм-каналов по информационной безопасности 📁 ИБ-шечная!

Б-152 собрали папку из 10 Телеграм-каналов по информационной безопасности 📁 "ИБ-шечная"! В подборке каналы про OSINT, этичный хакинг, уязвимости и харденинг, законы и регуляции, а также последние новости и события из мира ИБ. 🔥

Очень рад, что канал "Управление уязвимостями и прочее" тоже попал в подборку. Компания получилась приятная. 🙂 На большую часть каналов я уже был подписан, но вот про Inf0, BugXplorer, white2hack и 3side узнал только сейчас. С удовольствием подписался. 😉

➡️ Добавляйте папку к себе и рекомендуйте коллегам!