Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра. Вебинар проходил в рамках курса Inseca по VM, который я сейчас активно прохожу (3 недели уже прошло, осталось ещё 3). 🙂 Выписал тезисы по вебинару.
Цель в том, чтобы прийти к идеальному состоянию периметра:
🔹 Периодичность проверки каждого хоста на внешнем периметре составляет 24 часов.
🔹 На периметре отсутствуют уязвимости критичностью выше X.
🔹 Назначение каждого порта на внешнем периметре известно ИБ, понятно с какими активами во внутрянке он связан и кто за них отвечает.
Чтобы этого достичь нужны ресурсы, а значит нужно начать с продажи идеи ИБ руководству компании. Как это сделать?
🔻 Нужны союзники со стороны сетевиков и админов. Хорошо помогает сбор рабочей группы с ними.
🔻 Контроль периметра со стороны ИБ должен быть регулярным процессом организации с планерками, реагированием на аномалии и т.д.
🔻 Нужно научиться говорить на бизнес-языке. Идеально продемонстрировать возможность совершения недопустимого события. Но даже XSS-ки с потенциальным имиджевым риском может быть достаточно.
На что обратить внимание:
🔸 ИБ должно участвовать в управлении DNS и публикации сервисов.
🔸 Должен быть реестр сетевых портов. Отдельно выделяем сервисы, которых не должно быть на периметре в принципе (telnet, ssh, rpc, sql и т.д.), и сервисы, которые не были нормально продетектированы - нужно дорабатывать детекты.
🔸 Брутилки, как правило, заточены под конкретные протоколы - разбирайтесь с утилитами (или берите коммерческие сервисы-комбайны). В Метаскане, например, 28 инструментов.
🔸 Вендор настолько хорош, насколько хорош его RnD. Пусть покажет, что умеет писать детект. Готовые движки не пойдут: "в Nessus никогда не будет Битрикса". И что вы будете с этим делать?
🔸 Ошибочная выкладка файлов на периметре (папка с логами, дампами, скрипт с захардкоженными паролями и т.п.), чем вы это будете ловить? Это не CVE.
🔸 Случайно опубликованную админку сканер не найдет, нужны специальные инструменты.
🔸 Сканеры web-приложений должны поддерживать web2.0. В современных приложениях client-side rendering. Должен использоваться виртуальный браузер.