🤶🏿 🕧 💶 معايير جديدة لأمن المعلومات: تجعل الحياة أكثر صعوبة للمهاجمين 👻 🐦 ⛱️

في مجال تكنولوجيا المعلومات وأمن المعلومات ، تم تأسيس مفهوم المعيار منذ فترة طويلة - وهو معيار تقني لإعداد نظام تشغيل معين أو معدات شبكة أو برنامج خادم. عادة ما تصف هذه المستندات ماذا وكيف يجب أن تعمل في البنية التحتية للشركة ، وما هي جوانب الحماية التي تؤثر عليها ، وكيفية التحقق من كل شيء وتكوينه. يبدو قصيرًا وواضحًا ، ولكن في الواقع يتبين أنه أكثر صعوبة.

في هذه المقالة سنتحدث عن مشاكل المعايير التقنية الحديثة (المعايير) لأمن المعلومات وكيف يمكن حلها.

كيف تبدو المعايير الحديثة

لكل نظام ، تختلف هذه المعايير. الأكثر شهرة في العالم هي معايير الأسرة معايير رابطة الدول المستقلة التي تم تطويرها تحت رعاية منظمة CIS الدولية بمساعدة المتحمسين الخبراء المدعوين من جميع أنحاء العالم.

عادةً ، تتضمن هذه المعايير القياسية مئات المتطلبات التي تصف ما يلي:

طول وتعقيد كلمة المرور ؛
حقوق الوصول إلى الملفات من أنواع مختلفة ؛
موصى به لتمكين الخدمات وتعطيلها.

إيجابيات وسلبيات المعايير التقنية الحالية

مثل أي مجموعة أدوات ، تعتبر معايير الأمان مفيدة لأنها تزيد من متوسط مستوى أمن البنية التحتية. ينعكس هذا في حقيقة أن البنية التحتية التي تم تكوينها على الأقل وفقًا للتوصيات الأساسية للمعايير هي أكثر صعوبة في الاختراق - على الأقل مع أصحاب الدعامات (في بعض هذه الحالات ، يفشلون عمومًا في تحقيق أهدافهم بسبب الحدود الزمنية أو أهداف الهجوم المقبولة أو طرق الهجوم المقبولة )

نظرًا لأن كل معيار من هذه المعايير كبير جدًا ، يمكن استخدامه ببساطة كمرجع أو قائمة مراجعة ، وفقًا لذلك يتم تكوين المعدات والبرامج.

إن المعايير المعترف بها في الخارج مألوفة لشركات من دول مختلفة ، وبالتالي فهي على دراية بمزاياها وتسعى جاهدين للوفاء بالمتطلبات المحددة في الوثائق.

ولكن ليس كل شيء سلسًا جدًا في الممارسة العملية: تطبيق المعايير المألوفة للجميع لا يخلو من المشاكل. هنا فقط بعض منهم.

هناك الكثير من المتطلبات

إذا تم تثبيت كل من نظام التشغيل واثنين من تطبيقات الخادم على بعض العقدة ، فستحتاج إلى تطبيق العديد من المعايير ، ويمكن أن يتجاوز العدد الإجمالي للمتطلبات بسهولة 500. فيما يلي حساب بسيط لحالة منظمة كبيرة نموذجية:

محطات العمل: أكثر من 500 من متطلبات Windows و MS Office ، عدد العقد - من ألف.
الخوادم: بناءً على نظام التشغيل وبرنامج الخادم المثبت ، من 100 إلى 700 متطلبات لكل عقدة ، يبلغ عدد العقد المئات.
معدات الشبكة: اعتمادًا على العلامة التجارية والطراز والوظيفة من 20 إلى 80 متطلبات لكل عقدة ، فإن عدد العقد هو المئات.

الحد الأدنى للتقييم هو 500 ألف متطلبات للبنية التحتية بأكملها. من المنطقي أنه من المستحيل ضمان امتثال جميع وحداتها لجميع متطلبات هذه المعايير ، بالإضافة إلى تتبع حقيقة الامتثال لهذه المتطلبات.

نتيجة مهمة أيضًا تأتي من العدد الكبير للغاية من المتطلبات والعقد في البنية التحتية الخاضعة للسيطرة: مدة ومسح المسح الآلي ، حتى أجزاء من البنية التحتية ، كقاعدة عامة ، لا تناسب أيًا من مسؤولي تكنولوجيا المعلومات أو متخصصي أمن المعلومات. من أجل التحقق من جميع العقد بطريقة أو بأخرى ، يجب عليك الذهاب إلى الحيل المختلفة: تعيين "نوافذ تكنولوجية" معينة لمجموعات مختلفة من العقد ، والمسح الضوئي أقل في كثير من الأحيان.

في الوقت نفسه ، لا يزال يتعين على المرء أن يراقب بعناية توفر شبكة الفروع البعيدة وعرض النطاق الترددي (في بعض الحالات هي قنوات فضائية ، مما يضيف تعقيدًا) ، حاول ألا تخلط بين تكرار عمليات المسح ، وتجد فقط الوقت لحل مشاكل المسح التي تنشأ.

من الصعب تحديد الأولويات

في المجموعات القياسية من المتطلبات ، لا يوجد عادة تقسيم إلى أكثر أو أقل أهمية ؛ ونتيجة لذلك ، يكون من الصعب للغاية تحديد وتنفيذ تلك التي تؤثر على مقاومة الاختراقات. هناك بعض الأمثلة على محاولات إدخال مثل هذا الفصل ، لكنها حتى الآن لم تكن ناجحة للغاية: بدأ خبراء رابطة الدول المستقلة مؤخرًا في تقسيم متطلباتهم إلى مجموعتين مهمتين ، ولكن في النهاية تبين أن المجموعتين كبيرتان جدًا على أي حال ، ولم تحل هذه الخطوة المشكلة.

يسعى عدد من المؤسسات إلى إنشاء معايير خاصة بها لإعدادات آمنة استنادًا إلى CIS ، وهو عدد المتطلبات التي يكون فيها أقل من الأصل. ومع ذلك ، في حالة الشركات في مجالات أخرى ، غالبًا ما يفتقر المتخصصون إلى المعرفة المتخصصة.

ليس من الواضح ما الذي يؤثر عليه مطلب معين بالضبط.

عند قراءة متطلبات المعايير ، غالبًا ما يكون من غير الواضح أي منها يتعلق بالأمان العملي وسيساعد على الحماية من القرصنة ، وأيها ضروري لكي يعمل كل شيء بشكل صحيح. لفهم هذا ، عليك أن تفهم على مستوى عميق النظام الذي تمت كتابة المعيار الخاص به.

لا يوجد حافز لاستخدام المعايير التقنية

لتحقيق متطلبات العديد من المعايير على العديد من العقد هو عمل ضخم ومعقد ومكثف. علاوة على ذلك ، إذا لم يفهم أخصائي تكنولوجيا المعلومات المنخرط في البنية التحتية ما الذي سيعطي بالضبط تلبية متطلبات معينة لنظام عمل بالفعل - فلا يوجد حافز لاستخدام ذلك.

كيفية حل هذه المشاكل: المعايير الأساسية PT

المشاكل الرئيسية لمعايير اليوم في أمن المعلومات هي حجمها الضخم وعدم خصوصيتها العامة. إذا لم يتم القضاء على هذين القصرين ، فستظل فوائد هذه المعايير محدودة دائمًا.

لحل هذه المشاكل ، بالنسبة للأنظمة المستهدفة المختلفة ، قمنا بتطوير معايير الجيل الجديد PT Essential (PTE) وتنفيذها في MaxPatrol 8 . تم إنشاء مستندات جديدة على أساس المعايير الحالية (على سبيل المثال ، CIS) ومعلومات حول مشاكل الأمان الحقيقية التي تم الحصول عليها من اختبار الاختراق من قبل خبرائنا. من خلال القيام بذلك ، نستخدم مبدأ Pareto 20/80 - عادة ما يسمح جزء أصغر من المتطلبات بإغلاق عدد كبير من المشكلات الأمنية المحتملة.

من الناحية العملية ، عادة ما ينتهي معظم اختبار الاختراق بنجاح المهاجمين. أحد الأسباب الرئيسية هو أن المنظمات لا تتبع حتى أبسط توصيات الحماية وأكثرها أهمية ، بما في ذلك:

تعقيد كلمة المرور * ،
تردد تغيير كلمة المرور
نظام تشغيل وبرامج موقوفة.

* أظهرت نتائج اختبار مستوى الأمان للأنظمة التي أجرتها تقنيات إيجابية أن الغالبية العظمى من كلمات المرور التي تم اختيارها بنجاح أثناء اختبار حماية كلمة المرور تم تجميعها بطريقة يمكن التنبؤ بها. ارتبط نصفها بمجموعات مختلفة من الشهر أو الوقت من السنة مع الأرقام التي تشير إلى السنة (على سبيل المثال ، Fduecn2019 ، Winter2019). جاءت كلمات المرور من النوع 123456 ، 1qaz! QAZ ، Qwerty1213 ، والتي تتكون من مفاتيح قريبة على لوحة المفاتيح ، في المرتبة الثانية من حيث الانتشار.

في المعايير الجديدة ، حاولنا أن نأخذ في الاعتبار تجربة الكفاءات التي أجراها فريقنا في مئات الشركات لمساعدتهم على إغلاق ناقلات الهجوم الأكثر وضوحًا على الأقل. حتى هذه الإجراءات الأساسية تعقد بشكل خطير حياة المهاجم وتجعل الهجوم على الشركة أقل جاذبية.

فيما يلي الاختلافات الرئيسية بين المعايير الجديدة:

يحتوي كل واحد منهم على الحد الأدنى من المتطلبات - يتم تضمين فقط تلك التي تؤثر بشكل مباشر على أمن النظام. عدد متطلبات PTE لكل نظام مستهدف هو N (N - من 3 إلى 10) مرات أقل من نظيره رابطة الدول المستقلة. ونتيجة لذلك ، يتم تقليلها نسبيًا:
- وقت الفحص
- تكاليف العمالة لتحليل المسح والقضاء على أوجه القصور الموجودة.
بالنسبة لمعظم متطلبات المعيار ، يتم تعيين مقاييس CVSS - على غرار الثغرات الأمنية. هذا يسمح لك بتحديد أولويات إزالة العيوب على الفور.
يصف وصف جميع المتطلبات العواقب التي قد تواجهها المنظمة إذا لم تستوفها.

فيما يلي مقارنة موجزة بين معايير رابطة الدول المستقلة وعائلات PT الأساسية:

معيار	معايير رابطة الدول المستقلة	PT Essential (PTE)
عدد المتطلبات	ما يصل إلى 400 لكل معيار	لا يزيد عن 40 لكل معيار
دمج المتطلبات في معيار التكوين الآمن	كل ما يتعلق بإعدادات النظام الفرعي للحماية	هذا فقط مرتبط مباشرة بالقرصنة (الحماية ضد القرصنة)
القدرة على تحديد أولويات المتطلبات	2 ( ): ,	— CVSS ( )
	, . , ,	. — ( )

فيما يلي مثال لمتطلب PTE (تنطبق الأمثلة أدناه على أنظمة UNIX ؛ بدلاً من معايير منفصلة لكل نظام تشغيل يشبه UNIX ، تم إنشاء معيار واحد لجميع هذه الأنظمة التي يدعمها MaxPatrol 8):

متطلب مثال "تعطيل تسجيل الدخول عن بعد بدون كلمة مرور لـ rlogin / rsh"

تتيح لك خدمات rlogin / rsh المكونة تسجيل الدخول دون تحديد كلمة مرور.
يمكن تكوينها لكل المستخدمين (تم تعيينها في /etc/hosts.equiv) وبشكل فردي لكل مستخدم (في $ HOME / .rhosts).
باستخدام هذه الإعدادات ، يمكن للمستخدمين تسجيل الدخول إلى الخادم الهدف من العملاء المحددين دون إدخال كلمة مرور على الخادم الهدف.
بالإضافة إلى ذلك ، تعاني الأنظمة الفرعية R من هجمات انتحال ARP ، حيث يعتمد معيار الثقة على عناوين العملاء فقط.
يشكل استخدام هذه الأنظمة الفرعية المتقادمة خطرًا كبيرًا للغاية ، لذا يوصى بشدة بتعطيلها.
تدعم جميع برامج التطبيقات والنظام التي تستخدم هذه الأدوات SSH كبديل أكثر أمانًا.

CVSS: 3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (8.8)

متطلب مثال "استبعاد أوامر خطيرة من إعدادات sudo"

قد تسمح إعدادات sudo غير الصحيحة للمستخدم بالحق في تنفيذ بعض الأوامر (التي قد تكون خطيرة) كجذر للمستخدم:

زيادة الامتيازات في النظام ،
الكتابة فوق ملفات النظام ، وتعطيل النظام.

يمكن أن يكون أي خطر يسمح لك بما يلي:

الكتابة إلى ملف عشوائي (محدد من قبل المستخدم) ؛
الكتابة إلى أحد ملفات النظام ؛
تدمير نظام الملفات أو قسم القرص.

من الضروري استبعاد الأوامر الخطرة من إعدادات sudo.

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

« »

, , . , , — .
755 , root ( ).
, , . root, .

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

هام : على أساس إلزامي ، يحتوي كل متطلب على إرشادات حول حل العيوب الأمنية والتحقق من المشكلات.

استنتاج

تعد المعايير الفنية في أمن المعلومات أداة مهمة لزيادة مستوى أمن البنية التحتية ، مما يعقد بشكل كبير حياة المهاجمين مع التنفيذ السليم والتفاعل الجيد بين أقسام تكنولوجيا المعلومات ونظم المعلومات. ومع ذلك ، فإن العديد من المعايير الحديثة معقدة للغاية وضخمة للتطبيق العملي.

من الأسهل بكثير استخدام عائلة PT Essential القياسية - جيل جديد من المعايير التي تقدم فقط أهم المعلومات وتستند إلى تجربة المئات من اختبارات الاختراق. عند تنفيذ أقسام تكنولوجيا المعلومات والمتخصصين في أمن المعلومات ، من الواضح ما هي المتطلبات الأكثر أهمية ، ومن أين تبدأ ، وما هي المشاكل التي قد تنشأ إذا لم يتم تلبية هذه المتطلبات.

يسمح لك تطبيق متطلبات PT Essential بالتعرف على المشكلات الأمنية الأكثر أهمية في البنية التحتية وحلها بسرعة مع تقليل ملحوظ في تعقيد وتعقيد هذه العملية. فلماذا لا نجعل الحياة أصعب على المتسللين والمتسللين؟ ..

معايير جديدة لأمن المعلومات: تجعل الحياة أكثر صعوبة للمهاجمين