Get best of the week

Neue Standards für Informationssicherheit: Machen Sie Angreifern das Leben schwerer

Im Bereich IT und Informationssicherheit ist das Konzept des Benchmarks seit langem etabliert - es ist ein technischer Standard zum Einrichten eines bestimmten Betriebssystems, einer bestimmten Netzwerkausrüstung oder einer bestimmten Serversoftware. In solchen Dokumenten wird normalerweise beschrieben, was und wie es in der Unternehmensinfrastruktur funktionieren soll, welche Aspekte des Schutzes davon betroffen sind, wie alles überprüft und konfiguriert wird. Es klingt kurz und klar, aber in der Praxis stellt sich heraus, dass es schwieriger ist.

In diesem Artikel werden wir über die Probleme moderner technischer Standards (Benchmarks) der Informationssicherheit sprechen und wie sie gelöst werden können.

Wie moderne Benchmarks aussehen


Für jedes System sind diese Standards unterschiedlich. Die bekanntesten Standards der Welt sind die CIS Benchmarks- Familienstandards , die unter der Schirmherrschaft der internationalen Organisation CIS durch die Bemühungen eingeladener Experten aus der ganzen Welt entwickelt wurden.

In der Regel enthalten diese Standardanforderungen Hunderte von Anforderungen, die Folgendes beschreiben:

  • Länge und Komplexität des Passworts;
  • Zugriffsrechte auf Dateien unterschiedlichen Typs;
  • Empfohlen zum Aktivieren und Deaktivieren von Diensten.

Vor- und Nachteile bestehender technischer Standards


Wie jedes Toolkit sind Sicherheitsbenchmarks nützlich, da sie das durchschnittliche Maß an Infrastruktursicherheit erhöhen. Dies spiegelt sich in der Tatsache wider, dass eine Infrastruktur, die zumindest gemäß den grundlegenden Empfehlungen der Benchmarks konfiguriert wurde, viel schwieriger zu knacken ist - zumindest bei Pentestern (in einigen Fällen erreichen sie ihre Ziele im Allgemeinen aufgrund von Zeitlimits oder akzeptablen Angriffszielen oder akzeptablen Angriffsmethoden nicht )

Da jeder dieser Standards ziemlich groß ist, kann er einfach als Referenz oder Checkliste verwendet werden, gemäß der die Geräte und Software konfiguriert werden.

Im Ausland anerkannte Benchmarks sind Unternehmen aus verschiedenen Ländern bekannt, daher sind sie sich ihrer Vorteile bewusst und bemühen sich, die in den Dokumenten angegebenen Anforderungen zu erfüllen.

In der Praxis ist jedoch nicht alles so reibungslos: Die Anwendung von Standards, die allen bekannt sind, ist nicht unproblematisch. Hier sind nur einige davon.

Es gibt viele Anforderungen


Wenn sowohl das Betriebssystem als auch einige Serveranwendungen auf einem Knoten installiert sind, müssen Sie mehrere Standards anwenden, und die Gesamtzahl der Anforderungen kann leicht 500 überschreiten. Hier eine einfache Arithmetik für den Fall einer typischen großen Organisation:

  1. Workstations: Mehr als 500 Anforderungen für Windows und MS Office, die Anzahl der Knoten - von tausend.
  2. Server: Je nach Betriebssystem und installierter Serversoftware beträgt die Anzahl der Knoten zwischen 100 und 700 Anforderungen pro Knoten Hunderte.
  3. Netzwerkausrüstung: Je nach Marke, Modell und Funktionalität von 20 bis 80 Anforderungen pro Knoten beträgt die Anzahl der Knoten Hunderte.

Die Untergrenze der Bewertung liegt bei 500.000 Anforderungen für die gesamte Infrastruktur. Es ist logisch, dass es unmöglich ist, sicherzustellen, dass alle Einheiten alle Anforderungen dieser Standards erfüllen, und dass die Einhaltung dieser Anforderungen nachverfolgt werden kann.

Eine wichtige Konsequenz ergibt sich auch aus der zu großen Anzahl von Anforderungen und Knoten in der kontrollierten Infrastruktur: Die Dauer und der Aufwand des automatisierten Scannens, selbst Teile der Infrastruktur, eignen sich in der Regel weder für IT-Administratoren noch für Spezialisten für Informationssicherheit. Um irgendwie alle Knoten zu überprüfen, müssen Sie verschiedene Tricks anwenden: Zuweisen bestimmter „technologischer Fenster“ für verschiedene Gruppen von Knoten, weniger häufig scannen, als wir möchten.

Gleichzeitig muss man die Verfügbarkeit des Netzwerks der Remote-Zweige und seine Bandbreite sorgfältig überwachen (in einigen Fällen handelt es sich um Satellitenkanäle, was die Komplexität erhöht), sich nicht durch die Häufigkeit der Scans verwirren lassen und nur die Zeit finden, um die auftretenden Scanprobleme zu lösen.

Schwer zu priorisieren


In Standardanforderungen gibt es normalerweise keine Unterteilung in mehr oder weniger wichtige Anforderungen. Daher ist es äußerst schwierig, nur diejenigen auszuwählen und umzusetzen, die die Beständigkeit gegen Einbrüche beeinflussen. Es gibt einige Beispiele für Versuche, eine solche Trennung einzuführen, aber bisher sind sie nicht sehr erfolgreich: GUS-Experten haben kürzlich begonnen, ihre Anforderungen in zwei Signifikanzgruppen aufzuteilen, aber am Ende haben sich beide Gruppen als sehr groß herausgestellt, und dieser Schritt hat das Problem nicht gelöst.

Eine Reihe von Organisationen ist bestrebt, ihre eigenen Standards für sichere Einstellungen auf der Grundlage von CIS zu erstellen, wobei die Anzahl der Anforderungen geringer ist als die ursprüngliche. Bei Unternehmen in anderen Bereichen fehlt es Fachleuten jedoch häufig an Fachwissen.

Es ist nicht klar, was genau eine bestimmte Anforderung betrifft.


Beim Lesen der Anforderungen der Standards ist oft nicht klar, welche davon mit der praktischen Sicherheit zusammenhängen und zum Schutz vor Hacking beitragen und welche erforderlich sind, damit alles ordnungsgemäß funktioniert. Um dies zu verstehen, müssen Sie das System, für das der Benchmark geschrieben wurde, auf einer tiefen Ebene verstehen.

Es besteht kein Anreiz, technische Standards zu verwenden


Die Anforderungen vieler Benchmarks an vielen Knoten zu erfüllen, ist eine große, komplexe und intensive Arbeit. Wenn der an der Infrastruktur beteiligte IT-Spezialist nicht einmal versteht, was genau die Erfüllung bestimmter Anforderungen an ein bereits funktionierendes System bewirkt, besteht kein Anreiz, dies zu nutzen.

So lösen Sie diese Probleme: PT Essential-Standards


Die Hauptprobleme der heutigen Standards für Informationssicherheit sind ihre enorme Größe und allgemeine Unspezifität. Wenn diese beiden Mängel nicht beseitigt werden, sind die Vorteile solcher Standards immer begrenzt.

Um diese Probleme zu lösen, haben wir für verschiedene Zielsysteme die Standards der neuen Generation PT Essential (PTE) entwickelt und in MaxPatrol 8 implementiert . Neue Dokumente wurden auf der Grundlage bestehender Benchmarks (z. B. CIS) und Informationen zu tatsächlichen Sicherheitsproblemen erstellt, die durch Penetrationstests unserer Experten erhalten wurden. Dabei verwenden wir das Pareto 20/80-Prinzip - normalerweise können wir mit einem kleineren Teil der Anforderungen eine große Anzahl möglicher Sicherheitsprobleme schließen.

In der Praxis endet der größte Teil der Penetrationstests normalerweise mit dem Erfolg der Angreifer. Einer der Hauptgründe ist, dass Organisationen nicht einmal die einfachsten und kritischsten Schutzempfehlungen befolgen, einschließlich:

  • Passwortkomplexität *,
  • Häufigkeit der Passwortänderung
  • Veraltetes Betriebssystem und veraltete Software.

* Die Ergebnisse von Tests der Sicherheitsstufe von Systemen, die von Positive Technologies durchgeführt wurden, zeigten, dass die überwiegende Mehrheit der Passwörter, die beim Testen des Passwortschutzes erfolgreich ausgewählt wurden, auf vorhersehbare Weise kompiliert wurden. Die Hälfte von ihnen war mit verschiedenen Kombinationen des Monats oder der Jahreszeit verbunden, wobei die Zahlen das Jahr angeben (z. B. Fduecn2019, Winter2019). Passwörter vom Typ 123456, 1qaz! QAZ, Qwerty1213, die aus Tasten in der Nähe der Tastatur bestehen, belegten in Bezug auf die Prävalenz den zweiten Platz.

In den neuen Standards haben wir versucht, die Erfahrungen der Pentests zu berücksichtigen, die unser Team in Hunderten von Unternehmen durchgeführt hat, um ihnen zu helfen, zumindest die offensichtlichsten Angriffsmethoden zu schließen. Selbst solche grundlegenden Aktionen erschweren das Leben des Angreifers erheblich und machen den Angriff auf das Unternehmen weniger attraktiv.

Hier sind die wichtigsten Unterschiede zwischen den neuen Benchmarks:

  • Jede von ihnen enthält ein Minimum an Anforderungen - nur diejenigen, die die Sicherheit des Systems direkt beeinflussen, sind enthalten. Die Anzahl der PTE-Anforderungen für jedes Zielsystem ist N (N - von 3 bis 10) mal geringer als die des GUS-Gegenstücks. Infolgedessen werden sie proportional reduziert:
    • Scan Zeit
    • Arbeitskosten für die Analyse des Scannens und die Beseitigung festgestellter Mängel

  • Für die meisten Anforderungen des Standards werden CVSS-Metriken zugewiesen - ähnlich wie bei Schwachstellen. Auf diese Weise können Sie die Beseitigung von Mängeln sofort priorisieren.
  • Die Beschreibung aller Anforderungen beschreibt die Konsequenzen, denen die Organisation ausgesetzt sein kann, wenn sie diese nicht erfüllt.

Nachfolgend finden Sie einen kurzen Vergleich der CIS-Benchmarks und der PT Essential-Familien:
KriteriumCIS-BenchmarksPT Essential (PTE)
Anzahl der AnforderungenBis zu 400 pro StandardNicht mehr als 40 pro Standard
Anforderungen in den
sicheren Konfigurationsstandard einbeziehen		Alles in Bezug
auf die Einstellungen des
Schutzsubsystems		Nur das steht in
direktem Zusammenhang mit
Hacking (Schutz vor Hacking)
Fähigkeit,
Anforderungen zu priorisieren		2 (
):
,


— CVSS
( )
,
.

,
,
.


( )

Hier ist ein Beispiel für eine PTE-Anforderung (die folgenden Beispiele beziehen sich auf UNIX-Systeme; anstelle separater Standards für jedes UNIX-ähnliche Betriebssystem wurde ein einziger Standard für alle von MaxPatrol 8 unterstützten Systeme erstellt):

Beispielanforderung "Deaktivieren der kennwortlosen Remote-Anmeldung für rlogin / rsh"


  • Mit den konfigurierten rlogin / rsh-Diensten können Sie sich ohne Angabe eines Kennworts anmelden.
  • Sie können sowohl für alle Benutzer (festgelegt in /etc/hosts.equiv) als auch individuell für jeden Benutzer (in $ HOME / .rhosts) konfiguriert werden.
  • Mit diesen Einstellungen können sich Benutzer von den angegebenen Clients aus beim Zielserver anmelden, ohne ein Kennwort auf dem Zielserver einzugeben.
  • Darüber hinaus leiden R-Subsysteme unter ARP-Spoofing-Angriffen, da das Vertrauenskriterium nur auf Clientadressen basiert.
  • Die Verwendung dieser veralteten Subsysteme stellt ein äußerst ernstes Risiko dar. Es wird daher dringend empfohlen, sie zu deaktivieren.
  • Alle Anwendungs- und Systemsoftware, die diese Tools verwenden, unterstützen SSH als viel sicherere Alternative.


CVSS: 3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (8.8)

Beispielanforderung "Gefährliche Befehle von Sudo-Einstellungen ausschließen"


Durch falsche Sudo-Einstellungen kann der Benutzer möglicherweise das Recht haben, einige (möglicherweise gefährliche) Befehle als Root für den Benutzer auszuführen:

  1. Berechtigungen im System erhöhen,
  2. Systemdateien überschreiben, wodurch das System gestört wird.

Potenziell gefährlich kann jeder Befehl sein, mit dem Sie:

  • in eine beliebige (benutzerdefinierte) Datei schreiben;
  • in eine der Systemdateien schreiben;
  • Zerstören Sie das Dateisystem oder die Festplattenpartition.

Es ist notwendig, gefährliche Befehle von den Sudo-Einstellungen auszuschließen.

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

« »


  • , , . , , — .
  • 755 , root ( ).
  • , , . root, .

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

Wichtig : Jede Anforderung enthält obligatorisch Anleitungen zur Behebung von Sicherheitslücken und zur Überprüfung auf Probleme.

Fazit


Technische Standards für Informationssicherheit sind ein wichtiges Instrument zur Erhöhung der Infrastruktursicherheit, was das Leben von Angreifern durch eine ordnungsgemäße Implementierung und eine gute Interaktion zwischen IT- und IS-Abteilungen erheblich verkompliziert. Viele moderne Standards sind jedoch für die praktische Anwendung zu komplex und umfangreich.

Es ist viel bequemer, die Standard-PT Essential-Familien zu verwenden - die Benchmarks der neuen Generation, die nur die wichtigsten Informationen liefern und auf der Erfahrung von Hunderten von Penetrationstests basieren. Bei der Implementierung von IT-Abteilungen und Spezialisten für Informationssicherheit ist klar, welche Anforderungen am wichtigsten sind, wo sie beginnen sollen und welche Probleme auftreten können, wenn diese Anforderungen nicht erfüllt werden.

Durch die Anwendung der PT Essential-Anforderungen können Sie die wichtigsten Sicherheitsprobleme in der Infrastruktur schnell identifizieren und beheben, wobei die Komplexität und Komplexität dieses Prozesses spürbar verringert wird. Warum also nicht Pentestern und Eindringlingen das Leben schwerer machen?

More articles:


All Articles