🔥 ➰ 🤰🏾 Nouvelles normes de sécurité de l'information: rendre la vie plus difficile aux attaquants 📼 🙏 ▫️

Dans le domaine de l'informatique et de la sécurité de l'information, le concept de référence est établi depuis longtemps - il s'agit d'une norme technique pour la mise en place d'un système d'exploitation, d'un équipement réseau ou d'un logiciel serveur spécifique. Ces documents décrivent généralement ce qui devrait fonctionner dans l'infrastructure de l'entreprise et comment, quels aspects de la protection cela affecte, comment tout vérifier et configurer tout. Cela semble court et clair, mais en pratique, cela s'avère plus difficile.

Dans cet article, nous parlerons des problèmes des normes techniques modernes (benchmarks) de la sécurité de l'information et de la manière dont ils peuvent être résolus.

À quoi ressemblent les repères modernes

Pour chaque système, ces normes sont différentes. Les normes les plus connues dans le monde sont les normes de la famille CIS Benchmarks développées sous les auspices de l'organisation internationale CIS, avec l'aide d'experts passionnés du monde entier.

En règle générale, ces normes standard incluent des centaines d'exigences qui décrivent notamment:

longueur et complexité du mot de passe;
droits d'accès à des fichiers de différents types;
Recommandé pour activer et désactiver les services.

Avantages et inconvénients des normes techniques existantes

Comme toute boîte à outils, les référentiels de sécurité sont utiles dans la mesure où ils augmentent le niveau moyen de sécurité de l'infrastructure. Cela se reflète dans le fait qu'une infrastructure configurée au moins selon les recommandations de base des benchmarks est beaucoup plus difficile à casser - au moins avec les pentesters (dans certains cas, ils ne parviennent généralement pas à atteindre leurs objectifs en raison de délais ou de cibles d'attaque acceptables ou de méthodes d'attaque acceptables )

Étant donné que chacune de ces normes est assez grande, elle peut simplement être utilisée comme référence ou liste de contrôle, selon laquelle l'équipement et le logiciel sont configurés.

Les références reconnues à l'étranger sont familières aux entreprises de différents pays, elles sont donc conscientes de leurs avantages et s'efforcent de répondre aux exigences spécifiées dans les documents.

Mais tout n'est pas si simple dans la pratique: l'application de normes familières à tous n'est pas sans poser de problèmes. Voici quelques-uns d'entre eux.

Il y a beaucoup d'exigences

Si le système d'exploitation et quelques applications serveur sont installés sur un nœud, vous devrez appliquer plusieurs normes et le nombre total d'exigences peut facilement dépasser 500. Voici une arithmétique simple pour le cas d'une grande organisation typique:

Stations de travail: plus de 500 exigences pour Windows et MS Office, le nombre de nœuds - à partir d'un millier.
Serveurs: selon le système d'exploitation et le logiciel serveur installé, de 100 à 700 exigences par nœud, le nombre de nœuds est de centaines.
Équipement réseau: selon la marque, le modèle et la fonctionnalité de 20 à 80 exigences par nœud, le nombre de nœuds est de centaines.

La limite inférieure de l'évaluation est de 500 000 exigences pour l'ensemble de l'infrastructure. Il est logique qu'il soit impossible d'assurer la conformité de toutes ses unités avec toutes les exigences de ces normes, ainsi que de suivre le fait de la conformité à ces exigences.

Une conséquence importante découle également du trop grand nombre d'exigences et de nœuds dans l'infrastructure sous contrôle: la durée et la lourdeur de l'analyse automatisée, même certaines parties de l'infrastructure, en règle générale, ne conviennent ni aux administrateurs informatiques ni aux spécialistes de la sécurité des informations. Afin de vérifier en quelque sorte tous les nœuds, vous devez passer par différentes astuces: attribuer certaines «fenêtres technologiques» à différents groupes de nœuds, scanner moins souvent que nous le souhaiterions.

Dans le même temps, il faut toujours surveiller attentivement la disponibilité du réseau de succursales distantes et sa bande passante (dans certains cas, ce sont les canaux satellites, ce qui ajoute de la complexité), essayez de ne pas vous laisser perturber par la fréquence des balayages et trouvez simplement le temps de résoudre les problèmes de balayage qui se posent.

Difficile de prioriser

Dans les ensembles d'exigences standard, il n'y a généralement pas de division en exigences plus ou moins importantes; par conséquent, il est extrêmement difficile de sélectionner et de mettre en œuvre uniquement celles qui affectent la résistance aux effractions. Il existe quelques exemples de tentatives visant à introduire une telle séparation, mais jusqu'à présent, elles ne sont pas très fructueuses: les experts du CIS ont récemment commencé à diviser leurs besoins en deux groupes d'importance, mais à la fin, les deux groupes se sont révélés très importants de toute façon, et cette étape n'a pas résolu le problème.

Un certain nombre d'organisations s'efforcent de créer leurs propres normes pour les paramètres sécurisés basés sur CIS, le nombre d'exigences dans lequel est inférieur à l'original. Cependant, dans le cas d'entreprises dans d'autres domaines, les spécialistes manquent souvent de connaissances spécialisées.

On ne sait pas exactement ce qu’une exigence particulière affecte.

Lors de la lecture des exigences des normes, il est souvent difficile de savoir lesquelles sont liées à la sécurité pratique et aideront à protéger contre le piratage, et lesquelles sont nécessaires pour que tout fonctionne correctement. Pour comprendre cela, vous devez comprendre en profondeur le système pour lequel le benchmark est écrit.

Il n'y a aucune incitation à utiliser des normes techniques

Réaliser les exigences de nombreux benchmarks sur de nombreux nœuds est un travail énorme, complexe et intense. De plus, si un informaticien impliqué dans l'infrastructure ne comprend même pas ce qui donnera exactement la satisfaction de certaines exigences à un système déjà fonctionnel, il n'y a aucune incitation à l'utiliser.

Comment résoudre ces problèmes: normes PT Essential

Les principaux problèmes des normes actuelles en matière de sécurité de l'information sont leur taille énorme et leur non-spécificité générale. Si ces deux lacunes ne sont pas éliminées, les avantages de ces normes seront toujours limités.

Pour résoudre ces problèmes, pour différents systèmes cibles, nous avons développé les standards de la nouvelle génération PT Essential (PTE) et les avons implémentés dans MaxPatrol 8 . De nouveaux documents ont été créés sur la base de référentiels existants (par exemple, CIS) et d'informations sur des problèmes de sécurité réels obtenus à partir de tests de pénétration par nos experts. Ce faisant, nous utilisons le principe Pareto 20/80 - généralement une plus petite partie des exigences nous permet de résoudre un grand nombre de problèmes de sécurité possibles.

Dans la pratique, la plupart des tests de pénétration se terminent généralement par le succès des attaquants. L'une des principales raisons est que les organisations ne suivent même pas les recommandations de protection les plus simples et les plus critiques, notamment:

complexité du mot de passe *,
fréquence de changement de mot de passe
Système d'exploitation et logiciel obsolètes.

* Les résultats des tests du niveau de sécurité des systèmes effectués par Positive Technologies ont montré que la grande majorité des mots de passe sélectionnés avec succès lors des tests de protection par mot de passe ont été compilés de manière prévisible. La moitié d'entre eux étaient associés à diverses combinaisons du mois ou de la période de l'année avec des chiffres indiquant l'année (par exemple, Fduecn2019, Winter2019). Les mots de passe du type 123456, 1qaz! QAZ, Qwerty1213, qui sont constitués de touches proches du clavier, arrivent en deuxième position en termes de prévalence.

Dans les nouvelles normes, nous avons essayé de prendre en compte l'expérience des pentests menés par notre équipe dans des centaines d'entreprises pour les aider à fermer au moins les vecteurs d'attaque les plus évidents. Même de telles actions de base compliquent sérieusement la vie de l'attaquant et rendent l'attaque contre l'entreprise moins attrayante.

Voici les principales différences entre les nouveaux repères:

Chacun d'eux contient un minimum d'exigences - seules celles qui affectent directement la sécurité du système sont incluses. Le nombre d'exigences de PTE pour chaque système cible est N (N - de 3 à 10) fois moins que l'homologue CIS. En conséquence, ils sont proportionnellement réduits:
- Temps de balayage
- les coûts de main-d'œuvre pour l'analyse de la numérisation et l'élimination des lacunes constatées.
Pour la plupart des exigences de la norme, des métriques CVSS sont attribuées, comme les vulnérabilités. Cela vous permet de prioriser immédiatement l'élimination des lacunes.
La description de toutes les exigences décrit les conséquences auxquelles l'organisation peut être confrontée si elle ne les remplit pas.

Vous trouverez ci-dessous une brève comparaison des benchmarks CIS et des familles PT Essential:

Critère	Benchmarks CIS	PT Essential (PTE)
Nombre d'exigences	Jusqu'à 400 par standard	Pas plus de 40 par standard
Intégration des exigences dans la norme de configuration sécurisée	Tout ce qui concerne les paramètres du sous-système de protection	Seul cela est directement lié au piratage (protection contre le piratage)
Capacité de prioriser les exigences	2 ( ): ,	— CVSS ( )
	, . , ,	. — ( )

Voici un exemple d'exigence PTE (les exemples ci-dessous concernent les systèmes UNIX; au lieu de normes distinctes pour chaque système d'exploitation de type UNIX, une seule norme a été créée pour tous ces systèmes pris en charge par MaxPatrol 8):

Exemple d'exigence "Désactiver la connexion à distance sans mot de passe pour rlogin / rsh"

Les services rlogin / rsh configurés vous permettent de vous connecter sans spécifier de mot de passe.
Ils peuvent être configurés pour tous les utilisateurs (définis dans /etc/hosts.equiv), et individuellement pour chaque utilisateur (dans $ HOME / .rhosts).
Avec ces paramètres, les utilisateurs peuvent se connecter au serveur cible à partir des clients spécifiés sans entrer de mot de passe sur le serveur cible.
De plus, les sous-systèmes R souffrent d'attaques d'usurpation ARP, car le critère de confiance est basé uniquement sur les adresses des clients.
L'utilisation de ces sous-systèmes obsolètes pose un risque extrêmement grave, il est donc fortement recommandé de les désactiver.
Tous les logiciels d'application et système utilisant ces outils prennent en charge SSH comme alternative beaucoup plus sûre.

CVSS: 3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (8.8)

Exemple d'exigence «Exclure les commandes dangereuses des paramètres sudo»

Des paramètres sudo incorrects peuvent permettre à l'utilisateur ayant le droit d'exécuter certaines commandes (potentiellement dangereuses) en tant que root pour l'utilisateur:

augmenter les privilèges dans le système,
écraser les fichiers système, perturber le système.

Toute commande potentiellement dangereuse peut vous permettre de:

écrire dans un fichier arbitraire (spécifié par l'utilisateur);
écrire dans l'un des fichiers système;
détruire le système de fichiers ou la partition de disque.

Il est nécessaire d'exclure les commandes dangereuses des paramètres sudo.

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

« »

, , . , , — .
755 , root ( ).
, , . root, .

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

Important : sur une base obligatoire, chaque exigence contient des conseils sur la résolution des failles de sécurité et la vérification des problèmes.

Conclusion

Les normes techniques en matière de sécurité de l'information sont un outil important pour augmenter le niveau de sécurité de l'infrastructure, ce qui complique considérablement la vie des attaquants avec une bonne mise en œuvre et une bonne interaction entre les services informatiques et informatiques. Cependant, de nombreuses normes modernes sont trop complexes et volumineuses pour une application pratique.

Il est beaucoup plus pratique d'utiliser les familles PT Essential standard - les références de nouvelle génération qui n'apportent que les informations les plus importantes et reposent sur l'expérience de centaines de tests de pénétration. Lors de la mise en œuvre des services informatiques et des spécialistes de la sécurité de l'information, il est clair quelles exigences sont les plus importantes, par où commencer et quels problèmes peuvent survenir si ces exigences ne sont pas remplies.

L'application des exigences PT Essential vous permet d'identifier et de résoudre rapidement les problèmes de sécurité les plus importants dans l'infrastructure avec une réduction notable de la complexité et de la complexité de ce processus. Alors pourquoi ne pas rendre la vie plus difficile aux pentesters et aux intrus? ..

Nouvelles normes de sécurité de l'information: rendre la vie plus difficile aux attaquants