Get best of the week

Standar keamanan informasi baru: membuat hidup lebih sulit bagi penyerang

Di bidang TI dan keamanan informasi, konsep tolok ukur telah lama ditetapkan - ini adalah standar teknis untuk menyiapkan sistem operasi, peralatan jaringan, atau perangkat lunak server tertentu. Dokumen-dokumen semacam itu biasanya menggambarkan apa dan bagaimana cara kerjanya dalam infrastruktur perusahaan, aspek perlindungan apa yang dipengaruhinya, bagaimana memeriksa dan mengkonfigurasi semuanya. Kedengarannya singkat dan jelas, tetapi dalam praktiknya ternyata lebih sulit.

Pada artikel ini kita akan berbicara tentang masalah standar teknis modern (tolok ukur) keamanan informasi dan bagaimana mereka dapat diselesaikan.

Seperti apa tolok ukur modern


Untuk setiap sistem, standar-standar ini berbeda. Yang paling terkenal di dunia adalah standar keluarga CIS Benchmarks yang dikembangkan di bawah naungan organisasi internasional CIS dengan bantuan penggemar pakar yang diundang dari seluruh dunia.

Biasanya, standar ini mencakup ratusan persyaratan yang menjelaskan termasuk:

  • panjang dan kompleksitas kata sandi;
  • hak akses ke file dari berbagai jenis;
  • Disarankan untuk mengaktifkan dan menonaktifkan layanan.

Pro dan Kontra Standar Teknis Yang Ada


Seperti halnya perangkat apa pun, tolok ukur keamanan berguna karena meningkatkan tingkat rata-rata keamanan infrastruktur. Ini tercermin dalam fakta bahwa infrastruktur yang dikonfigurasi setidaknya sesuai dengan rekomendasi dasar dari tolok ukur jauh lebih sulit untuk dipecahkan - setidaknya dengan pentester (dalam beberapa kasus mereka umumnya gagal mencapai tujuan mereka karena batas waktu atau target serangan yang dapat diterima atau metode serangan yang dapat diterima) )

Karena masing-masing standar tersebut cukup besar, itu hanya dapat digunakan sebagai referensi atau daftar periksa, sesuai dengan mana peralatan dan perangkat lunak dikonfigurasi.

Benchmark yang diakui di luar negeri sudah tidak asing lagi bagi perusahaan dari berbagai negara, oleh karena itu mereka menyadari keunggulan mereka dan berusaha untuk memenuhi persyaratan yang ditentukan dalam dokumen.

Namun tidak semuanya berjalan mulus dalam praktiknya: penerapan standar yang dikenal semua orang bukannya tanpa masalah. Berikut ini beberapa di antaranya.

Ada banyak persyaratan


Jika OS dan beberapa aplikasi server diinstal pada beberapa node, maka Anda perlu menerapkan beberapa standar, dan jumlah total persyaratan dapat dengan mudah melebihi 500. Berikut ini adalah aritmatika sederhana untuk kasus organisasi besar yang khas:

  1. Workstation: lebih dari 500 persyaratan untuk Windows dan MS Office, jumlah node - dari seribu.
  2. Server: tergantung pada OS dan perangkat lunak server yang diinstal, dari 100 hingga 700 persyaratan per node, jumlah node adalah ratusan.
  3. Peralatan jaringan: tergantung pada merek, model, dan fungsi dari 20 hingga 80 persyaratan per node, jumlah node adalah ratusan.

Batas bawah penilaian adalah 500 ribu persyaratan untuk seluruh infrastruktur. Adalah logis bahwa tidak mungkin untuk memastikan kepatuhan semua unitnya dengan semua persyaratan standar tersebut, serta untuk melacak fakta kepatuhan dengan persyaratan ini.

Konsekuensi penting juga mengikuti dari sejumlah besar persyaratan dan simpul dalam infrastruktur yang dikendalikan: durasi dan kesulitan pemindaian otomatis, bahkan bagian dari infrastruktur, sebagai suatu peraturan, tidak sesuai dengan administrator TI atau spesialis keamanan informasi. Untuk mengecek semua node, Anda harus pergi ke berbagai trik: tetapkan "jendela teknologi" tertentu untuk kelompok node yang berbeda, pindai lebih jarang daripada yang kita inginkan.

Pada saat yang sama, seseorang masih harus dengan hati-hati memonitor ketersediaan jaringan cabang-cabang terpencil dan bandwidth-nya (dalam beberapa kasus ini adalah saluran satelit, yang menambah kompleksitas), cobalah untuk tidak bingung dengan frekuensi pemindaian, dan cari waktu untuk menyelesaikan masalah pemindaian yang muncul.

Sulit diprioritaskan


Dalam seperangkat persyaratan standar, biasanya tidak ada pembagian menjadi yang lebih atau kurang penting, sebagai akibatnya, sangat sulit untuk memilih dan menerapkan hanya yang mempengaruhi resistensi terhadap pembobolan. Ada beberapa contoh upaya untuk memperkenalkan pemisahan seperti itu, tetapi sejauh ini mereka tidak terlalu berhasil: para ahli CIS baru-baru ini mulai membagi persyaratan mereka menjadi dua kelompok signifikansi, tetapi pada akhirnya kedua kelompok ternyata sangat besar pula, dan langkah ini tidak menyelesaikan masalah.

Sejumlah organisasi berusaha untuk menciptakan standar mereka sendiri untuk pengaturan yang aman berdasarkan CIS, jumlah persyaratan yang kurang dari aslinya. Namun, dalam kasus perusahaan di bidang lain, spesialis sering kali tidak memiliki pengetahuan khusus.

Tidak jelas apa sebenarnya yang mempengaruhi persyaratan tertentu.


Ketika membaca persyaratan standar, seringkali tidak jelas mana dari mereka yang terkait dengan keamanan praktis dan akan membantu melindungi terhadap peretasan, dan mana yang diperlukan agar semuanya berfungsi dengan benar. Untuk memahami hal ini, Anda perlu memahami pada level yang lebih dalam sistem yang menjadi patokan penulisan ini.

Tidak ada insentif untuk menggunakan standar teknis


Untuk mencapai persyaratan banyak benchmark pada banyak node adalah pekerjaan besar, kompleks, dan intens. Selain itu, jika spesialis IT yang terlibat dalam infrastruktur bahkan tidak mengerti apa yang sebenarnya akan memberikan pemenuhan persyaratan tertentu untuk sistem yang sudah berjalan - tidak ada insentif untuk menggunakannya.

Cara mengatasi masalah ini: Standar PT Essential


Masalah utama standar saat ini dalam keamanan informasi adalah ukurannya yang besar dan tidak spesifik secara umum. Jika dua kekurangan ini tidak dihilangkan, manfaat dari standar tersebut akan selalu terbatas.

Untuk mengatasi masalah ini, untuk berbagai sistem target, kami telah mengembangkan standar generasi baru PT Essential (PTE) dan mengimplementasikannya di MaxPatrol 8 . Dokumen baru dibuat berdasarkan tolok ukur yang ada (misalnya, CIS) dan informasi tentang masalah keamanan nyata yang diperoleh dari pengujian penetrasi oleh para ahli kami. Dalam melakukannya, kami menggunakan prinsip Pareto 20/80 - biasanya sebagian kecil dari persyaratan memungkinkan kami untuk menutup sejumlah besar kemungkinan masalah keamanan.

Dalam prakteknya, biasanya sebagian besar pengujian penetrasi berakhir dengan keberhasilan para penyerang. Salah satu alasan utama adalah bahwa organisasi tidak mengikuti rekomendasi perlindungan yang paling sederhana dan paling kritis sekalipun, termasuk:

  • kompleksitas kata sandi *,
  • frekuensi perubahan kata sandi
  • OS dan perangkat lunak yang sudah tidak digunakan lagi.

* Hasil pengujian tingkat keamanan sistem yang dilakukan oleh Positive Technologies menunjukkan bahwa sebagian besar kata sandi yang berhasil dipilih selama pengujian perlindungan kata sandi dikompilasi dengan cara yang dapat diprediksi. Setengah dari mereka dikaitkan dengan berbagai kombinasi bulan atau waktu tahun dengan angka yang menunjukkan tahun (misalnya, Fduecn2019, Winter2019). Kata sandi jenis 123456, 1qaz! QAZ, Qwerty1213, yang terdiri dari tombol terdekat pada keyboard, berada di posisi kedua dalam hal prevalensi.

Dalam standar baru, kami mencoba memperhitungkan pengalaman pentest yang dilakukan oleh tim kami di ratusan perusahaan untuk membantu mereka menutup setidaknya vektor serangan yang paling jelas. Bahkan tindakan mendasar seperti itu benar-benar menyulitkan kehidupan penyerang dan membuat serangan terhadap perusahaan kurang menarik.

Berikut adalah perbedaan utama antara tolok ukur baru:

  • Masing-masing berisi minimal persyaratan - hanya yang secara langsung mempengaruhi keamanan sistem yang disertakan. Jumlah persyaratan PTE untuk setiap sistem target adalah N (N - dari 3 hingga 10) kali lebih kecil dari rekan CIS. Akibatnya, mereka berkurang secara proporsional:
    • waktu pemindaian
    • biaya tenaga kerja untuk analisis pemindaian dan penghapusan kekurangan yang ditemukan.

  • Untuk sebagian besar persyaratan standar, metrik CVSS ditugaskan - mirip dengan kerentanan. Ini memungkinkan Anda untuk segera memprioritaskan penghapusan kekurangan.
  • Deskripsi semua persyaratan menggambarkan konsekuensi yang mungkin dihadapi organisasi jika tidak memenuhinya.

Di bawah ini adalah perbandingan singkat dari Tolok Ukur CIS dan keluarga PT Essential:
KriteriaTolok Ukur CISPT Essential (PTE)
Jumlah persyaratanHingga 400 per standarTidak lebih dari 40 per standar
Memasukkan persyaratan ke dalam standar
konfigurasi aman		Semuanya terkait
dengan pengaturan
subsistem perlindungan		Hanya itu yang
terkait langsung dengan
peretasan (perlindungan terhadap peretasan)
Kemampuan untuk memprioritaskan
persyaratan		2 (
):
,


— CVSS
( )
,
.

,
,
.


( )

Berikut adalah contoh persyaratan PTE (contoh di bawah ini berkaitan dengan sistem UNIX; alih-alih standar yang terpisah untuk setiap sistem operasi mirip UNIX, standar tunggal telah dibuat untuk semua sistem seperti itu yang didukung oleh MaxPatrol 8):

Contoh persyaratan "Nonaktifkan logon jarak jauh tanpa kata sandi untuk rlogin / rsh"


  • Layanan rlogin / rsh yang dikonfigurasi memungkinkan Anda untuk masuk tanpa menentukan kata sandi.
  • Mereka dapat dikonfigurasi baik untuk semua pengguna (diatur dalam /etc/hosts.equiv) dan secara individual untuk setiap pengguna (dalam $ HOME / .rhosts).
  • Dengan pengaturan ini, pengguna dapat masuk ke server target dari klien yang ditentukan tanpa memasukkan kata sandi pada server target.
  • Selain itu, R-subsistem menderita serangan spoofing ARP, karena kriteria kepercayaan hanya didasarkan pada alamat klien.
  • Menggunakan subsistem yang usang ini menimbulkan risiko yang sangat serius, sehingga sangat disarankan untuk dinonaktifkan.
  • Semua aplikasi dan perangkat lunak sistem yang menggunakan alat ini mendukung SSH sebagai alternatif yang jauh lebih aman.


CVSS: 3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (8.8)

Contoh persyaratan “Kecualikan perintah berbahaya dari pengaturan sudo”


Pengaturan sudo yang salah dapat memungkinkan pengguna dengan hak untuk mengeksekusi beberapa (berpotensi berbahaya) perintah sebagai root untuk pengguna:

  1. meningkatkan hak istimewa dalam sistem,
  2. menimpa file sistem, mengganggu sistem.

Berpotensi berbahaya dapat berupa perintah apa pun yang memungkinkan Anda untuk:

  • menulis ke file sewenang-wenang (yang ditentukan pengguna);
  • tulis ke salah satu file sistem;
  • hancurkan sistem file atau partisi disk.

Penting untuk mengecualikan perintah berbahaya dari pengaturan sudo.

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

« »


  • , , . , , — .
  • 755 , root ( ).
  • , , . root, .

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

Penting : atas dasar wajib, setiap persyaratan berisi panduan untuk mengatasi kelemahan keamanan dan memeriksa masalah.

Kesimpulan


Standar teknis dalam keamanan informasi adalah alat penting untuk meningkatkan tingkat keamanan infrastruktur, sangat mempersulit kehidupan penyerang dengan implementasi yang tepat dan interaksi yang baik antara departemen TI dan IS. Namun, banyak standar modern terlalu rumit dan produktif untuk aplikasi praktis.

Jauh lebih mudah untuk menggunakan keluarga standar PT Essential - generasi baru dari tolok ukur yang hanya memberikan informasi paling penting dan didasarkan pada pengalaman ratusan tes penetrasi. Saat menerapkan departemen TI dan spesialis keamanan informasi, jelas persyaratan mana yang paling signifikan, di mana untuk memulai, dan masalah apa yang mungkin muncul jika persyaratan ini tidak dipenuhi.

Penerapan persyaratan PT Essential memungkinkan Anda mengidentifikasi dan menyelesaikan masalah keamanan terpenting dalam infrastruktur dengan cepat dengan pengurangan kompleksitas dan kompleksitas proses ini yang nyata. Jadi mengapa tidak membuat hidup lebih sulit untuk pentester dan pengganggu? ..

More articles:


All Articles