🌫️ 🐹 🙆🏻 Novos padrões de segurança da informação: dificultam a vida dos invasores 🎄 👨🏻‍⚖️ 💟

No campo da segurança de TI e da informação, o conceito de benchmark já foi estabelecido há muito tempo - é um padrão técnico para a configuração de um sistema operacional, equipamento de rede ou software de servidor específico. Esses documentos geralmente descrevem o que e como deve funcionar na infraestrutura da empresa, quais aspectos da proteção afeta, como verificar e configurar tudo. Parece breve e claro, mas, na prática, acaba sendo mais difícil.

Neste artigo, falaremos sobre os problemas dos padrões técnicos modernos (benchmarks) de segurança da informação e como eles podem ser resolvidos.

Como são os benchmarks modernos

Para cada sistema, esses padrões são diferentes. Os mais famosos do mundo são os padrões da família CIS Benchmarks , desenvolvidos sob os auspícios da organização internacional CIS, com a ajuda de entusiastas especialistas convidados de todo o mundo.

Normalmente, esses padrões incluem centenas de requisitos que descrevem, incluindo:

comprimento e complexidade da senha;
direitos de acesso a arquivos de diferentes tipos;
Recomendado para ativar e desativar serviços.

Prós e contras das normas técnicas existentes

Como qualquer kit de ferramentas, os benchmarks no campo da segurança são úteis, pois aumentam o nível médio de segurança da infraestrutura. Isso se reflete no fato de que uma infra-estrutura configurada pelo menos de acordo com as recomendações básicas dos benchmarks é muito mais difícil de decifrar - pelo menos com os pentesters (em alguns casos, eles geralmente não conseguem atingir seus objetivos devido a prazos ou alvos de ataque aceitáveis ou métodos de ataque aceitáveis )

Como cada padrão é muito grande, ele pode ser simplesmente usado como referência ou lista de verificação, de acordo com a qual o equipamento e o software estão configurados.

Os benchmarks reconhecidos no exterior são familiares para empresas de diferentes países, portanto, eles estão cientes de suas vantagens e se esforçam para cumprir os requisitos especificados nos documentos.

Mas nem tudo é tão tranquilo na prática: a aplicação de padrões familiares a todos não ocorre sem problemas. Aqui estão apenas alguns deles.

Existem muitos requisitos

Se o SO e alguns aplicativos de servidor estiverem instalados em algum nó, será necessário aplicar vários padrões e o número total de requisitos poderá facilmente exceder 500. Aqui está uma aritmética simples para o caso de uma organização grande típica:

Estações de trabalho: mais de 500 requisitos para Windows e MS Office, o número de nós - de mil.
Servidores: dependendo do SO e do software de servidor instalado, de 100 a 700 requisitos por nó, o número de nós é centenas.
Equipamento de rede: dependendo da marca, modelo e funcionalidade de 20 a 80 requisitos por nó, o número de nós é centenas.

O limite inferior da avaliação é de 500 mil requisitos para toda a infraestrutura. É lógico que é impossível garantir a conformidade de todas as suas unidades com todos os requisitos de tais normas, bem como acompanhar o fato de conformidade com esses requisitos.

Uma conseqüência importante também decorre do número excessivamente grande de requisitos e nós na infraestrutura sob controle: a duração e a laboriosidade da varredura automatizada, mesmo partes da infraestrutura, em regra, não se adequam aos administradores de TI ou especialistas em segurança da informação. Para verificar de alguma forma todos os nós, você precisa fazer vários truques: designar certas “janelas tecnológicas” para diferentes grupos de nós, digitalizar com menos frequência do que gostaríamos.

Ao mesmo tempo, ainda é preciso monitorar cuidadosamente a disponibilidade da rede de filiais remotas e sua largura de banda (em alguns casos, são canais de satélite, o que aumenta a complexidade), tentar não se confundir com a frequência das varreduras e encontrar tempo para resolver os problemas de varredura que surgem.

Difícil priorizar

Em conjuntos de requisitos padrão, geralmente não há divisão em outros mais ou menos importantes; como resultado, é extremamente difícil selecionar e implementar apenas aqueles que afetam a resistência a arrombamentos. Existem alguns exemplos de tentativas de introduzir essa separação, mas até agora elas não são muito bem-sucedidas: especialistas da CIS recentemente começaram a dividir seus requisitos em dois grupos de significados, mas no final os dois grupos se mostraram muito grandes de qualquer maneira, e essa etapa não resolveu o problema.

Várias organizações estão se esforçando para criar seus próprios padrões para configurações seguras baseadas no CIS, cujo número de requisitos é menor que o original. No entanto, no caso de empresas de outras áreas, os especialistas geralmente carecem de conhecimento especializado.

Não está claro o que exatamente um requisito específico afeta.

Ao ler os requisitos dos padrões, geralmente não está claro quais deles estão relacionados à segurança prática e ajudarão a proteger contra hackers, e quais são necessários para que tudo funcione corretamente. Para entender isso, é necessário entender em um nível profundo o sistema para o qual o benchmark foi escrito.

Não há incentivo para usar padrões técnicos

Atingir os requisitos de muitos benchmarks em muitos nós é um trabalho enorme, complexo e intenso. Além disso, se o especialista em TI envolvido na infraestrutura nem sequer entender o que exatamente dará o cumprimento de determinados requisitos a um sistema já em funcionamento - não há incentivo para usá-lo.

Como resolver estes problemas: PT Essential standards

Os principais problemas dos padrões atuais em segurança da informação são seu enorme tamanho e sua não especificidade geral. Se essas duas deficiências não forem eliminadas, os benefícios de tais padrões sempre serão limitados.

Para resolver esses problemas, para vários sistemas de destino, desenvolvemos os padrões da nova geração PT Essential (PTE) e os implementamos no MaxPatrol 8 . Novos documentos foram criados com base nos parâmetros de referência existentes (por exemplo, CIS) e informações sobre problemas reais de segurança obtidos dos testes de penetração de nossos especialistas. Ao fazer isso, usamos o princípio Pareto 20/80 - geralmente uma parte menor dos requisitos nos permite fechar um grande número de possíveis problemas de segurança.

Na prática, geralmente a maioria dos testes de penetração termina com o sucesso dos atacantes. Um dos principais motivos é que as organizações não seguem nem mesmo as recomendações de proteção mais simples e críticas, incluindo:

complexidade da senha *,
frequência de alteração de senha
SO e software obsoletos.

* Os resultados dos testes do nível de segurança dos sistemas realizados pela Positive Technologies mostraram que a grande maioria das senhas selecionadas com sucesso durante o teste de proteção por senha foi compilada de maneira previsível. Metade deles foram associados a várias combinações do mês ou época do ano com números que indicam o ano (por exemplo, Fduecn2019, Winter2019). As senhas do tipo 123456, 1qaz! QAZ, Qwerty1213, que são compostas por teclas próximas no teclado, ficaram em segundo lugar em termos de prevalência.

Nos novos padrões, tentamos levar em conta a experiência dos protestos realizados por nossa equipe em centenas de empresas para ajudá-los a fechar pelo menos os vetores de ataque mais óbvios. Mesmo essas ações básicas complicam seriamente a vida do invasor e tornam o ataque à empresa menos atraente.

Aqui estão as principais diferenças entre os novos benchmarks:

Cada um deles contém um mínimo de requisitos - apenas aqueles que afetam diretamente a segurança do sistema estão incluídos. O número de requisitos de PTE para cada sistema de destino é N (N - de 3 a 10) vezes menor que o equivalente na CEI. Como resultado, eles são reduzidos proporcionalmente:
- tempo de varredura
- custos de mão-de-obra para análise de varredura e eliminação de deficiências encontradas.
Para a maioria dos requisitos do padrão, as métricas CVSS são atribuídas - semelhante às vulnerabilidades. Isso permite priorizar imediatamente a eliminação de deficiências.
A descrição de todos os requisitos descreve as consequências que a organização pode enfrentar se não o cumprir.

Abaixo está uma breve comparação das famílias de referência da CIS e da PT Essential:

Critério	Referências CIS	PT Essencial (PTE)
Número de requisitos	Até 400 por padrão	Não mais que 40 por padrão
Incorporando requisitos ao padrão de configuração segura	Tudo relacionado às configurações do subsistema de proteção	Somente isso está diretamente relacionado ao hacking (proteção contra hackers)
Capacidade de priorizar requisitos	2 ( ): ,	— CVSS ( )
	, . , ,	. — ( )

Aqui está um exemplo de requisito de PTE (os exemplos abaixo se referem a sistemas UNIX; em vez de padrões separados para cada sistema operacional semelhante a UNIX, um único padrão foi criado para todos os sistemas suportados pelo MaxPatrol 8):

Requisito de exemplo "Desativar logon remoto sem senha para rlogin / rsh"

Os serviços rlogin / rsh configurados permitem efetuar login sem especificar uma senha.
Eles podem ser configurados para todos os usuários (definido em /etc/hosts.equiv) e individualmente para cada usuário (em $ HOME / .rhosts).
Com essas configurações, os usuários podem efetuar login no servidor de destino a partir dos clientes especificados sem inserir uma senha no servidor de destino.
Além disso, os subsistemas R sofrem ataques de falsificação de ARP, pois o critério de confiança é baseado apenas em endereços de clientes.
O uso desses subsistemas obsoletos representa um risco extremamente sério, por isso é altamente recomendável que eles sejam desativados.
Todos os aplicativos e softwares de sistema que usam essas ferramentas oferecem suporte ao SSH como uma alternativa muito mais segura.

CVSS: 3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (8.8)

Requisito de exemplo "Excluir comandos perigosos das configurações do sudo"

Configurações incorretas do sudo podem permitir que o usuário execute alguns comandos (potencialmente perigosos) como root para o usuário:

aumentar privilégios no sistema,
sobrescrever arquivos do sistema, interrompendo o sistema.

Potencialmente perigoso pode ser qualquer comando que permita:

gravar em um arquivo arbitrário (especificado pelo usuário);
escreva para um dos arquivos do sistema;
destrua o sistema de arquivos ou a partição do disco.

É necessário excluir comandos perigosos das configurações do sudo.

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

« »

, , . , , — .
755 , root ( ).
, , . root, .

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

Importante : de forma obrigatória, cada requisito contém orientações sobre como solucionar falhas de segurança e verificar problemas.

Conclusão

Os padrões técnicos em segurança da informação são uma ferramenta importante para aumentar o nível de segurança da infraestrutura, o que complica bastante a vida dos invasores com a implementação adequada e boa interação entre os departamentos de TI e IS. No entanto, muitos padrões modernos são muito complexos e volumosos para aplicação prática.

É muito mais conveniente usar as famílias PT Essential padrão - os benchmarks da nova geração que trazem apenas as informações mais importantes e se baseiam na experiência de centenas de testes de penetração. Ao implementar departamentos de TI e especialistas em segurança da informação, fica claro quais requisitos são mais significativos, por onde começar e quais problemas podem surgir se esses requisitos não forem atendidos.

A aplicação dos requisitos do PT Essential permite identificar e resolver rapidamente os problemas de segurança mais importantes na infraestrutura, com uma redução acentuada na complexidade e complexidade desse processo. Então, por que não tornar a vida mais difícil para os criminosos e intrusos?

Novos padrões de segurança da informação: dificultam a vida dos invasores