💞 👩🏾‍🔧 ✌🏾 新的信息安全标准：使攻击者的生活更加艰难 🌍 🦖 🤞

在IT和信息安全领域，基准的概念已经很久了-它是用于设置特定操作系统，网络设备或服务器软件的技术标准。这些文档通常描述了它在公司的基础架构中应以何种方式工作，如何影响其保护的哪些方面，以及如何检查和配置所有内容。听起来简短而清晰，但实际上却更加困难。

在本文中，我们将讨论信息安全的现代技术标准（基准）的问题以及如何解决这些问题。

现代基准是什么样子

对于每个系统，这些标准是不同的。世界上最著名的是CIS基准系列标准，该标准是在国际组织CIS的主持下，由来自世界各地的受邀专家爱好者共同开发的。

通常，这些标准要求包括数百项要求，其中包括：

密码长度和复杂度；
对不同类型文件的访问权；
建议用于启用和禁用服务。

现有技术标准的优缺点

与任何工具包一样，安全性基准测试非常有用，因为它们可以提高基础结构安全性的平均水平。这反映在以下事实上：至少根据基准测试的基本配置配置的基础架构很难破解-至少对于渗透测试者而言（在某些情况下，由于时间限制，可接受的攻击目标或可接受的攻击方法，它们通常无法实现目标））

由于每个这样的标准都很大，因此可以简单地用作配置设备和软件的参考或清单。

国外认可的基准是不同国家/地区的公司所熟悉的，因此它们了解其优势，并努力满足文档中指定的要求。

但是，实际上并不是一切都那么顺利：所有人都熟悉的标准的应用并非没有问题。这里只是其中的一些。

有很多要求

如果操作系统和几个服务器应用程序都安装在某个节点上，那么您将需要应用多个标准，并且需求总数很容易超过500。对于典型的大型组织来说，这是一种简单的算法：

工作站：Windows和MS Office的需求超过500，节点数-从一千开始。
服务器：根据操作系统和已安装的服务器软件，每个节点100至700个需求，节点数为数百。
网络设备：根据每个节点20到80个需求的品牌，型号和功能，节点数为数百。

评估的下限是整个基础架构的50万需求。合乎逻辑的是，不可能确保其所有单位均符合此类标准的所有要求，并且无法跟踪符合这些要求的事实。

一个重要的后果还来自受控基础架构中过多的需求和节点：自动扫描的持续时间和繁琐的工作，即使是基础架构的一部分，通常也不适合IT管理员或信息安全专家。为了以某种方式检查所有节点，您必须采取各种技巧：为不同的节点组分配特定的“技术窗口”，减少扫描的频率。

同时，仍然必须仔细监视远程分支机构网络的可用性及其带宽（在某些情况下是卫星频道，这会增加复杂性），尽量不要让扫描频率感到困惑，而只是寻找时间来解决出现的扫描问题。

难以确定优先顺序

在标准需求集中，通常不会将需求划分成或多或少的重要部分；因此，仅选择和实施仅会影响耐侵入性的需求极为困难。有一些尝试引入这种分离的示例，但到目前为止还不是很成功：CIS专家最近开始将其需求划分为两个重要的组，但最终两个组都变得非常大，而且这一步骤没有解决问题。

许多组织正在努力为基于CIS的安全设置创建自己的标准，其中要求的数量少于原始要求。但是，对于其他领域的公司，专家通常缺乏专业知识。

目前尚不清楚特定需求到底会影响什么。

在阅读标准要求时，通常不清楚它们中的哪些与实际安全性有关，是否有助于防止黑客入侵，以及使一切正常工作所必需的。要了解这一点，您需要深入了解基准测试所针对的系统。

没有动力使用技术标准

要在许多节点上达到许多基准的要求是一项巨大，复杂而紧张的工作。同时，如果涉及基础架构的IT专家甚至不了解究竟是什么会完全满足已经运行的系统的某些要求，则没有动力使用它。

如何解决这些问题：PT基本标准

当今信息安全标准的主要问题是其庞大的规模和普遍的非特异性。如果不能消除这两个缺点，那么这些标准的好处将永远是有限的。

为了解决这些问题，针对各种目标系统，我们开发了新一代PT Essential（PTE）的标准，并将其在MaxPatrol 8中实现。在现有基准（例如CIS）和我们的专家从渗透测试获得的有关实际安全问题的信息的基础上，创建了新文档。为此，我们使用了Pareto 20/80原则-通常一小部分要求使我们能够解决大量可能的安全问题。

在实践中，通常大多数渗透测试都以攻击者的成功结束。主要原因之一是组织甚至不遵循最简单，最关键的保护建议，包括：

密码复杂度*，
密码更改频率
不推荐使用的操作系统和软件。

* Positive Technologies对系统的安全级别进行的测试结果表明，在密码保护测试期间成功选择的绝大多数密码都是以可预测的方式编译的。其中一半与年份中的月份或时间的各种组合相关联，数字表示年份（例如，Fduecn2019，Winter2019）。在流行率方面排名第二的是密码，例如123456、1qaz！QAZ，Qwerty1213，它们由键盘上的附近按键组成。

在新标准中，我们尝试考虑了我们团队在数百家公司中进行的渗透测试的经验，以帮助他们至少关闭最明显的攻击媒介。即使是这样的基本动作，也会严重破坏攻击者的生命，并使对公司的攻击吸引力降低。

这是新基准之间的主要区别：

它们每个都包含最低要求-仅包括那些直接影响系统安全性的要求。每个目标系统的PTE需求数量是CIS需求数量的N（N-3至10）倍。结果，它们按比例减少：
- 扫描时间
- 分析和消除发现缺陷的分析所需的人工成本。
对于标准的大多数要求，都分配了CVSS指标-与漏洞类似。这使您可以立即优先考虑消除缺点。
所有要求的描述都描述了如果组织不满足要求，可能会面临的后果。

以下是CIS基准和PT Essential系列的简要比较：

标准	独联体基准	PT Essential（PTE）
需求数量	每个标准高达400	每个标准不超过40
将要求纳入安全配置标准	与保护子系统设置有关的所有内容	仅与骇客有直接关系（防止骇客入侵）
优先需求的能力	2 ( ): ,	— CVSS ( )
	, . , ,	. — ( )

这是PTE要求的示例（以下示例与UNIX系统相关；已为MaxPatrol 8支持的所有此类系统创建了单个标准，而不是为每个类似于UNIX的操作系统使用单独的标准）：

示例要求“禁用rlogin / rsh的无密码远程登录”

配置的rlogin / rsh服务使您无需指定密码即可登录。
既可以为所有用户（在/etc/hosts.equiv中设置）也可以为每个用户（在$ HOME / .rhosts中）分别配置它们。
使用这些设置，用户可以从指定的客户端登录到目标服务器，而无需在目标服务器上输入密码。
此外，由于信任标准仅基于客户端地址，因此R子系统会遭受ARP欺骗攻击。
使用这些过时的子系统会带来极大的风险，因此强烈建议禁用它们。
使用这些工具的所有应用程序和系统软件都支持SSH，这是更安全的选择。

CVSS: 3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (8.8)

示例要求“从sudo设置中排除危险命令”

错误的sudo设置可能会使用户有权以root用户身份执行一些（潜在危险）命令：

增加系统特权
覆盖系统文件，破坏系统。

任何潜在的危险都可以使您执行以下命令：

写入任意（用户指定）文件；
写入系统文件之一；
销毁文件系统或磁盘分区。

有必要从sudo设置中排除危险命令。

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

« »

, , . , , — .
755 , root ( ).
, , . root, .

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8)

重要提示：在强制性基础上，每个要求都包含有关解决安全漏洞和检查问题的指南。

结论

信息安全技术标准是提高基础架构安全性的重要工具，如果实施适当以及IT和IS部门之间的良好交互，将使攻击者的生活大大复杂化。但是，许多现代标准对于实际应用而言过于复杂和庞大。

使用标准PT Essential系列更加方便-新一代基准仅提供最重要的信息，并且基于数百次渗透测试的经验。在实施IT部门和信息安全专家时，很明显哪些要求最重要，从哪里开始以及如果不满足这些要求会出现什么问题。

PT Essential要求的应用程序使您可以快速识别并解决基础架构中最重要的安全问题，同时显着降低该过程的复杂性和复杂性。那么，为什么不增加渗透测试者和入侵者的生活呢？

新的信息安全标准：使攻击者的生活更加艰难