Концепція захисту ІТ-інфраструктури підприємства для протистояння сучасним загрозам

 

Організаційні заходи

1. Створення та контроль виконання політики безпеки організації. Політика зокрема повинна включати:

  • Стратегію захисту ІТ-інфраструктури організації.
  • Набір правил, за якими створюється, обробляється та зберігається інформація на підприємстві.
  • Правила своєчасного оновлення ПЗ та відповідальні працівники.
  • Резервне копіювання та відновлення даних. Необхідно регулярно створювати резервні копії бізнес-систем та критично важливих даних. Резервні копії мають зберігатися на окремих носіях інформації, які фізично відокремлені від цільових систем. Цілісність та повнота резервних копій повинна регулярно перевірятись шляхом штатного відновлення.
  • План дій з локалізації, блокування розповсюдження, та відновлення після атак.

2. Правила використання облікових записів в організації, що включають:

  • Персоніфікований адміністративний доступ. Заборона використання спільних адміністративних облікових записів.
  • Використання різних облікових записів для виконання різних адміністративних задач:
    • для адміністрування домену;
    • для адміністрування серверів (різні записи для різних функцій);
    • для адміністрування ПК користувачів;
    • для адміністрування власного ПК.
  • Заборона здійснювати регулярні задачі з використання адміністративних облікових записів.
    • Адміністратори повинні працювати на своїх ПК під стандартними обліковими записами з правами рівня звичайного користувача.
    • Робота з адміністрування інформаційних систем повинна здійснюватися з окремого виділеного термінального сервера управління (або спеціалізованих систем PAM), а не безпосередньо з призначеного для користувача ПК.
    • Використання адміністратором для певних робіт відповідного облікового запису має суворо контролюватися.
    • Заборона використання облікових записів адміністраторів домену для задач, що не пов’язані з адмініструванням контролерів доменів.
  • Гранулярна деталізація прав доступу сервісних облікових записів. Облікові записи для функціонування різноманітних служб та ПЗ повинні мати мінімально необхідний рівень прав, достатній для роботи конкретного сервісу. Дотримання принципу максимально повної персоніфікації: кожне ПЗ має використовувати окремий обліковий запис.

3. Регулярне навчання всіх користувачів організації основам інформаційної безпеки, що включатиме:

  • правила роботи з критичними системами організації,
  • правила роботи з інформацією, що надходить з зовнішніх, неперевірених джерел,
  • проведення регулярного зрізу знань для контролю засвоєння інформації.

4. Регулярне навчання і підвищення кваліфікації ІТ-фахівців та адміністраторів в області сучасних загроз і методів захисту на системах та рішеннях, що експлуатуються в організації.

5. Проведення тестових атак, в тому числі з використанням методів «соціальної інженерії», для перевірки обізнаності користувачів у правилах безпеки організації та рівні захищеності інформаційних систем.

 

Технічні заходи

ЗАХИСТ МЕРЕЖІ

1. Впровадження контролю на периметрі корпоративної мережі, що включає:

  • Використання мережевих екранів з функціями контролю на прикладному рівні (Application Visibility) та протидії вторгненням (IPS) – Next Generation Firewall (NGFW). Обов’язкове розташування публічних сервісів в окремих демілітаризованих зонах (ДМЗ). Налаштування конкретизованих правил доступу для контролю потоків даних та відмова від використання загальних сутностей типу «any», «all».
  • Використання веб-шлюзу безпеки (проксі сервісу) для контролю доступу користувачів організації до мережі Інтернет. Налаштування блокування доступу до ресурсів із забороненою тематикою, поганою репутацією, високим рівнем ризику, фішингових ресурсів. Виконання антивірусної перевірки та контентної фільтрації файлів, що завантажуються. Блокування завантаження виконуваних файлів для загальної групи користувачів. Налаштування повної інспекції SSL для виявлення загроз у шифрованому трафіку. Заборона використання безумовних білих списків доступу до зовнішніх ресурсів та білих списків внутрішніх систем в обхід правил контентної перевірки.
  • Використання поштового шлюзу безпеки для захисту корпоративної пошти від спаму та зовнішніх загроз. Налаштування для вхідних листів антивірусної перевірки та правил фільтрації контенту за типом файлу та розширенням. Блокування листа або видалення вкладення з виконуваними типами файлів та офісних документів з макросами. Перевірка URL-посилань в тексті листів та у вкладенні щодо належності до небезпечних та заборонених ресурсів, високого рівня ризику та фішингу. Заборона використання безумовних білих списків для зовнішніх та внутрішніх відправників в обхід систем контентної перевірки.
  • Передача інформації між майданчиками організації та при віддаленому доступі користувачів через WAN та Інтернет-канали зв’язку повинна здійснюватися лише за допомогою VPN-технологій з використанням належного рівня шифрування (AES-256 та вище).
  • Контроль доступу зовнішніх партнерів та підрядників до ресурсів організації. Доступ необхідно надавати лише через захищене VPN з’єднання (AES-256 та вище) з використанням проміжного термінального серверу (Jump Host) та обов’язковим моніторингом і фіксацією виконаних дій.

2. Контроль локальної мережі

  • Налаштування сегментації локальної мережі згідно функціонального призначення. Розділення серверних сегментів мереж в залежності від сервісів. Заборона створення сегментів з великою кількістю систем. Виконання мікросегментації для мережевого відділення особливо критичних систем та сервісів.
  • Налаштування технологій ізоляції портів (Port Isolation/Private VLAN) на комутаторах доступу користувачів для заборони прямої взаємодії між користувацькими системами.
  • Налаштування технологій протидії атакам типу ARP Spoofing та фальшивих DHCP-серверів (ARP Inspection, DHCP Snooping) для унеможливлення перехоплення трафіку.
  • Блокування будь-якої прямої мережевої взаємодії між промисловою (АСУТП, АТМ тощо) та корпоративною мережами. Зв’язок між сегментами здійснювати тільки через проксі-сервіси, розташовані в демілітаризованих зонах на стику мереж. Трафік між ДМЗ та промисловою і ДМЗ та корпоративною мережами контролювати за допомогою мережевих екранів.
Захист систем

1. Підвищення захищеності систем (System Hardening), що експлуатуються в організації (мережевих пристроїв, серверних та користувацьких систем) для “зменшення поверхні” можливої атаки:

Видалення та відключення зайвих компонентів та служб, що не використовуються й не потрібні у робочому процесі.

Деактивація та блокування роботи застарілих протоколів (NTLM, SMBv1 тощо).

Впровадження механізмів та заходів для протидії отримання паролів з оперативної пам’яті та системних процесів (Mimikatz): використання Protected Users Group, деактивація WDigest тощо.

https://jimshaver.net/2016/02/14/defending-against-mimikatz/

https://adsecurity.org/?page_id=1821

Заборона створення локальних облікових записів або зміни їх паролів доменними політиками, оскільки інформація про цей обліковий запис та його пароль легкодоступні всім користувачам мережі.

https://adsecurity.org/?p=384

https://adsecurity.org/?p=2288

2. Регулярне оновлення системного та прикладного ПЗ (Patch Management). Необхідно забезпечити своєчасне тестування і оперативне встановлення оновлень безпеки для системного й прикладного програмного забезпечення з урахуванням рівня критичності та пріоритетів.

3. Вимкнення та блокування механізму автоматичного визначення проксі-серверів WPAD та протоколу широкомовного розпізнавання імен LLMNR.

4. По можливості відмовитись від використання мережевих дисків та надавати віддалені файлові ресурси у вигляді ярликів.

5. Наявність встановленого актуального антивірусного програмного забезпечення на серверних та користувацьких системах організації. Регулярне оновлення антивірусних компонентів та баз даних сигнатур. Заборона можливості рядовим користувачам локально змінювати конфігурацію антивірусного ПЗ та вимикати модулі захисту.

6. Наявність на системах організації встановленого рішення Host IPS з активованим функціоналом:

  • мережевого екрану з налаштованими мінімально необхідними для роботи дозвільними правилами;
  • сигнатурного захисту від атак, як на мережевому рівні, так і в рамках самої системи;
  • обмеження запуску та виконання програм з недовірених директорій (наприклад, тимчасових директорій %tmp% та директорій з налаштуваннями програм %appdata%);
  • блокування втручання невідомих процесів у роботу та системну пам’ять інших;
  • поведінковий аналіз дій програмного забезпечення та процесів і блокування у випадку підозрілої активності;
  • блокування дочірніх процесів, які породжують офісні документи.

7. Наявність функціоналу контролю запуску додатків та програм (Application Control), що включає можливість:

  • створення списків дозволеного програмного забезпечення на робочій станції;
  • перевірку репутації виконуваних файлів у хмарі;
  • контроль здійснення оновлення тільки перевіреними програмами, з довірених джерел, авторизованими користувачами.

8. Наявність рішення для контролю підключення периферійних пристроїв та зйомних носіїв до робочих станцій організації. Налаштування правил для дозволу підключення тільки перевірених корпоративних носіїв.

9. Наявність рішення для швидкої перевірки корпоративних систем за заданим індикатором (наявність файлів, гілок реєстру, запущених процесів) та можливості виконання дій (створення/копіювання/видалення файлів, запуск/завершення процесів, тощо).

 

Додаткові заходи

1. Наявність впровадженого рішення 802.1x та Network Access Control (NAC) для унеможливлення несанкціонованого підключення сторонніх пристроїв у корпоративну мережу та забезпечення надання лише необхідного мережевого доступу в залежності від функціональних обов’язків користувача та стану пристрою. Рішення повинно забезпечити:

  • Контроль пристроїв, що підключаються в корпоративну мережу. Блокування сторонніх пристроїв.
  • Гранульований доступ у мережу за результатами авторизації (політика доступу в залежності від користувача, часу, способу, місця підключення і типу пристрою).
  • Можливість реалізувати попередню перевірку пристроїв на відповідність перед підключенням до корпоративної мережі (NAC): наявність встановленого антивірусу та інших продуктів, актуальність останніх оновлень.
  • Автоматизований карантин за індикатором компрометації. У разі компрометації будь-якого з хостів у корпоративній мережі для локалізації та запобігання розповсюдженню вірусної епідемії необхідно забезпечити автоматизоване відключення вузла від мережі або переведення його на карантин з блокуванням усіх мережевих з’єднань.

2. Наявність спеціалізованого засобу “Пісочниці” (Sandbox) для статичного (аналіз коду) та динамічного (запуск в тестовому середовищі) аналізу невідомих файлів на предмет виявлення їхніх шкідливих дій. Для підвищення ефективності антивірусного захисту у протидії атакам типу “Zero-Day” рішення Sandbox необхідно інтегрувати з максимальною кількістю систем захисту: мережевими екранами веб- та поштовими шлюзами, засобами захисту на кінцевих системах. Також системи цього класу можуть використовуватись адміністраторами, як додатковий інструмент у дослідженні загроз.

3. Використання системи контролю дій привілейованих користувачів – Privilege Access Management (PAM). Надання доступу до критичних систем тільки за допомогою рішення, забезпечуючи:

  • збір, запис та аналіз активності привілейованих користувачів;
  • детектування ризикованих дій до того, як це призведе до шкідливих наслідків;
  • можливість взаємодії з користувачем, який виконує ризиковані операції, та блокування його сесії.

4. Наявність системи моніторингу та профілювання мережевих потоків (Network Behavior Analysis, NBA) для визначення штатного профілю трафіку організації та виявлення відхилень від “нормальної” поведінки. Налаштування збору інформації про трафік з усіх ключових мережевих пристроїв організації для повноти видимості та аналізу потоків даних.

5. Наявність спеціалізованого рішення Vulnerability Assessment (VA) для регулярного сканування всіх елементів корпоративної інфраструктури на предмет виявлення відомих вразливостей в операційних системах та ПЗ. Забезпечення можливості оперативного усунення виявлених загроз та виконання інтеграції з системами мережевої безпеки й аналітики для ізоляції або фільтрування доступу до вузлів з критичними вразливостями.

6. Використання системи централізованого збору, аналізу та кореляції подій безпеки (SIEM) для всебічного комплексного аналізу стану корпоративної інфраструктури, що забезпечує:

  • Збір журнальної інформації та подій з усіх систем підприємства. Приведення отриманих подій до єдиного вигляду (нормалізація) та агрегація даних.
  • Створення екранів та звітів для відображення стану ІТ-інфраструктури.
  • Створення правил кореляції для виявлення пов’язаних подій, що можуть свідчити про атаки та спроби компрометації в ІТ-інфраструктурі організації.
  • Створення правил кореляції на основі ризиків для виявлення та виділення небезпечних дій та подій, що відбуваються на критичних системах.
  • Аналіз історичних даних для створення нових правил кореляції.
  • Налаштування правил для автоматичної реакції на виявлені події з метою у максимально короткий термін блокувати та припинити поширення загроз.

 

Документ оновлюється: найсвіжіша версія

 

Потрібна допомога чи додаткова інформація?

Звертайтеся: тел./факс: +38 (044) 359 05 50

Email: team@netwave.com.ua