ИБ для конторы разработчиков ПО
Так получилось, что мне довелось за короткий промежуток времени заглянуть в инфраструктуру нескольких компаний, которые занимаются импорт замещением и разработкой программного обеспечения.
Цель статьи систематизировать ошибки и передать админам готовый материал для дальнейшей работы в своих инфраструктурах.
Надеюсь, что результаты труда будут интересны и обойдутся без неконструктивной критики.
Критерии, которыми я руководствовался при разработке информационной безопасности:
Ключевая проблема.
Является ли находящийся удаленно сотрудник действительно тем, с кем заключено трудовое соглашение.
Базовый принцип.
К устройству сотрудника, работающего удаленно, нужно всегда относиться как к потенциальной точке входа злоумышленников в сеть компании.
Эффективность мер безопасности.
Меры будут малоэффективны, если они значительно усложняют работу и влияют на удобство работы сотрудников. Персонал будет систематически искать обходные пути, нарушая установленные правила ради банального удобства.
Вторичные критерии.
Затраты на безопасность не должны превышать ценность защищаемых активов. По возможности, используемые меры и ПО должны приводить к получению конкурентных преимуществ при получении заказов от государственных структур.
Оценка рисков и обеспечение защиты устройств в связи с использованием на предприятии BYOD (Bring Your Own Device) IT-политики, которая позволяет и даже поощряет использование собственных устройств для выполнения рабочих задач (все являются локальными администраторами на своих устройствах).
Персонал должен быть обеспечен правильно настроенными устройствами, квалифицированной и оперативной технической поддержкой.
Оговорка автора.
Выводы, сделанные в документе, основываются на всей доступной и предоставленной мне информации:
Если от ответов в той или иной форме уклонялись, то я принимал выданную информацию за ту, которая будет сообщаться при вероятных событиях и угрозах.
Если информация передавалась от сотрудника к сотруднику без документирования, то я считал, что такой информации нет.
Известные проблемы:
Многие сервера MS установлены активацией внутренним KMS сервером, и полностью отключены обновления серверных ОС что якобы способствует сохранению ресурсов и стабильной работе. При том, что вендор не присутствует на рынке сейчас риск падения контроллеров домена и терминалов приведет к большим убыткам, чем активация серверов и скачивание всех необходимых заплат по безопасности.
Отсутствие реестра ПО и процедур управления установкой ПО, виртуальных машин, серверов, выдачи и возврата из использования лицензий. И отсутствие лицензий на AD CAL, TS CAL, MS Office (Офис 365 и зоопарк от 2012 до 2021 офиса используемых в компаниях), не столь критичное, но важное к учету, в т.ч. нематериальных активов компании.
HASP ключи и лицензии без журнала установки и учета.
Бухгалтерский учет в учитывающий в нематериальных активах только сайт и ни одной лицензии.
Отсутствие перечня доступов к инфраструктуре сотрудников ИТ отдела. Хранение критически важной информации и паролей в таблицах общедоступных сервисов типа Google. Отсутствие логирования и контроля за действиями сотрудников ИТ отдела и других привилегированных пользователей в надежде на их лояльность.
BYOD (Bring Your Own Device), как личная техника, так и смартфоны в ЛВС;
2FA на VPN с AD; Использование общеизвестного пароля от WiFi. Риск спуфинга.
Сетевое оборудование, отправляющее запросы DNS не на внутренний DNS а на DNS Google Wifi. Контроллеры домена, которые также отправляют запросы не на контурный DNS, а на DNS яндекса. Риск спуфинга, перехвата DNS с перенаправлением на ресурсы и отравление DNS кэша.
VPN на базе витуальной машины при том, что все пользователи подключаются с мобильных устройств, а Zero Trust Network Access (доступ с нулевым доверием) даже не рассматривался при построении сети;
Использование офисной сети для для коммуникаторов и других устройств, не имеющих защиты в виде антивируса и т.п.;
DNS Wifi который смотрит за пределы периметра сети и не проверяется ни чем;
Групповые политики, за которые никто не отвечает и сервера без обновлений по безопасности;
Нет описанных профилей доступа в сеть и к ресурсам компании ни для штатных сотрудников, ни для сотрудников по ГПХ;
Учетные записи пользователей в Битрикс24 выгружаемые из AD, которые, в случае взлома, позволяют атаковать остальную инфраструктуру; Учетные записи пользователей в AD, которые не меняют пароли и не удаляются, а отключаются, что потенциально является траекторией взлома;
Операционные системы на устройствах компании, которые невозможно ввести в домен и влиять групповыми политиками по данным ИТ службы до трети от всех устройств, принадлежащих компании;
Антивирус, который установлен только у админа и на одном проекте, но ни на одном сервере компании;
Firewall правила, которые разрешают порты более чем 4-года или правила, которые дублируют друг друга;
Виртуальные машины, которые установлены и настроены давно уволенными сотрудниками и содержат те или иные сервисы, которые никому кроме уволенных не известны. При этом эти виртуальные машины не используемые, но размещенные на серверах даже имеют правила фаерволе.
Отсутствие CMDB (Configuration Management Database) учета, устанавливаемого ПО на технику компании и мониторинга техники, учета комплектующих и ремонтов. Ревизия исключительно в ручном режиме, вместо автоматической ревизии.
Связанная с CMDB задача – управление инвентаризацией.
Отсутствие договора (CMDB обвязка документами) по ремонту техники с оговоркой о конфеденциальности или процедуры передачи техники со предварительным снятием накопителя.
Отсутствие физического контроля за доступом на территорию офиса, кроме организованного арендодателем, но без договора о доступе от нашей компании. Видео наблюдение распознавание лиц и недостающая камера для контроля за складом техники и серверной комнатой, куда имеют доступ другие лица. Отсутствие договоров о безопасности серверной комнаты с арендодателем.
Отсутствие оркестратора 1С и других БД, инструмент управления инфраструктурой и безопасностью для сисадмина.
Группы управления в AD, которые созданы и остались невостребованными и без указания для чего они были созданы. Поиск спрятанных в разных местах AD пользователей и отключение учетной записи вместо удаления без переноса в группу безопасности где права полностью ограничены.
Персонифицированная уникальность сотрудников, не закрепленная в договорах, служебных инструкциях и попытки ее поддерживать, ограничивая другим сотрудникам доступ к информации и ресурсам. Отсутствие документации по их работе.
Шаблонные не исполняемые требования и сроки, указанные в политике по ИБ. Отсутствующие документы управляющих ими в ИТ и на предприятии.
Автоматизированных инструментов периодической проверки ИБ и протоколов проверки, а также остальной документации (журналы и т.п.) нет.
Процедура подтверждения повышения прав пользователя в системах основывающаяся в лучшем случае на - Прошу назначить меня руководителем группы "Росатом. Обеспечение качества проектных решений" в Битрикс
ГПХ сотрудники, работающие в системах, где контроль за ними ослаблен или они смешаны с персоналом.
Отсутствуют, процессы реагирования на инциденты ИБ,
Не введен план мероприятий по ИБ
Не ведутся ли журналы учета мобильных устройств, схемных накопителей, средств защиты информации, журнал тестирования защищенности, журнал инструктажей, журнал учета и проведения мероприятий по ИБ.
Не используются процессы, связанные с парольной защитой, контролем доступа в информационные системы и защиту конфиденциальной информации.
Не выявлено то, что является конфиденциальной информацией.
Краткий итог документа (анамнез)
Принятие решения о внедрении того или иного продукта должно основываться на обязательной тестовой эксплуатации, где одним из критериев, кроме функциональных и финансовых, должен быть критерий уровня нагрузки на поддержку. Предполагается, что в результате тестов будет принято решение о «степени зрелости» инфраструктуры к тому или иному объему ИБ защиты: внедрять все комплексом или достаточно некоторых решений, не пересекающихся функционально, предоставляющих базовый комплекс ИБ.
Примененные решения инфо безопасности должны в себя включать:
2FA для VPN и отдельные сертификаты;
Zero Trust Network Access в офисе;
MDM решение для BYOD;
CMDB для оборудования, учета лицензий, ремонта, инвентаризации;
Антивирусное ПО с возможностью фиксации событий по ИБ;
Мониторинг (оркестрация), эквивалент Zabbix для 1С;
Построение управляемой инфраструктуры для ГПХ сотрудников (федеративный домен и т.п.);
Регламентные, бумажные процедуры для сотрудников связанные с изменением прав.
Опционально:
Видео фиксация и идентификация находящихся в определенном периметре лиц;
Восстановление видеонаблюдения в ИТ отделе;
Вынесение в отдельную зону серверов с ПД;
DLP решения для всех ГПХ сотрудников (VDI);
PAM для сотрудников принимающих решения;
DMZ на двух firewall и «внешний» DNS в DMZ;
VPN вынесенный за периметр для сокрытия направления атак.
Вероятная траектория построения информационной безопасности
Сеть Интернет
один провайдер во всех филиалах и организация VPN подключения силами провайдера.
сокрытие контура VPN: разворачивание сервера у провайдера, подключение всех туда, а оттуда уже подключение на контур к нашим сервисам.
корневой, выпускающий сертификат лежит отдельно от той машины, где находятся остальные сертификаты (в том числе и блокировочный) и происходит их генерация. Если вдруг случится утечка, то главный выпускающий сертификат не пострадает — мы все равно сможем управлять контуром VPN. Это считается best practice.
Отслеживание срока годности выпускающего сертификата. Когда меняется корневой сертификат, надо менять и все остальные, что повышает уровень безопасности. Таким действием разом будут отозваны доступы у всех уволенных сотрудников. Подобные операции следует проводить периодически, например, раз в год или при тестировании безопасности.
Сеть офиса
Вынос всех серверов типа Битрикс24, внешний почтовый сервер, IP телефония, DNS, NGINX, FTP и т.п. в специальную DMZ. Отделение и ограничение глобальной и локальной сети отдельными фаерволами.
MDM реализованный UEM SafeMobile.
Zero Trust Network Access + 2FA VPN на аппаратном решении в виде UG D500 на входе.
Управляющий документ – ролевая модель доступа к ресурсам компании.
Доступ в офис
СКУД или согласование с арендодателем камеры с распознаванием лиц на входе.
Контроль оборудования
UEM SafeMobile и контейнеры с ПО в BYOD
Антивирус
GPO с четким описанием задач в MDM политике
Управляющий документ – Договор на ремонт оборудования с пунктами о защите информации компании.
Контроль оборудования и виртуальных машин.
CMDB (Configuration Management Database) в системе мониторинга — это база данных, которая хранит информацию о конфигурационных единицах (КЕ) ИТ-инфраструктуры. КЕ кроме собственно ПК и ноутбуков, могут включать серверы, приложения, сетевое оборудование, виртуальные машины. Может быть реализовано на базе Hardware Inspector.
Контроль персонала (пока избыточно)
Учет рабочего времени и контроля утечек информации DLP, например, Стахановец.
Контроль за лицами, принимающими решения – PAM система от Индид.
Уровень персонала (сотрудники).
Ознакомить сотрудников, а также обеспечить ознакомление иных лиц, которые имеют отношение и/или могут иметь отношение к предприятию, и их работников с требованиями нижеперечисленных локальных актов в области информационной безопасности.
При заключении договора на выполнение работ, указать на необходимость соблюдать указанные локальные акты в области информационной безопасности, обеспечить их соблюдение своими работниками, а также иными лицами, которые имеют отношение и/или могут иметь отношение к исполнению работ на предприятии.
Перечень локальных нормативных актов Исполнителя в области информационной безопасности:
Политика в области защиты информации (есть);
Политика в области обработки персональных данных (есть);
Политика парольной защиты в корпоративной информационной системе (переделать в рабочую и применить);
MDM политика (разрабатывать по мере внедрения решений);
Предоставить сокращенный комплект требований и политик для ГПХ сотрудников (после развертывания всех решений адаптировать на базе MDM политики сотрудников).
Процесс реагирования на инциденты ИБ, введен ли план мероприятий по ИБ, ведутся ли журналы учета мобильных устройств, съемных накопителей, средств защиты информации, журнал тестирования защищенности, журнал инструктажей, журнал учета и проведения мероприятий по ИБ. Процессы, связанные с парольной защитой, контролем доступа в информационные системы и защиту конфиденциальной информации.
Разработать курсы и тесты для сотрудников: «Антифишинг» и «Памятка для пользователей».
Сотрудники ИТ отдел.
До тех пор, пока нет отдельного сотрудника, занимающегося именно ИБ, сформировать перечень автоматических инструментов проверки безопасности (Kali Linux). Проверки проводить периодически и направлять отчеты руководству. Разработать регламент проведения таких проверок.
Использовать платформу Kaspersky ASAP или Cloud Security Awareness (тестирование и обучение сотрудников основам информационной безопасности), которая создана для повышения уровня осведомленности сотрудников и уменьшение количества инцидентов в области информационной безопасности.
Сотрудники смогут проверить свои знания до обучения правилам киберграмотности, а после пройти контрольную проверку практических навыков. Услуга Cloud SA позволяет создавать учебные фишинговые атаки. Платформа предоставляет возможность получить подробный отчет о прохождении тестирования, а также автоматически назначать сотрудникам курсы в зависимости от полученных результатов
Градация уровней, для которых я искал решения по информационной безопасности.
Уровень Интернет (глобальной сети) - Поиск и предотвращение киберугроз вне периметра компании.
Уровень внешнего периметра сети компании - Максимальное сокращение направлений атаки на ресурсы. Фильтрация контента, инспектирование разрешенного трафика, защита публичных ресурсов организации
Уровень сети компании – Анализ внутреннего сетевого трафика на предмет компрометации локальных узлов или поведенческих аномалий.
Уровень устройств пользователей - Комплексная защита рабочих станций и мобильных устройств. Предотвращение угроз фишинга, шифровальщиков, вирусов, zero-day уязвимостей и т.д.
Уровень пользователей - Повышение защищенности компании через обучение корпоративных пользователей основам информационной безопасности.
Есть еще часть, где рассматриваются доступные на рынке предложения. Если будет интересно - опубликую.
