Соответствие Windows и безопасность
Введение
В течение многих лет я обучал аудиторов, специалистов по безопасности и администраторов тому, как правильно проводить аудит среды Windows. Каждый раз, когда я вхожу в какое-либо место, меня бомбардируют тем фактом, что они должны убедиться, что контроль за соблюдением требований SOX (Закон Сарбейнса-Оксли) и PCI (Индустрия платежных карт) также пересматривается, что становится довольно устаревшим. Причина, по которой он стареет, заключается в том, что SOX и PCI не являются очень хорошими правилами, связанными с безопасностью. На самом деле, по мнению авторов, в обоих этих правилах следует перестать даже упоминать, что они каким-либо образом гарантируют безопасность среды Windows с помощью элементов управления, которые они «предлагают» проверить. Я не говорю, что эти правила соответствия не имеют своего места в отрасли. Я просто чувствую, что включение любого заявления о том, что они проверяют безопасность серверов Windows или Active Directory, совершенно не соответствует действительности.
Правила соответствия и контроль
Если вы проведете какое-либо исследование в Интернете хотя бы на самом низком уровне относительно действительности правил соответствия, вы найдете множество комментариев, в которых говорится, что эффективность правил соответствия — это всего лишь «поверхность» безопасности систем, которыми они являются. оценка. На самом деле, проверка только одного или двух элементов управления безопасностью на предмет соблюдения нормативных требований, например, членства в группах и политик паролей, является лишь верхушкой айсберга, когда речь идет о подлинном аудите безопасности.
Есть много других проблем с соблюдением правил, особенно с двумя главными, SOX и PCI. Побывав во многих организациях, где «боятся» этих правил, я получил четкое представление о том, о чем эти правила. Все правила касаются сосредоточения внимания на компьютерах, на которых хранятся финансовые данные для SOX, а также для транзакций и информации по кредитным картам для PCI. С точки зрения постороннего, это имеет 100% логический смысл. С точки зрения компьютерной сети это так же глупо, как сосредотачиваться только на Белом доме, чтобы защитить президента.
Должно быть, но, кажется, не совсем ясно (КРИСТАЛЬНО ЯСНО, как сказал один великий актер), что необходимо оценивать не только серверы, на которых размещены данные финансовых и кредитных карт. Конечно, некоторые контроллеры домена для Active Directory проверяются, но опять же, эти серверы, как правило, более безопасны, чем даже серверы финансовых и кредитных карт.
Еще одним ключевым недостатком нормативно-правовых актов является концепция выборки. Я понимаю, что когда ведется статистика по набору объектов, эта выборка должна дать вам довольно четкое представление о совокупности. Что ж, когда дело доходит до концепций серверов, безопасности, корпораций, ИТ, администраторов и т. д., оказалось, что эти правила несколько не соответствуют действительности. Хорошо, я обнаружил, что выборка из 20-30 серверов так же бесполезна, как выбор всего одного сервера из популяции! Чем больше серверов в выборке, тем лучше будут результаты с точки зрения компьютерной безопасности.
Безопасность
Что ж, я скажу, что подход безопасности к аудиту серверов радикально отличается от метода соответствия. Методы безопасности на самом деле вообще не рассматривают соответствие требованиям, поскольку безопасность связана со всеми точками повышенного риска проникновения в компьютер. Соответствие предполагает, что меры безопасности с высоким риском рассматриваются, но на основе оцениваемых мер безопасности я обнаружил, что в списке отсутствует большинство мер безопасности.
Безопасность рассматривает все важные аспекты того, как можно получить доступ к компьютеру, как его можно атаковать и скомпрометировать. Ниже приведен хороший пример областей, в которых важна безопасность, а не соответствие требованиям:
- Права пользователя
- ВСЕ члены «привилегированной группы по умолчанию»
- Членство в группе локальных администраторов
- Протоколы аутентификации
- Анонимный доступ
- DNS-конфигурации
- Рабочая группа и принадлежность к домену
- Делегирование Active Directory
- Делегирование групповой политики
- Пользовательские элементы управления
- Элементы управления администратора
Их больше, но это дает вам представление о том, что аспекты безопасности сервера намного перевешивают аспекты соответствия.
Объединение соответствия требованиям и безопасности
Как консультант, занимающийся аудитом сетей Windows, а также администрированием сетей Windows (включая Active Directory), я должен предлагать решения, отвечающие как потребностям внутренних аудиторов (на самом деле компании в целом), так и реалиям, которые меры безопасности в целом должны быть оценены.
Для этого я обычно заранее создаю основной список элементов управления безопасностью. Из этого списка мы сначала вычеркнем элементы управления безопасностью, которые компания должна проверить на соответствие правилам. Обычно этот список проверок меньше 5!
Если есть какие-то элементы управления безопасностью, которых нет в моем списке, мы добавляем их. Да, обычно их один или два. Что это? Ну, обычно это не физические/логические элементы управления, а элементы управления процессом. Я считаю, что «интерпретация» нормативно-правовых актов настолько широко распространена, что каждая компания имеет свой собственный список контроля процессов. Это может включать следующее:
- Использование прав администратора на любом компьютере кем угодно (довольно расплывчато!)
- Метод запроса и утверждения изменений членства в привилегированных группах (обычно только тех групп, которые связаны с финансами и кредитными картами)
- Метод и политика отключения и очистки пользователей, покидающих компанию
- Политика создания новых пользователей, добавления их в группы, создания начального пароля, предоставления им нового пароля и смены пароля при первом использовании.
Да, это важно! Однако я обнаружил, что у каждой компании есть свой собственный способ их написания и проверки, поэтому я оставляю на усмотрение каждой компании заполнить пробелы для каждого из ориентированных на процесс элементов управления.
Далее мы обсудим общее управление безопасностью в организации. Мы поговорим о том, как ИТ ведет бизнес, как управляется Active Directory, о размере Active Directory, количестве доменов, количестве лесов и т. д. Затем мы можем начать оценивать объем аудита и связывать время/ ресурсы, доступные для аудита. Например, если есть только один домен, мы можем выбрать больше серверов и больше настроек по сравнению с инфраструктурой Active Directory с 3 доменами.
Теперь, когда у нас есть область действия, мы можем начать оценивать, сколько серверов, контроллеров домена и элементов управления безопасностью выбрать. Я всегда рекомендую выбирать больше серверов для элементов управления безопасностью с высоким риском, так как это будет указывать на общую согласованность конфигураций серверов. По сути, если меры безопасности с высоким уровнем риска не согласованы между серверами, очень велика вероятность того, что другие меры безопасности также не согласованы.
Резюме
Мы никогда не должны игнорировать соблюдение требований в качестве мерила в наших проверках. Я бы никогда не предложил это. Однако мы никогда не должны заявлять, что проверки на соответствие являются хорошей мерой безопасности для наших серверов! Если мы хотим обеспечить хорошую безопасность, мы должны включать не только соответствие требованиям, но и элементы управления безопасностью. Разница есть, довольно большая разница. Соответствие — это отраслевой «общий список» средств контроля. Элементы управления безопасностью основаны на исторических данных, которые позволяют злоумышленникам получить доступ к серверу, сети или домену Active Directory. Именно на этом уровне аудита безопасности мы должны находиться, чтобы действительно чувствовать себя комфортно в безопасности наших сетей.