Укрепление крепости: Защита систем от угроз LOTL

Hardening-стратегии ‎направлены‏ ‎на ‎сокращение ‎количества ‎возможных ‎атак‏ ‎и ‎повышение‏ ‎уровня‏ ‎безопасности ‎критически ‎важной‏ ‎инфраструктуры.

Рекомендации

📌 Рекомендации ‎по‏ ‎усилению ‎защиты ‎от ‎вендоров‏ ‎и‏ ‎отраслей: ‎организациям‏ ‎следует ‎усиливать‏ ‎конфигурации ‎программного ‎обеспечения ‎и ‎систем‏ ‎на‏ ‎основе ‎рекомендаций‏ ‎по ‎защите‏ ‎от ‎поставщиков ‎или ‎от ‎отрасли,‏ ‎сектора‏ ‎или‏ ‎правительства, ‎например,‏ ‎от ‎NIST,‏ ‎чтобы ‎уменьшить‏ ‎количество‏ ‎векторов ‎атаки.

Для‏ ‎конкретной ‎платформы:

📌 Windows: ‎применение ‎обновления ‎и‏ ‎исправления ‎для‏ ‎системы‏ ‎безопасности ‎от ‎Microsoft,‏ ‎руководства ‎по‏ ‎базовым ‎показателям ‎безопасности ‎Windows‏ ‎или‏ ‎тестам ‎CIS,‏ ‎ужесточение ‎часто‏ ‎используемых ‎служб, ‎такие ‎как ‎SMB‏ ‎и‏ ‎RDP, ‎и‏ ‎отключение ‎ненужных‏ ‎служб ‎и ‎функций.

📌 Linux: ‎контроль ‎за‏ ‎разрешениями‏ ‎для‏ ‎работы ‎с‏ ‎бинарными ‎файлами‏ ‎и ‎использование‏ ‎стандартов‏ ‎Red ‎Hat‏ ‎Enterprise ‎Linux.

📌 macOS: ‎регулярные ‎обновления ‎и‏ ‎применение ‎исправлений‏ ‎системы,‏ ‎а ‎также ‎встроенных‏ ‎функций ‎безопасности,‏ ‎такие ‎как ‎Gatekeeper, ‎XProtect‏ ‎и‏ ‎FileVault, ‎и‏ ‎рекомендаций ‎macOS‏ ‎Security ‎Compliance ‎Project.

Повышение ‎надёжности ‎облачной‏ ‎инфраструктуры:

📌 Microsoft‏ ‎Cloud: ‎применение‏ ‎руководств ‎CISA‏ ‎по ‎настройкам ‎безопасности ‎Microsoft ‎365‏ ‎в‏ ‎различных‏ ‎облачных ‎службах‏ ‎Microsoft.

📌 Google ‎Cloud:‏ ‎применение ‎руководств‏ ‎по‏ ‎настройке ‎безопасности‏ ‎Google ‎Workspace ‎Security ‎от ‎CISA‏ ‎для ‎настройки‏ ‎облачных‏ ‎сервисов ‎Google.

📌 Универсальные ‎меры‏ ‎защиты: ‎сведение‏ ‎к ‎минимуму ‎количество ‎запущенных‏ ‎служб,‏ ‎применение ‎принципа‏ ‎наименьших ‎привилегий‏ ‎и ‎защитите ‎сетевые ‎коммуникации.

📌 Защита ‎критически‏ ‎важных‏ ‎активов: ‎применение‏ ‎мер ‎по‏ ‎усилению ‎защиты ‎критически ‎важных ‎активов,‏ ‎таких‏ ‎как‏ ‎ADFS ‎и‏ ‎ADCS, ‎и‏ ‎ограничение ‎приложений‏ ‎и‏ ‎служб, ‎которые‏ ‎могут ‎использоваться ‎или ‎к ‎которым‏ ‎они ‎могут‏ ‎получить‏ ‎доступ.

📌 Средства ‎администрирования: применение ‎предотвращающих‏ ‎повторное ‎использование‏ ‎скомпрометированных ‎учётных ‎данных ‎средств.

Список‏ ‎разрешённых‏ ‎приложений

📌 Ограничение ‎выполнения:‏ ‎внедрение ‎списка‏ ‎разрешений ‎приложений ‎как ‎для ‎пользователей,‏ ‎так‏ ‎и ‎администраторов‏ ‎с ‎целью‏ ‎улучшения ‎мониторинга ‎и ‎уменьшения ‎объёма‏ ‎оповещений.

Список‏ ‎разрешений‏ ‎для ‎конкретной‏ ‎платформы:

📌 macOS: использование ‎параметров‏ ‎Gatekeeper ‎для‏ ‎предотвращения‏ ‎выполнения ‎неподписанных‏ ‎или ‎неавторизованных ‎приложений.

📌 Windows: использование ‎AppLocker ‎и‏ ‎Windows ‎Defender‏ ‎Application‏ ‎Control ‎для ‎управления‏ ‎исполняемыми ‎файлами,‏ ‎скриптами, ‎MSI-файлами, ‎библиотеками ‎DLL‏ ‎и‏ ‎другими ‎упакованными‏ ‎приложениями.

Сегментация ‎сети‏ ‎и ‎мониторинг

📌 Ограничение ‎распространения: реализация ‎сегментации ‎сети‏ ‎для‏ ‎ограничения ‎доступа‏ ‎пользователей ‎минимально‏ ‎необходимыми ‎приложениям ‎и ‎службам, ‎в‏ ‎т.‏ ‎ч.‏ ‎снижения ‎влияния‏ ‎скомпрометированных ‎учётных‏ ‎данных.

📌 Анализ ‎сетевого‏ ‎трафика:‏ ‎применение ‎инструментов‏ ‎для ‎мониторинга ‎трафика ‎между ‎сегментами‏ ‎и ‎размещение‏ ‎сетевые‏ ‎датчики ‎в ‎критических‏ ‎точках ‎для‏ ‎всестороннего ‎анализа ‎трафика.

📌 Анализ ‎метаданных‏ ‎сетевого‏ ‎трафика: ‎применение‏ ‎анализаторов ‎трафика,‏ ‎например ‎Zeek, ‎и ‎интеграция ‎с‏ ‎NID-решениями,‏ ‎например ‎Snort‏ ‎или ‎Suricata.

Элементы‏ ‎управления ‎аутентификацией

📌 Защита ‎от ‎фишинга: использование ‎MFA‏ ‎во‏ ‎всех‏ ‎системах, ‎особенно‏ ‎для ‎привилегированных‏ ‎учётных ‎записей.

📌 Управление‏ ‎привилегированным‏ ‎доступом ‎(PAM):‏ ‎развёртывание ‎надёжных ‎PAM-решений ‎с ‎доступом‏ ‎и ‎элементами‏ ‎управления‏ ‎на ‎основе ‎временного‏ ‎фактора, ‎дополненных‏ ‎ролевым ‎управлением ‎доступа ‎(RBAC).

📌 Облачное‏ ‎управление‏ ‎идентификацией ‎и‏ ‎доступом ‎к‏ ‎учётным ‎данным ‎(ICAM): ‎применение ‎строгих‏ ‎политик‏ ‎ICAM, ‎аудит‏ ‎конфигураций ‎и‏ ‎смена ‎ключей ‎доступа.

📌 Проверка ‎файла ‎Sudoers‏ ‎File‏ ‎Review:‏ ‎для ‎macOS‏ ‎и ‎Unix‏ ‎регулярная ‎проверка‏ ‎файла‏ ‎sudoers ‎на‏ ‎наличие ‎некорректных ‎настроек ‎в ‎рамках‏ ‎принципа ‎наименьших‏ ‎привилегий.

Архитектура‏ ‎нулевого ‎доверия

В ‎качестве‏ ‎долгосрочной ‎стратегии‏ ‎внедряется ‎архитектура ‎с ‎нулевым‏ ‎доверием,‏ ‎чтобы ‎гарантировать,‏ ‎что ‎бинарные‏ ‎файлы ‎и ‎учётные ‎записи ‎не‏ ‎являются‏ ‎доверенными ‎и‏ ‎привилегированными ‎по‏ ‎умолчанию.

Дополнительные ‎рекомендации

📌 Комплексная ‎проверка ‎при ‎выборе‏ ‎поставщика:‏ ‎выбор‏ ‎поставщиков ‎с‏ ‎надёжными ‎принципами‏ ‎проектирования ‎и‏ ‎привлечение‏ ‎их ‎к‏ ‎ответственности ‎за ‎конфигурации ‎их ‎программного‏ ‎обеспечения ‎по‏ ‎умолчанию.

📌 Аудит‏ ‎ПО ‎удалённого ‎доступа:‏ ‎аудирование ‎ПО‏ ‎удалённого ‎доступа ‎и ‎применение‏ ‎лучших‏ ‎практик ‎для‏ ‎обеспечения ‎безопасности‏ ‎удалённого ‎доступа.

📌 Ограничение ‎исходящего ‎подключения ‎к‏ ‎Интернету:‏ ‎ограничение ‎доступа‏ ‎к ‎Интернету‏ ‎для ‎внутренних ‎серверов ‎и ‎контроля‏ ‎исходящих‏ ‎подключений‏ ‎для ‎основных‏ ‎служб.