Факты
August 9

Укрепление крепости: Защита систем от угроз LOTL

Hardening-стратегии направлены на сокращение количества возможных атак и повышение уровня безопасности критически важной инфраструктуры.

Рекомендации

📌 Рекомендации по усилению защиты от вендоров и отраслей: организациям следует усиливать конфигурации программного обеспечения и систем на основе рекомендаций по защите от поставщиков или от отрасли, сектора или правительства, например, от NIST, чтобы уменьшить количество векторов атаки.

Для конкретной платформы:

📌 Windows: применение обновления и исправления для системы безопасности от Microsoft, руководства по базовым показателям безопасности Windows или тестам CIS, ужесточение часто используемых служб, такие как SMB и RDP, и отключение ненужных служб и функций.

📌 Linux: контроль за разрешениями для работы с бинарными файлами и использование стандартов Red Hat Enterprise Linux.

📌 macOS: регулярные обновления и применение исправлений системы, а также встроенных функций безопасности, такие как Gatekeeper, XProtect и FileVault, и рекомендаций macOS Security Compliance Project.

Повышение надёжности облачной инфраструктуры:

📌 Microsoft Cloud: применение руководств CISA по настройкам безопасности Microsoft 365 в различных облачных службах Microsoft.

📌 Google Cloud: применение руководств по настройке безопасности Google Workspace Security от CISA для настройки облачных сервисов Google.

📌 Универсальные меры защиты: сведение к минимуму количество запущенных служб, применение принципа наименьших привилегий и защитите сетевые коммуникации.

📌 Защита критически важных активов: применение мер по усилению защиты критически важных активов, таких как ADFS и ADCS, и ограничение приложений и служб, которые могут использоваться или к которым они могут получить доступ.

📌 Средства администрирования: применение предотвращающих повторное использование скомпрометированных учётных данных средств.

Список разрешённых приложений

📌 Ограничение выполнения: внедрение списка разрешений приложений как для пользователей, так и администраторов с целью улучшения мониторинга и уменьшения объёма оповещений.

Список разрешений для конкретной платформы:

📌 macOS: использование параметров Gatekeeper для предотвращения выполнения неподписанных или неавторизованных приложений.

📌 Windows: использование AppLocker и Windows Defender Application Control для управления исполняемыми файлами, скриптами, MSI-файлами, библиотеками DLL и другими упакованными приложениями.

Сегментация сети и мониторинг

📌 Ограничение распространения: реализация сегментации сети для ограничения доступа пользователей минимально необходимыми приложениям и службам, в т.ч. снижения влияния скомпрометированных учётных данных.

📌 Анализ сетевого трафика: применение инструментов для мониторинга трафика между сегментами и размещение сетевые датчики в критических точках для всестороннего анализа трафика.

📌 Анализ метаданных сетевого трафика: применение анализаторов трафика, например Zeek, и интеграция с NID-решениями, например Snort или Suricata.

Элементы управления аутентификацией

📌 Защита от фишинга: использование MFA во всех системах, особенно для привилегированных учётных записей.

📌 Управление привилегированным доступом (PAM): развёртывание надёжных PAM-решений с доступом и элементами управления на основе временного фактора, дополненных ролевым управлением доступа (RBAC).

📌 Облачное управление идентификацией и доступом к учётным данным (ICAM): применение строгих политик ICAM, аудит конфигураций и смена ключей доступа.

📌 Проверка файла Sudoers File Review: для macOS и Unix регулярная проверка файла sudoers на наличие некорректных настроек в рамках принципа наименьших привилегий.

Архитектура нулевого доверия

В качестве долгосрочной стратегии внедряется архитектура с нулевым доверием, чтобы гарантировать, что бинарные файлы и учётные записи не являются доверенными и привилегированными по умолчанию.

Дополнительные рекомендации

📌 Комплексная проверка при выборе поставщика: выбор поставщиков с надёжными принципами проектирования и привлечение их к ответственности за конфигурации их программного обеспечения по умолчанию.

📌 Аудит ПО удалённого доступа: аудирование ПО удалённого доступа и применение лучших практик для обеспечения безопасности удалённого доступа.

📌 Ограничение исходящего подключения к Интернету: ограничение доступа к Интернету для внутренних серверов и контроля исходящих подключений для основных служб.