Укрепление крепости: Защита систем от угроз LOTL
Hardening-стратегии направлены на сокращение количества возможных атак и повышение уровня безопасности критически важной инфраструктуры.
📌 Рекомендации по усилению защиты от вендоров и отраслей: организациям следует усиливать конфигурации программного обеспечения и систем на основе рекомендаций по защите от поставщиков или от отрасли, сектора или правительства, например, от NIST, чтобы уменьшить количество векторов атаки.
📌 Windows: применение обновления и исправления для системы безопасности от Microsoft, руководства по базовым показателям безопасности Windows или тестам CIS, ужесточение часто используемых служб, такие как SMB и RDP, и отключение ненужных служб и функций.
📌 Linux: контроль за разрешениями для работы с бинарными файлами и использование стандартов Red Hat Enterprise Linux.
📌 macOS: регулярные обновления и применение исправлений системы, а также встроенных функций безопасности, такие как Gatekeeper, XProtect и FileVault, и рекомендаций macOS Security Compliance Project.
Повышение надёжности облачной инфраструктуры:
📌 Microsoft Cloud: применение руководств CISA по настройкам безопасности Microsoft 365 в различных облачных службах Microsoft.
📌 Google Cloud: применение руководств по настройке безопасности Google Workspace Security от CISA для настройки облачных сервисов Google.
📌 Универсальные меры защиты: сведение к минимуму количество запущенных служб, применение принципа наименьших привилегий и защитите сетевые коммуникации.
📌 Защита критически важных активов: применение мер по усилению защиты критически важных активов, таких как ADFS и ADCS, и ограничение приложений и служб, которые могут использоваться или к которым они могут получить доступ.
📌 Средства администрирования: применение предотвращающих повторное использование скомпрометированных учётных данных средств.
📌 Ограничение выполнения: внедрение списка разрешений приложений как для пользователей, так и администраторов с целью улучшения мониторинга и уменьшения объёма оповещений.
Список разрешений для конкретной платформы:
📌 macOS: использование параметров Gatekeeper для предотвращения выполнения неподписанных или неавторизованных приложений.
📌 Windows: использование AppLocker и Windows Defender Application Control для управления исполняемыми файлами, скриптами, MSI-файлами, библиотеками DLL и другими упакованными приложениями.
📌 Ограничение распространения: реализация сегментации сети для ограничения доступа пользователей минимально необходимыми приложениям и службам, в т.ч. снижения влияния скомпрометированных учётных данных.
📌 Анализ сетевого трафика: применение инструментов для мониторинга трафика между сегментами и размещение сетевые датчики в критических точках для всестороннего анализа трафика.
📌 Анализ метаданных сетевого трафика: применение анализаторов трафика, например Zeek, и интеграция с NID-решениями, например Snort или Suricata.
Элементы управления аутентификацией
📌 Защита от фишинга: использование MFA во всех системах, особенно для привилегированных учётных записей.
📌 Управление привилегированным доступом (PAM): развёртывание надёжных PAM-решений с доступом и элементами управления на основе временного фактора, дополненных ролевым управлением доступа (RBAC).
📌 Облачное управление идентификацией и доступом к учётным данным (ICAM): применение строгих политик ICAM, аудит конфигураций и смена ключей доступа.
📌 Проверка файла Sudoers File Review: для macOS и Unix регулярная проверка файла sudoers на наличие некорректных настроек в рамках принципа наименьших привилегий.
В качестве долгосрочной стратегии внедряется архитектура с нулевым доверием, чтобы гарантировать, что бинарные файлы и учётные записи не являются доверенными и привилегированными по умолчанию.
📌 Комплексная проверка при выборе поставщика: выбор поставщиков с надёжными принципами проектирования и привлечение их к ответственности за конфигурации их программного обеспечения по умолчанию.
📌 Аудит ПО удалённого доступа: аудирование ПО удалённого доступа и применение лучших практик для обеспечения безопасности удалённого доступа.
📌 Ограничение исходящего подключения к Интернету: ограничение доступа к Интернету для внутренних серверов и контроля исходящих подключений для основных служб.