Hardening

Hardening

​Hardening systémov a platforiem je základným bezpečnostným opatrením, ktorým sa je možné účinne brániť pred zneužitím informačných systémov alebo aplikácií. Na mieru pripravíme hardeningové politiky a navrhneme, ako ich implementovať do praxe a zároveň efektívne (a automatizovane) kontrolovať ich dodržiavanie.

 

Náš príbeh
Staráme sa o vaše diery

Veľká energetická spoločnosť využívala desiatky platforiem pre svoje aplikácie. Potýkala sa s problémom ich zabezpečenia, pretože každý audit vyžadoval množstvo ľudských zdrojov. Požiadala teda AEC o vytvorenie jednotnej dokumentácie pre 15 najpoužívanejších platforiem.

V AEC sme vytvorili štandardy pre bezpečnostné nastavenia (tzv. hardening) tak, aby vyhovovali požadovanej vysokej úrovni zabezpečenia. Tieto metodiky teraz spoločnosti pomáhajú riadiť jej dodávateľov pri úprave aplikácií. Po úspešnom zvládnutí projektu sme boli poverení prípravou nových štandardov i pre ďalších 40 platforiem.

Vzhľadom k obrovskému množstvu spravovaných technológií sme navrhli nasadenie nástroja pre riadenie zraniteľností (VMS), ktorý zautomatizoval kontrolu dodržiavania vytvorených bezpečnostných štandardov a začal dodávať prehľadný reporting. Vďaka nemu zákazník ušetril ďalšie ľudské zdroje.

Popis riešenia

Ako hardening je označovaný proces zabezpečenia konfigurácie systému takým spôsobom, ktorý obmedzí výskyt zraniteľností využiteľných útočníkom. V dnešnej dobe je hardening systémov jedným zo základných bezpečnostných opatrení na ochranu informácií a informačného systému spoločnosti.

Ako prebieha proces hardeningu?

Proces zaistenia vysokej úrovne bezpečnosti aplikácií a operačných systémov je kontinuálny. Pri hardeningu systémov je nutné riešiť nasledujúce fázy:

  • Analýza – v úvodnej fáze sú určené systémy, ktoré budú predmetom hardeningu. Tieto systémy sú spravidla vyberané podľa svojej kritickosti a významu, ktorý v rámci informačného systému spoločnosti majú. Súčasťou môže byť i výber vhodného nástroja na automatizovanú kontrolu nastavenia.
  • Vytvorenie hardeningových bezpečnostných politík – jedná sa o technické i procesné predpisy, ktoré stanovujú, aká má byť konfigurácia aplikácií a systémov vrátane prevádzkových kontrol na overenie zhody so skutočnosťou. V tejto fáze sa opierame o už existujúce a preverené štandardy, ako sú napr. CIS Benchmarky, NIST a iné. Hardeningové bezpečnostné politiky sú vytvorené v takej podobe, aby bolo možné ich vyhodnocovať nielen manuálne v rámci interných auditov, ale najmä automatizovane, čo šetrí interné zdroje nutné na vykonávanie kontrol.
  • Budovanie procesov – súčasťou hardeningu nie sú iba dokumenty a predpisy na zaistenie vysokej úrovne konfigurácie, ale i procesy na udržiavanie a aktualizáciu politík, ich riadenia, kontrolu, vynucovanie a ďalší rozvoj.
  • Technická kontrola a nasadenie – vytvorené procesy a technické predpisy je nutné nasadiť do praxe. Súčasťou tohto kroku je obyčajne implementácia nástroja, ktorý dokáže overiť nasadenie hardeningovej politiky na dané zariadenia a identifikovať nezhody oproti schváleným politikám.

Aké systémy je možné hardenovať?

Na hardening sú vhodné akékoľvek aplikácie, systémy a platformy, ktoré sú súčasťou infraštruktúry IT spoločnosti. Jedná sa napríklad o:

  • Servery a ich aplikácie (operačný systém, databázy, webové servery, aplikačné servery a iné).
  • Hardvérové zariadenia (napr. SCADA, hardvérové firewally, prístupové body – WiFi access pointy).
  • BYOD a MDM zariadenia.
  • Pracovné stanice a AD GPO (Group Policy), nastavenie webového browsera, chovanie Java a .NET frameworku a podobne.

To, ktoré zariadenia je alebo nie je možné hardenovať a vynucovať u nich ich kontrolu, je obyčajne súčasťou fázy analýzy.

Aké produkty sú vhodné pre automatizovanú kontrolu?

Pre automatizovanú kontrolu hardeningových politík je možné využiť akýkoľvek VMS (Vulnerability Management Systém) produkt , ktorý umožňuje automaticky kontrolovať a vyhodnocovať nastavenie systému. Taký produkt má spravidla nasledujúce vlastnosti:

  • Možnosť nastaviť „zero-configuration“, t.j. stanoviť konfiguračný etalón pre daný systém.
  • Vykonávanie „agent-less“ kontroly.
  • Modifikácia a vytváranie vlastných bezpečnostných politík.
  • Vyhodnocovanie zhody a nezhody, riadenie výnimiek.
  • Napojenie na SIEM a tiketovací systém.
  • Reporting a alerting.

Prínosy našich služieb

Implementácia hardeningu má následujúce prínosy:

  • Významné zvýšenie úrovne bezpečnosti prevádzkovaných systémov.
  • Efektívny nástroj na riadenie zraniteľností a kontrolu zhody s politikami šetrí interné zdroje.
  • Politiky a procesy sú vytvárané na mieru prostrediu a systémom zákazníka.
  • Definície konfiguračného štandardu pre používané systémy. Dodržovanie štandardov je požom možné vyžadovať i od externých dodávateľov.
  • Kompletný prehľad o nastavení jednotlivých systémov, vrátane identifikácie nezhôd oproti politikám.
  • Systémy sú zabezpečené na vysokej úrovni podľa medzinárodných štandardov, best practice a našich skúseností získaných dlhoročnou praxou v oblasti auditov konfigurácie a penetračných testov.
  • Riziká plynúce z existujúcich zraniteľností, konfiguračních nezhôd alebo prevádzky ICT sú identifikované a riadené.

Referencie

V tejto oblasti máme mnohoročné skúsenosti z implementácie radu projektov pre významné organizácie vo svojom obore, ako je napr.:
  • ČEZ ICT Services, a.s.
  • ING Pojišťovna a.s.