В традиционном понимании бизнеса критически важным сегментом ИТ-инфраструктуры считаются системы, напрямую обеспечивающие непрерывность бизнес-процессов и финансовую результативность компании. Однако с позиции информационной безопасности приоритеты принципиально иные: по-настоящему критический сегмент формируют системы, отвечающие за защиту инфраструктуры, безопасное хранение секретов и аутентификационных данных, а также создание и хранение резервных копий. Именно эти компоненты определяют способность организации не только противодействовать угрозам, но и гарантированно защищать активы и восстанавливаться после разрушительных инцидентов или сбоев. Эксперты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 и специалисты по безопасности компании-разработчика корпоративного менеджера паролей Пассворк провели исследование, которое позволило сформировать рекомендации по защите критически важных устройств в каждой ИТ-инфраструктуре.
Идея написания этой статьи обусловлена практическим опытом реагирования на разрушительные кибератаки, в ходе которых злоумышленники получали доступы к корпоративным сетям своих жертв и использовали программы-вымогатели или вайперы для вывода из строя их ИТ-инфраструктуры. Анализ причин, благодаря которым злоумышленники достигли целей, показал, что во многом успех был достигнут за счет небезопасной конфигурации ИТ-инфраструктур, качественно проведенной разведки ресурсов жертвы, компрометации критически важных учетных данных, хранимых в том числе в корпоративных парольных менеджерах, доступности и незащищенности систем и хранилищ резервного копирования.
Для того, чтобы противостоять подобным атакам важно понимать, что какие бы мы не выстраивали преграды для доступа в корпоративную сеть, будет довольно сложно что-либо противопоставить попавшей внутрь угрозе без квалифицированных кадров и современных средств обнаружения и реагирования на нее. Тем не менее, даже имея на столе «волшебную кнопку» в виде передовых защитных решений, без безопасного проектирования и конфигурирования ИТ-инфраструктуры не обойтись.
Мы сформировали перечень архитектурных рекомендаций, направленных на повышение защищённости систем критически важного сегмента ИТ-инфраструктуры, в задачи которых входят обеспечение безопасности инфраструктуры, хранение секретов и аутентификационных данных пользователей, а также создание и хранение резервных копий, доступ к которым злоумышленники ни при каких обстоятельствах получить не должны.
Цель данных рекомендаций заключается в уменьшении поверхности атаки на системы критически важного сегмента и создании условий дорогой и неэффективной атаки, которая в идеальных условиях у злоумышленника займет столько времени и ресурсов, сколько потребуется на обнаружение его активности до момента достижения им преследуемой цели.
Принципиальные аспекты, которые должны быть достигнуты выполнением этих рекомендаций:
- Вывод критически значимых систем в отдельный сегмент сети (см. рисунок), не управляемый централизованно, в том числе с помощью служб доменов.
- Реализация администрирования данных систем с отдельно выделенной системы, не используемой в повседневной деятельности и также изолированной от доменных служб и централизованного управления.
- Отсутствие в операционной инфраструктуре аутентификационных данных от систем критически важного сегмента.
Рекомендации по безопасной конфигурации систем критически важного сегмента ИТ-инфраструктуры
1. Не размещайте (не инсталлируйте) сервисы управления средствами защиты информации, резервным копированием, хранения корпоративных секретов и аутентификационных данных (корпоративные парольные менеджеры, системы аутентификации и т.п.) и их БД на серверах, входящих в домен Active Directory.
2. Осуществляйте управление системами критически важного сегмента с рабочих станций, не подключенных к домену AD и не используемых на повседневной основе.
3. Не используйте и не храните в доменной инфраструктуре без должной защиты аутентификационные данные для подключения к операционным системам хостов критически важного сегмента, а также от привилегированных учетных записей сервисов, размещаемых на данных хостах.
Комментарий к рекомендациям 1–3:
Размещение сервисов управления средствами защиты информации, резервным копированием, хранения корпоративных секретов и аутентификационных данных и их БД на системах, не входящих в домены Active Directory, позволит уменьшить поверхность атаки как на эти системы, так и на размещаемые на них сервисы, за счет исключения техник атак на службы доменов.
Также важно соблюдать принципы безопасного администрирования данных систем. Не управляйте системами критически важного сегмента с систем, входящих в доменную инфраструктуру. Для администрирования систем критически важного сегмента рекомендуется выделить отдельную не входящую в доменную инфраструктуру рабочую станцию, которая не используется на повседневной основе. Данная рабочая станция должна быть настроена с учетом принципов минимальных привилегий и не должна управляться удаленно.
В совокупности эти меры могут существенно повысить сложность атаки на парольный менеджер за счет отсутствия необходимых аутентификационных данных на системах, подключенных к имеющимся доменам AD.
4. Отключите поддержку и не используйте устаревшие сетевых протоколы и алгоритмы шифрования.
5. Используйте строгие политики согласования протоколов. Отключите режимы обратной совместимости с устаревшими протоколами.
6. При организации сетевого доступа к системам критически важного сегмента придерживайтесь принципов минимального количества доступных сетевых портов. Обеспечьте доступность только размещенных на них сервисов.
7. Для удаленного управления системами критически важного сегмента определите и используйте один утвержденный протокол, например RDP.
Комментарий к рекомендациям 4–7:
Применение данных рекомендаций позволит исключить эксплуатацию уязвимостей устаревших протоколов и существенно снизить риск downgrade-атак за счёт принудительного использования только стойких алгоритмов шифрования, а также уменьшить поверхность атаки критического сегмента путём закрытия неиспользуемых портов и стандартизации единого защищённого канала для удалённого управления.
8. Ограничьте возможность взаимодействия систем критического сегмента с публичными сетями. В списки разрешенных публичных ресурсов можно добавить публичные адреса серверов обновлений операционных систем и размещенных на них сервисов.
Комментарий:
Эта мера позволит ограничить взаимодействие с публичными сетями и не позволит установить скрытные каналы управления к серверам атакующих, используемых для управления и эксфильтрации критических данных.
9. При разграничении прав доступа руководствуйтесь принципом минимально необходимых привилегий для сервисных учетных записей сервиса.
Комментарий:
Учетные записи, от имени которых работают сервисы на системах критически важного сегмента, не должны быть привилегированными и иметь доступа к другим ресурсам локальной сети.
10. Придерживайтесь строгих парольных политик для всех учетных записей, связанных с системами критически важного сегмента. Убедитесь в использовании паролей, отличных от используемых в других сегментах инфраструктуры.
Комментарий:
Данная мера позволит исключить возможность повторного использования атакующими аутентификационных данных, добытых в основной инфраструктуре.
11. Настройте политики блокировки учетных записей при достижении определенного количества неуспешных попыток входа на сервер парольного менеджера.
Комментарий:
При доступе к системам критически важного сегмента рекомендуется установить ограничение на количество попыток аутентификации.
Эта мера позволит противостоять атакам перебора и выявлять их.
12. Используйте многофакторную аутентификацию (MFA) для доступа к системам критически важного сегмента и сервисам, размещенных на них.
Комментарий:
Внедрите средства многофакторной аутентификации, основанные на одноразовых кодах. Для операционных систем могут использоваться как коммерческие, так и свободно распространяемые решения с открытым кодом. Это создаст дополнительный барьер для атакующих, в случаях, например, когда отключить протоколы удаленного доступа и управления не представляется возможным.
13. Обеспечьте шифрование дисков систем критически важного сегмента.
Комментарий:
Используйте программное обеспечение BitLocker, LUKS или аналоги. Обеспечьте надежные места хранения ключевой информации. Это защитит информацию при физическом доступе к накопителям информации или краже файлов дисков виртуальных машин.
14. В случаях если системы критически важного сегмента созданы в виртуальной среде, то выделите под них обособленный гипервизор, который администрируется исключительно с рабочей станции, не управляемой централизованно, не входящей в домены и не используемой на повседневной основе.
Комментарий:
При построении критически важного сегмента инфраструктуры в виртуальной среде следует учитывать риски компрометации гипервизоров, на которых данные системы размещены. Даже в случаях с шифрованием дисков гостевой ОС, злоумышленники могут скомпрометировать гипервизоры и провести эксфильтрацию файлов виртуальных машин, включая файлы оперативной памяти виртуальных машин (ВМ) с ключевой информацией, необходимой для расшифровки дисков. Реализация подобного сценария атаки позволит злоумышленникам атаковать украденные ВМ в подконтрольных им средах.
Если этот риск неприемлем, выделите обособленный гипервизор для критически важных ВМ и обеспечьте его изоляцию от общей инфраструктуры.
15. Регулярно обновляйте операционные системы систем критически важного сегмента и компоненты сервисов, размещенных на них.
Комментарий:
Программное обеспечение может содержать ошибки и уязвимости, что в ряде случаев может привести к компрометации хранимых в них данных.
16. Включите дополнительные механизмы безопасности, реализованные в сервисах, размещенных на системах критически важного сегмента.
Комментарий:
В приложениях и критически важных сервисах могут быть реализованы функции для повышения безопасности хранения данных (шифрование данных, многофакторная аутентификация).
17. Настройте централизованный сбор и анализ событий безопасности в SIEM-системе.
Комментарий:
Контролируйте события, связанные с:
•операционными системами устройствам критически важного сегмента: события ОС (успешный/неуспешный вход на систему, создание задач и служб, процессов и т.д.);
• доступом к сервисам, размещенных на системах критически важных систем: события входа в приложение, подключений к БД, операций по созданию/изменению/удалений объектов и т.п.Отслеживание подобных событий позволит своевременно выявлять и реагировать на аномальную активность.
