Hardening systémů

Jako hardening je označován proces zabezpečení konfigurace systému takovým způsobem, který omezí výskyt zranitelností využitelných útočníkem. V dnešní době je hardening systémů jedním ze základních bezpečnostních opatření pro ochranu informací a informačního systému společnosti.

Jak probíhá proces hardeningu?
Proces zajištění vysoké úrovně bezpečnosti aplikací a operačních systémů je kontinuální. Při hardeningu systémů je nutné řešit následující fáze:

• Analýza – v úvodní fázi jsou určeny systémy, které budou předmětem hardeningu. Tyto systémy jsou zpravidla vybírány dle jejich kritičnosti a významu, který v rámci informačního systému společnosti mají. Součástí může být i výběr vhodného nástroje pro automatizovanou kontrolu nastavení.
• Vytvoření hardeningových bezpečnostních politik – jedná se o technické i procesní předpisy, které stanovují, jaká má být konfigurace aplikací a systémů včetně prováděcích kontrol na ověření shody se skutečností. V této fázi se opíráme o již existující a prověřené standardy jako jsou např. CIS Benchmarky, NIST a jiné. Hardeningové bezpečnostní politiky jsou vytvořeny v takové podobě, aby bylo možné je vyhodnocovat nejen manuálně v rámci interních auditů, ale zejména automatizovaně, což šetří interní zdroje nutné pro vykonávání kontrol.
• Budování procesů – součástí hardeningu nejsou pouze dokumenty a předpisy pro zajištění vysoké úrovně konfigurace, ale i procesy pro udržování a aktualizaci politik, jejich řízení, kontrolu, vynucování a další rozvoj.
• Technická kontrola a nasazení – vytvořené procesy a technické předpisy je nutné nasadit do praxe. Součástí tohoto kroku je obvykle implementace nástroje, který dokáže ověřit nasazení hardeningové politiky na daná zařízení a identifikovat neshody oproti schváleným politikám.

Pro hardening jsou vhodné jakékoliv aplikace, systémy a platformy, které jsou součástí infrastruktury IT společnosti. Jedná se například o:

• servery a jejich aplikace (operační systém, databáze, webové servery, aplikační servery a jiné),
• hardwarová zařízení (např. SCADA, hardwarové firewally, přístupové body – WiFi access pointy),
• BYOD a MDM zařízení,
• pracovní stanice a AD GPO (Group Policy), nastavení webového browseru, chování Java a .NET frameworku a podobně.

To, která zařízení je nebo není možno hardenovat a vynucovat u nich jejich kontrolu, je obvykle součástí fáze analýzy.

Pro automatizovanou kontrolu hardeningových politik lze využít jakýkoliv VMS (Vulnerability Management Systém) produkt, který umožňuje automaticky kontrolovat a vyhodnocovat nastavení systému. Takový produkt má zpravidla následující vlastnosti:

• možnost nastavit „zero-configuration“, tj. stanovit konfigurační etalon pro daný systém,
• provádění „agent-less“ kontroly,
• modifikace a vytváření vlastních bezpečnostních politik,
• vyhodnocování shody a neshody, řízení výjimek,
• napojení na SIEM a tiketovací systém,
• reporting a alerting.

Velká energetická společnost využívala desítky platforem pro své aplikace. Potýkala se s problémem jejich zabezpečení, protože každý audit vyžadoval množství lidských zdrojů. Požádala nás tedy o vytvoření jednotné dokumentace pro 15 nejpoužívanějších platforem.

Vytvořili jsme tedy standardy pro bezpečnostní nastavení (tzv. hardening) tak, aby vyhovovaly požadované vysoké úrovni zabezpečení. Tyto metodiky nyní společnosti pomáhají řídit její dodavatele při úpravě aplikací. Po úspěšném zvládnutí projektu jsme byli pověřeni přípravou nových standardů i pro dalších 40 platforem.

Vzhledem k obrovskému množství spravovaných technologií jsme navrhli nasazení nástroje pro řízení zranitelností (VMS), který zautomatizoval kontrolu dodržování vytvořených bezpečnostních standardů a začal dodávat přehledný reporting. Díky němu zákazník ušetřil další lidské zdroje.