Hardening systémov

Hardening označuje proces zabezpečenia konfigurácie systému spôsobom, ktorý obmedzuje výskyt zraniteľností zneužiteľných útočníkom. V súčasnosti je hardening systémov jedným zo základných bezpečnostných opatrení na ochranu informácií a informačného systému spoločnosti.

Ako prebieha proces hardeningu?
Proces zabezpečenia vysokej úrovne bezpečnosti aplikácií a operačných systémov je kontinuálny. Pri hardeningu systémov je potrebné venovať pozornosť nasledujúcim fázam:

• Analýza - v počiatočnej fáze sa určia systémy, ktoré budú predmetom hardeningu. Tieto systémy sa zvyčajne vyberajú podľa ich kritickosti a významu v rámci informačného systému spoločnosti. To môže zahŕňať výber vhodného nástroja na automatizovanú kontrolu nastavení.
• Stanovenie bezpečnostných politík hardeningu - ide o technické a procedurálne predpisy, ktoré stanovujú, ako by mali byť aplikácie a systémy nakonfigurované, vrátane kontrol implementácie na overenie súladu so skutočnosťou. V tejto fáze sa opierame o existujúce a overené štandardy, ako sú CIS Benchmarks, NIST a iné. Bezpečnostné politiky hardeningu sú navrhnuté tak, aby ich bolo možné vyhodnocovať nielen manuálne v rámci interných auditov, ale najmä automatizovane, čím sa šetria interné zdroje potrebné na vykonávanie kontrol.
• Budovanie procesov - Hardening zahŕňa nielen dokumenty a predpisy na zabezpečenie vysokej úrovne konfigurácie, ale aj procesy na udržiavanie a aktualizáciu politík, ich riadenie, kontrolu, vynucovanie a ďalší rozvoj.
• Technická kontrola a nasadenie - vytvorené procesy a technické predpisy je potrebné nasadiť do praxe. Tento krok zvyčajne zahŕňa implementáciu nástroja, ktorý dokáže overiť nasadenie politiky hardeningu do zariadení a identifikovať nesúlad so schválenými politikami.

Pre hardening sú vhodné všetky aplikácie, systémy a platformy, ktoré sú súčasťou IT infraštruktúry spoločnosti. Patria sem:

• servery a ich aplikácie (operačný systém, databázy, webové servery, aplikačné servery atď.),
• hardwarové zariadenia (napr. SCADA, hardwarové firewally, prístupové body - WiFi access points),
• BYOD a MDM zariadenia,
• pracovné stanice a AD GPO (Group Policy), nastavenia webového prehliadača, správanie Java a .NET frameworku atď.

Ktoré zariadenia možno alebo nemožno hardenovať a vynucovať ich kontrolu, je zvyčajne súčasťou fázy analýzy.

Na automatizovanú kontrolu hardeningových politík možno použiť akýkoľvek produkt VMS (Vulnerability Management System), ktorý automaticky kontroluje a vyhodnocuje systémové nastavenia. Takýto produkt má zvyčajne tieto vlastnosti:

• Možnosť nastaviť "zero-configuration", t. j. stanoviť konfiguračný etalón pre daný systém.
• Vykonávanie "agent-less" kontroly.
• Modifikácia a vytváranie vlastných bezpečnostných politík.
• Vyhodnocovanie zhody a nezhody, riadenie výnimiek.
• Napojenie na systém SIEM a ticketing.
• Reporting a alerting.

Veľká energetická spoločnosť používala pre svoje aplikácie desiatky platforiem. Stála pred problémom ich zabezpečenia, pretože každý audit si vyžadoval veľa ľudských zdrojov. Preto nás požiadala o vytvorenie jednotnej dokumentácie pre 15 najpoužívanejších platforiem.

Vytvorili sme teda štandardy pre bezpečnostné nastavenia (tzv. hardening), aby sme splnili požadovanú vysokú úroveň zabezpečenia. Tieto metodiky teraz pomáhajú spoločnosti usmerňovať dodávateľov pri úprave aplikácií. Po úspešnom dokončení projektu sme dostali za úlohu vytvoriť nové štandardy pre ďalších 40 platforiem.

Vzhľadom na obrovské množstvo spravovaných technológií sme navrhli nasadenie nástroja na správu zraniteľností (VMS), ktorý zautomatizoval kontrolu zhody vyvinutých bezpečnostných štandardov a začal poskytovať prehľadný reporting. Výsledkom bolo, že zákazník ušetril ďalšie ľudské zdroje.