| Рекомендация |
Комментарии, меры по реализации |
| Не размещайте (не инсталлируйте) сервисы управления средствами защиты информации, резервным копированием, хранения корпоративных секретов и аутентификационных данных (корпоративные парольные менеджеры, системы аутентификации и т.п.) и их БД на серверах, входящих в домен Active Directory. |
Размещение сервисов управления средствами защиты информации, резервным копированием, хранения корпоративных секретов и аутентификационных данных и их БД на системах, не входящих в домены Active Directory, позволит уменьшить поверхность атаки как на эти системы, так и на размещаемые на них сервисы, за счет исключения техник атак на службы доменов.
Также важно соблюдать принципы безопасного администрирования данных систем. Не управляйте системами критически важного сегмента с систем, входящих в доменную инфраструктуру. Для администрирования систем критически важного сегмента рекомендуется выделить отдельную не входящую в доменную инфраструктуру рабочую станцию, которая не используется на повседневной основе. Данная рабочая станция должна быть настроена с учетом принципов минимальных привилегий и не должна управляться удаленно.
В совокупности эти меры могут существенно повысить сложность атаки на парольный менеджер за счет отсутствия необходимых аутентификационных данных на системах, подключенных к имеющимся доменам AD. |
| Осуществляйте управление системами критически важного сегмента с рабочих станций, не подключенных к домену AD и не используемых на повседневной основе. |
| Не используйте и не храните в доменной инфраструктуре без должной защиты аутентификационные данные для подключения к операционным системам хостов критически важного сегмента, а также от привилегированных учетных записей сервисов, размещаемых на данных хостах. |
| Отключите поддержку и не используйте устаревшие сетевых протоколы и алгоритмы шифрования. |
Применение данных рекомендаций позволит исключить эксплуатацию уязвимостей устаревших протоколов и существенно снизить риск downgrade-атак за счёт принудительного использования только стойких алгоритмов шифрования, а также уменьшить поверхность атаки критического сегмента путём закрытия неиспользуемых портов и стандартизации единого защищённого канала для удалённого управления. |
| Используйте строгие политики согласования протоколов. Отключите режимы обратной совместимости с устаревшими протоколами. |
| При организации сетевого доступа к системам критически важного сегмента придерживайтесь принципов минимального количества доступных сетевых портов. Обеспечьте доступность только размещенных на них сервисов. |
| Для удаленного управления системами критически важного сегмента определите и используйте один утвержденный протокол, например RDP. |
| Ограничьте возможность взаимодействия систем критического сегмента с публичными сетями. В списки разрешенных публичных ресурсов можно добавить публичные адреса серверов обновлений операционных систем и размещенных на них сервисов. |
Данная мера позволит ограничить взаимодействие с публичными сетями и не позволит установить скрытные каналы управления к серверам атакующих, используемых для управления и эксфильтрации критических данных. |
| При разграничении прав доступа руководствуйтесь принципом минимально необходимых привилегий для сервисных учетных записей сервиса. |
Учетные записи, от имени которых работают сервисы на системах критически важного сегмента, не должны быть привилегированными и иметь доступа к другим ресурсам локальной сети. |
| Придерживайтесь строгих парольных политик для всех учетных записей, связанных с системами критически важного сегмента. Убедитесь в использовании паролей, отличных от используемых в других сегментах инфраструктуры. |
Данная мера позволит исключить возможность повторного использования атакующими аутентификационных данных, добытых в основной инфраструктуре. |
| Настройте политики блокировки учетных записей при достижении определенного количества неуспешных попыток входа на сервер парольного менеджера. |
При доступе к системам критически важного сегмента рекомендуется установить ограничение на количество попыток аутентификации.
Данная мера позволит противостоять атакам перебора и выявлять их. |
| Используйте многофакторную аутентификацию (MFA) для доступа к системам критически важного сегмента и сервисам, размещенных на них. |
Внедрите средства многофакторной аутентификации, основанные на одноразовых кодах. Для операционных систем могут использоваться как коммерческие, так и свободно распространяемые решения с открытым кодом. Это создаст дополнительный барьер для атакующих, в случаях, например, когда отключить протоколы удаленного доступа и управления не представляется возможным. |
| Обеспечьте шифрование дисков систем критически важного сегмента. |
Используйте программное обеспечение BitLocker, LUKS или аналоги. Обеспечьте надежные места хранения ключевой информации. Это защитит информацию при физическом доступе к накопителям информации или краже файлов дисков виртуальных машин. |
| В случаях если системы критически важного сегмента созданы в виртуальной среде, то выделите под них обособленный гипервизор, который администрируется исключительно с рабочей станции, не управляемой централизованно, не входящей в домены и не используемой на повседневной основе. |
При построении критически важного сегмента инфраструктуры в виртуальной среде следует учитывать риски компрометации гипервизоров, на которых данные системы размещены. Даже в случаях с шифрованием дисков гостевой ОС, злоумышленники могут скомпрометировать гипервизоры и провести эксфильтрацию файлов виртуальных машин, включая файлы оперативной памяти виртуальных машин (ВМ) с ключевой информацией, необходимой для расшифровки дисков. Реализация подобного сценария атаки позволит злоумышленникам атаковать украденные ВМ в подконтрольных им средах.
Если этот риск неприемлем, выделите обособленный гипервизор для критически важных ВМ и обеспечьте его изоляцию от общей инфраструктуры. |
| Регулярно обновляйте операционные системы систем критически важного сегмента и компоненты сервисов, размещенных на них. |
Программное обеспечение может содержать ошибки и уязвимости, что в ряде случаев может привести к компрометации хранимых в них данных. |
| Включите дополнительные механизмы безопасности, реализованные в сервисах, размещенных на системах критически важного сегмента. |
В приложениях и критически важных сервисах могут быть реализованы функции для повышения безопасности хранения данных (шифрование данных, многофакторная аутентификация). |
| Настройте централизованный сбор и анализ событий безопасности в SIEM-системе. |
Контролируйте события, связанные с
- операционными системами устройствам критически важного сегмента: события ОС (успешный/неуспешный вход на систему, создание задач и служб, процессов и т.д.);
- доступом к сервисам, размещенных на системах критически важных систем: события входа в приложение, подключений к БД, операций по созданию/изменению/удалений объектов и т.п.
Отслеживание подобных событий позволит своевременно выявлять и реагировать на аномальную активность. |
