Hardening systemów i usług

CEL:

Dobrze zabezpieczone środowisko IT to gwarancja zapewnienia ciągłości pracy, a więc płynności procesów biznesowych. Zarówno systemy operacyjne, jak i poszczególne urządzenia powinny być zatem poddane działaniom zmierzającym do ich optymalnej konfiguracji. Utwardzanie systemów ma na celu takie ich skonfigurowanie, by zminimalizować ryzyko ataku z zewnątrz i wpływu złośliwego oprogramowania na sieć organizacji.

 KORZYŚCI:

  • spełnienie wymagań prawnych i organizacyjnych (RODO, NIS, REKOMENDACJE KNF),
  • identyfikacja słabych punktów,
  • znaczący wzrost bezpieczeństwa i odporności na ataki cybernetyczne.

 ZAKRES SYSTEMÓW I USŁUG:

  • Windows 10
  • Windows Server
  • Windows SQL Server
  • Linux (Debian, RHEL, Centos, Ubuntu)
  • Usługi takie jak: Apache, Nginx, Tomcat, SSH, Proxy.
  • Urządzenia sieciowe CISCO.

 PRZYKŁAD DLA OS Debian & Usługi Apache:

 W zakresie testów systemu operacyjnego serwera przewiduje się sprawdzenie między innymi występowania podatności (np. związanych z wykorzystywaniem nieaktualnym komponentów systemowych), zgodności konfiguracji z powszechnie zalecanymi standardami i dobrymi praktykami inżynierskimi (np. z CIS, CISOfy). Testy serwera mogą zostaną przeprowadzone
z wykorzystaniem automatycznych narzędzi (np. lynis, inxi, lsat oraz narzędzi autorskich), które umożliwiają wyszukanie podatności, jak również sprawdzenie zgodności
z ogólnoświatowymi standardami konfiguracyjnymi. Dodatkowo w przypadku zapewnienia zdalnego dostępu (np. VPN) do przedmiotowego serwera możliwe będzie sprawdzenie go
z wykorzystaniem oprogramowania Nessus. 

W przypadku potrzeby uzupełnienia wyników uzyskanych z wykorzystaniem automatycznych skryptów i narzędzi, opcjonalnie zostaną przeprowadzone manualne sprawdzenia elementów związanych z infrastrukturą systemową. Sprawdzenia te będą wykonywane przez administratora systemu, przy zdalnej współpracy z inżynierem Wykonawcy. Forma tej współpracy zostanie uzgodniona (doprecyzowana) po zatwierdzeniu oferty. W odniesieniu do systemu rodziny Linux może w ten sposób być zweryfikowana: 

  • dostępność domyślnych kont użytkowników - sprawdzenie wpisów w /etc/passwd,
  • polityka haseł - sprawdzenie m.in. wpisów w /etc/shadow,
  • uruchomione usługi (ich uprawnienia i konfiguracja) - lsat, lynis, manualna
  • weryfikacja plików konfiguracyjnych, weryfikacja praw (uprawnień)
  • użytkownika, na którego koncie uruchomione są usługi,
  • zarządzanie systemami plików, a w tym, m.in. weryfikacja terminów i metody tworzenia kopii zapasowych,
  • integralność systemów plików - weryfikacja metod (i terminów) automatycznego sprawdzania systemów plików (fsck) oraz możliwości utraty
  • integralności danych znajdujących się na dyskach montowanych (o ile takie są),
  • zarządzanie ruchem sieciowym – sprawdzenie reguł iptables,
  • logowanie zdarzeń - przegląd konfiguracji ich ustawień, np. poziomu szczegółowości

 

W przypadku analizy konfiguracji serwera HTTP Apache przewiduje się sprawdzenie dodatkowo m.in.: 

  • informacji zwracanych w nagłówkach odpowiedzi HTTP;
  • kompletności wymaganych w nagłówkach odpowiedzi HTTP dyrektyw podnoszących poziom bezpieczeństwa;
  • analiza konfiguracji apache2.conf, .htaccess, .htpasswd itp;
  • możliwości przeglądania drzewa katalogów – directory listing;
  • uprawnień konta użytkownika, w kontekście którego uruchomione jest oprogramowanie;
  • przydzielonych praw dostępu do plików binarnych i konfiguracyjnych serwera;
  • wspieranych metod komunikacji HTTP;
  • zainstalowanych dodatków, modułów podnoszących poziom bezpieczeństwa;

 WYNIKI:

Raport końcowy będzie zawierał:

  • szczegółowe informacje o znalezionych podatnościach/nieprawidłowościach
    w konfiguracji obiektu badań,
  • opisy proponowanych metod naprawy podatności (luk w bezpieczeństwie).

W raporcie wskazany zostanie poziom utwardzenia obiektu badań (ang. hardening level) określony przez wykorzystywane narzędzia. Dla wykrytych nieprawidłowości zostaną wskazane zalecenia działań zaradczych i sposoby naprawy zidentyfikowanych luk bezpieczeństwa. Dla wykrytych podatności zostanie przeprowadzona i opisana analiza ryzyka, co pozwoli zaplanować ich usuwanie odpowiednio do ich poziomu istotności. W analizie tej oprócz konsekwencji (skutków) ataku wykorzystującego wykryte podatności zostanie także uwzględnione prawdopodobieństwo wystąpienia tego typu zdarzenia