Аудит программного обеспечения и безопасности на сервере: чеклист и основные этапы

Информационная безопасность является приоритетом для любого бизнеса, работающего онлайн и с большими объемами данных, какими бы они не были. Вирусы, устаревшие службы и приложения, несанкционированный доступ к серверу могут значительно повлиять на финансовое положение и репутацию организации.

Чаще всего проверка всех уязвимостей сервера может занять продолжительное время, но это того стоит. Мы подготовили чеклист для аудита безопасности сервера и его программного обеспечения с основными моментами, на которые стоит обратить внимание.

Что такое аудит безопасности?

Аудит безопасности и программного обеспечения представляет собой регулярную практику мониторинга и очищения сервера от существующих и потенциальных уязвимостей.

Администратор сервера или владелец хостинга проводит аудит с целью устранить проблемы и укрепить систему безопасости сервера, например, от DDoS-атаки, кражи данных, несанкционированного доступа и т.п.

Пользователь, не имеющий навыков программирования также может провести аудит, следуя общим рекомендациям.

Чеклист аудита безопасности сервера

Данный чеклист для аудита безопасности и программного обеспечения сервера представляет собой сокращенную версию основных компонентов сервера, которые необходимо регулярно проверять. Контрольный список проверки может отличаться в зависимости от целей использования сервера.

Операционная система:

1. Регулярно обновляйте ОС и все программное обеспечение последними обновлениями
2. Обеспечьте строгую политику паролей/парольных фраз для учетных записей root/admin.
3. Удалите стандартные/неиспользуемые учетные записи и службы.
4. Настройте ограничения на вход, например, белые списки IP-адресов, MFA.

Сеть:

1. Настройте брандмауэр, чтобы разрешить только необходимый входящий/исходящий трафик.
2. Проведите мониторинг и ограничение несанкционированного доступа к сети/сканирования.
3. Периодически проверяйте порты на наличие уязвимостей.

Удаленный доступ и учетные записи:

1. Используйте безопасные протоколы, такие как SSH, а не Telnet, RDP.
2. Проверьте и ограничьте при необходимости пользователей удаленного доступа и их привилегии.
3. Удалите отключенные или неактивные учетные записи.
4. Проводите мониторинг неудачных попыток входа в систему.

Службы:

1. Отключите/удалите ненужные службы, такие как SMB, NFS, если они не используются.
2. Настройте доступные службы (отключите листинг каталогов, загрузку файлов и т. д.)

Программная среда:

1. Убедитесь, что установленные приложения/конфигурации соответствуют утвержденным базовым значениям.
2. Проверьте версии программного обеспечения на наличие уязвимостей.
3. Обеспечьте соблюдение белых списков приложений.

Резервное копирование и восстановление:

1. Проводите регулярное резервное копирование критически важных данных и конфигураций.
2. Периодически тестируйте процесс восстановления.
3. Храните резервные копии в безопасном месте вне офиса.

Более подробно мы опишем некоторые пункты ниже.

Подготовка к аудиту

В первую очередь определите область или области проведения аудита. На данном этапе также необходимо поставить цели аудита. Следуя чеклисту, вы можете разделить аудит на несколько частей, проверяя разные области по-очереди и уделяя некоторым из них больше времени.

Соберите текущую информацию о версиях операционной системы, используемых программ, служб, а также об учетных записях и доступах на разных уровнях. Задокументируйте все изменения, поскольку впоследствии данная информация понадобится вам в составлении отчетов.

Вы можете провести аудит самостоятельно, не прибегая к помощи специалистов, однако вы можете частично автоматизировать данный процесс с помощью специальных программ.

Инструменты для аудита программного обеспечения могут эффективно сканировать и анализировать серверную среду, включая оценку уязвимостей, проверку соответствия лицензий и создание отчетов.

Среди популярных вариантов:

• Opsview Monitor (комплексная платформа мониторинга операционных систем, сетей, виртуальных машин, контейнеров, баз данных и т.п.).
• Netwrix (предлагает набор решений для ИТ-аудита, обеспечения безопасности и соответствия нормативным требованиям, позволяющих управлять, отслеживать и анализировать действия пользователей в гибридных средах).
• SolarWinds (как инструмент исправления недостатков, может предоставить вам ценную информацию об изменениях конфигурации и влияния на производительность).
• Puppet Enterprise (платформа автоматизации для управления инфраструктурой и приложениями, обеспечивая вас наиболее удобным развертыванием в любых средах с предоставлением всего необходимого, от мэйнфреймов до контейнеров).
• Palo Alto Networks (решение для обеспечения кибербезопасности, включая межсетевые экраны, системы предотвращения угроз и платформы сетевой безопасности).
• Check Point (инструмент для мониторинга и автоматизации, позволяющий отслеживать изменения в режиме реального времени, снижать риск человеческих ошибок при управлении сервером и т.п.).
• Nessus (сканер уязвимостей с открытым исходным кодом, который выявляет и оценивает уязвимости в системах и приложениях).
• OpenVAS (система оценки и управления уязвимостями с открытым исходным кодом, которая сканирует уязвимости и предоставляет рекомендации по их устранению).

Проведение аудита безопасности и программного обеспечения


Определение установленного программного обеспечения и версий, проверка лицензий на программное обеспечение и соответствия требованиям:

1. Проведите комплексное автоматизированное сканирование с помощью средств регистрации программного обеспечения, чтобы выявить все установленные в сети программы.
2. Зафиксируйте названия, версии и номера сборок программного обеспечения для создания точной отчетности.
3. Проведите централизацию и проверку лицензионной документации, обеспечив соблюдение лицензионных соглашений.

Какие инструменты использовать: Microsoft SCCM, PDQ Inventory, Lansweeper, Snow License Manager, Flexera.

Анализ использования программного обеспечения и выявление неиспользуемых приложений:

1. Внедрите средства анализа использования программного обеспечения для отслеживания моделей использования приложений в режиме реального времени.
2. Проанализируйте тенденции в использовании программного обеспечения, чтобы выявить активно используемые приложения и определить те, которые могут быть ненужными.
3. Соберите отзывы пользователей и проведите опросы, чтобы понять предпочтения и требования.
4. На основе анализа использования разработайте план удаления или оптимизации неиспользуемых приложений.

Какие инструменты использовать: IBM License Metric Tool, Snow Software, Flexera, USAGEIntel by Anthropic.

Сканирование сервера на уязвимости также необходимо провести по следующим компонентам: Firewall, файловая система, политика паролей, логи, контроль доступа, резервное копирование. Вот, на что стоит обратить внимание:

В качестве конкретных комплексных инструментов для аудита безопасности возможно использование таких решений как Lynis и UpGuard.

Lynis - инструмент аудита безопасности для систем на базе Linux, macOS и UNIX. Помогает в тестировании на соответствие требованиям (HIPAA/ISO27001/PCI DSS) и укреплении системы.

Лучшей альтернативой для Windows является UpGuard. Данная платформа подходит для всестороннего анализа систем, включая предотвращение утечки данных, идентификация направления атаки и т.п.

Отчеты и анализ

Отчет о проведенном аудите должен содержать резюме, в котором описываются объем и общие цели аудита. Затем в нем необходимо подробно описать все программное обеспечение, установленное на сервере, включая версии и наличие соответствующих лицензий. Основная часть отчета должна включать в себя документирование результатов различных оценок конфигурации и сканирования уязвимостей, которые были обнаружены.

Важно включить в отчет скриншоты, фрагменты конфигурационных файлов или системные журналы, чтобы подтвердить любые выводы и принятые решения.

Наконец, в отчете должны быть перечислены конкретные меры, необходимые или примененные для устранения каждой обнаруженной уязвимости или проблемы.

Анализ выявленных проблем может привести к пониманию более глубинных уязвимостей на сервере, что потребует более комплексных решений.

Как часто следует проводить аудит сервера?

Аудит безопасности сервера следует проводить не реже одного раза в месяц. Имея выверенный план и зная слабые места вашего оборудования, вы легко справитесь с непредвиденными обстоятельствами и сможете быстро отреагировать на угрозу.

В ходе аудита можно увидеть отклонения от рекомендуемых настроек и исправить их, оценить внедренные решения и сделать вывод об их эффективности, определить уязвимые стороны сервера на предмет проникновения.

В целом, намного выгоднее исправить небольшую проблему прежде, чем она принесет больший ущерб. Автоматизация процесса проверки безопасности сервера станет дополняющим решением к ежемесячным аудитам и повысит скорость реагирования и устойчивость к атакам.