Блог и Новости is*hosting - Хостинг-провайдер Нового Поколения

Аудит безопасности сервера: основые этапы и чеклист аудита

Written by Команда is*hosting | 25.01.2024 11:00:00

Информационная безопасность является приоритетом для любого бизнеса, работающего онлайн и с большими объемами данных, какими бы они не были. Вирусы, устаревшие службы и приложения, несанкционированный доступ к серверу могут значительно повлиять на финансовое положение и репутацию организации.

Чаще всего проверка всех уязвимостей сервера может занять продолжительное время, но это того стоит. Мы подготовили чеклист для аудита безопасности сервера и его программного обеспечения с основными моментами, на которые стоит обратить внимание.

Что такое аудит безопасности?

Аудит безопасности и программного обеспечения представляет собой регулярную практику мониторинга и очищения сервера от существующих и потенциальных уязвимостей.

Администратор сервера или владелец хостинга проводит аудит с целью устранить проблемы и укрепить систему безопасости сервера, например, от DDoS-атаки, кражи данных, несанкционированного доступа и т.п.

Пользователь, не имеющий навыков программирования также может провести аудит, следуя общим рекомендациям.

Чеклист аудита безопасности сервера

Данный чеклист для аудита безопасности и программного обеспечения сервера представляет собой сокращенную версию основных компонентов сервера, которые необходимо регулярно проверять. Контрольный список проверки может отличаться в зависимости от целей использования сервера.

Операционная система:

  1. Регулярно обновляйте ОС и все программное обеспечение последними обновлениями
  2. Обеспечьте строгую политику паролей/парольных фраз для учетных записей root/admin.
  3. Удалите стандартные/неиспользуемые учетные записи и службы.
  4. Настройте ограничения на вход, например, белые списки IP-адресов, MFA.

Сеть:

  1. Настройте брандмауэр, чтобы разрешить только необходимый входящий/исходящий трафик.
  2. Проведите мониторинг и ограничение несанкционированного доступа к сети/сканирования.
  3. Периодически проверяйте порты на наличие уязвимостей.

Удаленный доступ и учетные записи:

  1. Используйте безопасные протоколы, такие как SSH, а не Telnet, RDP.
  2. Проверьте и ограничьте при необходимости пользователей удаленного доступа и их привилегии.
  3. Удалите отключенные или неактивные учетные записи.
  4. Проводите мониторинг неудачных попыток входа в систему.

Службы:

  1. Отключите/удалите ненужные службы, такие как SMB, NFS, если они не используются.
  2. Настройте доступные службы (отключите листинг каталогов, загрузку файлов и т. д.)

Программная среда:

  1. Убедитесь, что установленные приложения/конфигурации соответствуют утвержденным базовым значениям.
  2. Проверьте версии программного обеспечения на наличие уязвимостей.
  3. Обеспечьте соблюдение белых списков приложений.

Резервное копирование и восстановление:

  1. Проводите регулярное резервное копирование критически важных данных и конфигураций.
  2. Периодически тестируйте процесс восстановления.
  3. Храните резервные копии в безопасном месте вне офиса.
Additional Storage

Пространство для резервных копий вашего проекта или личного использования. is*hosting гарантирует защиту данных.

Подробнее

Более подробно мы опишем некоторые пункты ниже.

Подготовка к аудиту

В первую очередь определите область или области проведения аудита. На данном этапе также необходимо поставить цели аудита. Следуя чеклисту, вы можете разделить аудит на несколько частей, проверяя разные области по-очереди и уделяя некоторым из них больше времени.

Соберите текущую информацию о версиях операционной системы, используемых программ, служб, а также об учетных записях и доступах на разных уровнях. Задокументируйте все изменения, поскольку впоследствии данная информация понадобится вам в составлении отчетов.

Вы можете провести аудит самостоятельно, не прибегая к помощи специалистов, однако вы можете частично автоматизировать данный процесс с помощью специальных программ.

Инструменты для аудита программного обеспечения могут эффективно сканировать и анализировать серверную среду, включая оценку уязвимостей, проверку соответствия лицензий и создание отчетов.

Среди популярных вариантов:

  • Opsview Monitor (комплексная платформа мониторинга операционных систем, сетей, виртуальных машин, контейнеров, баз данных и т.п.).
  • Netwrix (предлагает набор решений для ИТ-аудита, обеспечения безопасности и соответствия нормативным требованиям, позволяющих управлять, отслеживать и анализировать действия пользователей в гибридных средах).
  • SolarWinds (как инструмент исправления недостатков, может предоставить вам ценную информацию об изменениях конфигурации и влияния на производительность).
  • Puppet Enterprise (платформа автоматизации для управления инфраструктурой и приложениями, обеспечивая вас наиболее удобным развертыванием в любых средах с предоставлением всего необходимого, от мэйнфреймов до контейнеров).
  • Palo Alto Networks (решение для обеспечения кибербезопасности, включая межсетевые экраны, системы предотвращения угроз и платформы сетевой безопасности).
  • Check Point (инструмент для мониторинга и автоматизации, позволяющий отслеживать изменения в режиме реального времени, снижать риск человеческих ошибок при управлении сервером и т.п.).
  • Nessus (сканер уязвимостей с открытым исходным кодом, который выявляет и оценивает уязвимости в системах и приложениях).
  • OpenVAS (система оценки и управления уязвимостями с открытым исходным кодом, которая сканирует уязвимости и предоставляет рекомендации по их устранению).

Проведение аудита безопасности и программного обеспечения


Определение установленного программного обеспечения и версий, проверка лицензий на программное обеспечение и соответствия требованиям:

  1. Проведите комплексное автоматизированное сканирование с помощью средств регистрации программного обеспечения, чтобы выявить все установленные в сети программы.
  2. Зафиксируйте названия, версии и номера сборок программного обеспечения для создания точной отчетности.
  3. Проведите централизацию и проверку лицензионной документации, обеспечив соблюдение лицензионных соглашений.

Какие инструменты использовать: Microsoft SCCM, PDQ Inventory, Lansweeper, Snow License Manager, Flexera.

Анализ использования программного обеспечения и выявление неиспользуемых приложений:

  1. Внедрите средства анализа использования программного обеспечения для отслеживания моделей использования приложений в режиме реального времени.
  2. Проанализируйте тенденции в использовании программного обеспечения, чтобы выявить активно используемые приложения и определить те, которые могут быть ненужными.
  3. Соберите отзывы пользователей и проведите опросы, чтобы понять предпочтения и требования.
  4. На основе анализа использования разработайте план удаления или оптимизации неиспользуемых приложений.

Какие инструменты использовать: IBM License Metric Tool, Snow Software, Flexera, USAGEIntel by Anthropic.

Сканирование сервера на уязвимости также необходимо провести по следующим компонентам: Firewall, файловая система, политика паролей, логи, контроль доступа, резервное копирование. Вот, на что стоит обратить внимание:

Компонент

Проверка

Firewall

  • Проверьте правила по умолчанию и обеспечьте политику запрета по умолчанию.
  • Проверьте конфигурацию на наличие открытых портов и служб.
  • Настройте фильтрацию входящего/исходящего трафика.

Файловая система

  • Проверьте наличие каталогов и файлов, доступных для записи.
  • Убедитесь, что разрешения и права на критические файлы/папки предоставлены конкретном кругу пользователей.
  • Проверьте наличие SUID/SGID-файлов и исправьте конфигурацию.

Политика паролей

  • Убедитесь в правильности политики надежных паролей в отношении длины, сложности, старения.
  • Проверьте, нет ли слабых, дублирующихся паролей для учетных записей.
  • Протестируйте функции сброса пароля и блокировки учетной записи.

Логи

  • Убедитесь, что критические журналы включены для ОС, служб и приложений.
  • Проверьте правильность хранения и ротации журналов.
  • Контролируйте отправку журналов в централизованную систему мониторинга.

Контроль доступа

  • Сканирование на наличие ненужных открытых ресурсов и учетных данных по умолчанию.
  • Тестирование на наличие уязвимостей, связанных с повышением привилегий.
  • Аудит прав доступа пользователей и принципа наименьших привилегий.

Резервное копирование

  • Убедитесь, что резервные копии зашифрованы и отправлены за пределы сервера.
  • Периодически тестируйте процессы восстановления из резервных копий.
  • Проверьте, соответствуют ли сроки хранения резервных копий нормативным требованиям.

В качестве конкретных комплексных инструментов для аудита безопасности возможно использование таких решений как Lynis и UpGuard.

Lynis - инструмент аудита безопасности для систем на базе Linux, macOS и UNIX. Помогает в тестировании на соответствие требованиям (HIPAA/ISO27001/PCI DSS) и укреплении системы.

Лучшей альтернативой для Windows является UpGuard. Данная платформа подходит для всестороннего анализа систем, включая предотвращение утечки данных, идентификация направления атаки и т.п.

Отчеты и анализ

Отчет о проведенном аудите должен содержать резюме, в котором описываются объем и общие цели аудита. Затем в нем необходимо подробно описать все программное обеспечение, установленное на сервере, включая версии и наличие соответствующих лицензий. Основная часть отчета должна включать в себя документирование результатов различных оценок конфигурации и сканирования уязвимостей, которые были обнаружены.

Важно включить в отчет скриншоты, фрагменты конфигурационных файлов или системные журналы, чтобы подтвердить любые выводы и принятые решения.

Наконец, в отчете должны быть перечислены конкретные меры, необходимые или примененные для устранения каждой обнаруженной уязвимости или проблемы.

Анализ выявленных проблем может привести к пониманию более глубинных уязвимостей на сервере, что потребует более комплексных решений.

Как часто следует проводить аудит сервера?

Аудит безопасности сервера следует проводить не реже одного раза в месяц. Имея выверенный план и зная слабые места вашего оборудования, вы легко справитесь с непредвиденными обстоятельствами и сможете быстро отреагировать на угрозу.

В ходе аудита можно увидеть отклонения от рекомендуемых настроек и исправить их, оценить внедренные решения и сделать вывод об их эффективности, определить уязвимые стороны сервера на предмет проникновения.

В целом, намного выгоднее исправить небольшую проблему прежде, чем она принесет больший ущерб. Автоматизация процесса проверки безопасности сервера станет дополняющим решением к ежемесячным аудитам и повысит скорость реагирования и устойчивость к атакам.