Hardening

Hardening

​Hardening systémů a platforem je základním bezpečnostním opatřením, kterým se lze účinně bránit před zneužitím informačních systémů nebo aplikací. Na míru připravíme hardeningové politiky a navrhneme, jak je implementovat do praxe a zároveň efektivně (a automatizovaně) kontrolovat jejich dodržování.

 

Náš příběh
Staráme se o vaše díry

Velká energetická společnost využívala desítky platforem pro své aplikace. Potýkala se s problémem jejich zabezpečení, protože každý audit vyžadoval množství lidských zdrojů. Požádala tedy AEC o vytvoření jednotné dokumentace pro 15 nejpoužívanějších platforem.

 

V AEC jsme vytvořili standardy pro bezpečnostní nastavení (tzv. hardening) tak, aby vyhovovaly požadované vysoké úrovni zabezpečení. Tyto metodiky nyní společnosti pomáhají řídit její dodavatele při úpravě aplikací. Po úspěšném zvládnutí projektu jsme byli pověřeni přípravou nových standardů i pro dalších 40 platforem.

 

Vzhledem k obrovskému množství spravovaných technologií jsme navrhli nasazení nástroje pro řízení zranitelností (VMS), který zautomatizoval kontrolu dodržování vytvořených bezpečnostních standardů a začal dodávat přehledný reporting. Díky němu zákazník ušetřil další lidské zdroje.

 

Popis řešení

Jako hardening je označován proces zabezpečení konfigurace systému takovým způsobem, který omezí výskyt zranitelností využitelných útočníkem. V dnešní době je hardening systémů jedním ze základních bezpečnostních opatření pro ochranu informací a informačního systému společnosti.

Jak probíhá proces hardeningu?

Proces zajištění vysoké úrovně bezpečnosti aplikací a operačních systémů je kontinuální. Při hardeningu systémů je nutné řešit následující fáze:

  • Analýza – v úvodní fázi jsou určeny systémy, které budou předmětem hardeningu. Tyto systémy jsou zpravidla vybírány dle jejich kritičnosti a významu, který v rámci informačního systému společnosti mají. Součástí může být i výběr vhodného nástroje pro automatizovanou kontrolu nastavení.
  • Vytvoření hardeningových bezpečnostních politik – jedná se o technické i procesní předpisy, které stanovují, jaká má být konfigurace aplikací a systémů včetně prováděcích kontrol na ověření shody se skutečností. V této fázi se opíráme o již existující a prověřené standardy jako jsou např. CIS Benchmarky, NIST a jiné. Hardeningové bezpečnostní politiky jsou vytvořeny v takové podobě, aby bylo možné je vyhodnocovat nejen manuálně v rámci interních auditů, ale zejména automatizovaně, což šetří interní zdroje nutné pro vykonávání kontrol.
  • Budování procesů – součástí hardeningu nejsou pouze dokumenty a předpisy pro zajištění vysoké úrovně konfigurace, ale i procesy pro udržování a aktualizaci politik, jejich řízení, kontrolu, vynucování a další rozvoj.
  • Technická kontrola a nasazení – vytvořené procesy a technické předpisy je nutné nasadit do praxe. Součástí tohoto kroku je obvykle implementace nástroje, který dokáže ověřit nasazení hardeningové politiky na daná zařízení a identifikovat neshody oproti schváleným politikám.

Jaké systémy lze hardenovat?

Pro hardening jsou vhodné jakékoliv aplikace, systémy a platformy, které jsou součástí infrastruktury IT společnosti. Jedná se například o:

  • Servery a jejich aplikace (operační systém, databáze, webové servery, aplikační servery a jiné).
  • Hardwarová zařízení (např. SCADA, hardwarové firewally, přístupové body – WiFi access pointy).
  • BYOD a MDM zařízení.
  • Pracovní stanice a AD GPO (Group Policy), nastavení webového browseru, chování Java a .NET frameworku a podobně.

To, která zařízení je nebo není možné hardenovat a vynucovat u nich jejich kontrolu, je obvykle součástí fáze analýzy.

Jaké produkty jsou vhodné pro automatizovanou kontrolu?

Pro automatizovanou kontrolu hardeningových politik lze využít jakýkoliv VMS (Vulnerability Management Systém) produkt , který umožňuje automaticky kontrolovat a vyhodnocovat nastavení systému. Takový produkt má zpravidla následující vlastnosti:

  • Možnost nastavit „zero-configuration“, tj. stanovit konfigurační etalon pro daný systém.
  • Provádění „agent-less“ kontroly.
  • Modifikace a vytváření vlastních bezpečnostních politik.
  • Vyhodnocování shody a neshody, řízení výjimek.
  • Napojení na SIEM a tiketovací systém.
  • Reporting a alerting.

Přínosy našich služeb

Implementace hardeningu má následující přínosy:

  • Významné zvýšení úrovně bezpečnosti provozovaných systémů.
  • Efektivní nástroj pro řízení zranitelností a kontrolu shody s politikami šetří interní zdroje.
  • Politiky a procesy jsou vytvářeny na míru prostředí a systémům zákazníka.
  • Definice konfiguračního standardu pro používané systémy. Dodržování standardů lze následně vyžadovat i po externích dodavatelích.
  • Kompletní přehled o nastavení jednotlivých systémů, včetně identifikace neshod oproti politikám.
  • Systémy jsou zabezpečeny na vysoké úrovni dle mezinárodních standardů, best practice a našich zkušeností získaných dlouholetou praxí v oblasti auditů konfigurace a penetračních testů.
  • Rizika plynoucí z existujících zranitelností, konfiguračních neshod nebo provozu ICT jsou identifkována a řízena.

Reference

V této oblasti máme mnohaleté zkušenosti z implementací řady projektů pro významné organizace ve svém oboru, jako jsou:
  • ČEZ ICT Services, a.s.
  • ING Pojišťovna a.s.