NSA Publikuje Najlepsze Praktyki Ulepszania Ochrony Sieci - Security Bez Tabu

NSA Publikuje Najlepsze Praktyki Ulepszania Ochrony Sieci

Warte uwagi zestawienie wprost z USA

Agencja Bezpieczeństwa Narodowego USA (NSA) opublikowała w ubiegłym tygodniu zestaw najlepszych praktyk dla organizacji, które chcą poprawić ogólne bezpieczeństwo swoich sieci. Wskazówki miały być ogólne, mieć zastosowanie do szerokiej gamy urządzeń sieciowych i powinny pomóc administratorom w zapobieganiu wykorzystywaniu ich sieci przez osoby nieuprawnione.

Według NSA organizacje, które chcą zapewnić ochronę sieci przed zagrożeniami i zabezpieczenie zasobów, powinny wdrożyć wiele warstw ochronnych, a także przyjąć model bezpieczeństwa typu zero-trust. Jeśli chodzi o architekturę sieci, NSA zaleca organizacjom instalowanie urządzeń zabezpieczających, takich jak router graniczny i firewalle nowej generacji, a także zwraca uwagę, że publicznie dostępne systemy i wychodzące serwery proxy należy umieścić między zaporami ogniowymi oraz aby rozwiązania do monitorowania, zdalne serwery dziennika i redundantne urządzenia powinny być wdrożone w sieci.

Ponadto NSA zauważa w swoich wytycznych dotyczących bezpieczeństwa infrastruktury sieciowej, że administratorzy powinni grupować podobne systemy w sieci i izolować je w podsieci, stosując odpowiednią segmentację sieci, aby zapewnić, że przeciwnik, który jest w stanie skompromitować najbardziej użyteczne urządzenia w środowisku, nie może uzyskać dostępu do innych systemów.

Najlepsze praktyki od NSA w skrócie

NSA w swoim raporcie twierdzi, że najlepsze praktyki w zakresie bezpieczeństwa sieci obejmują również wdrażanie ograniczeń dostępu do krytycznych urządzeń sieci wewnętrznej i rozwiązania Network Access Control (NAC) oraz ograniczanie i szyfrowanie wirtualnych sieci prywatnych (VPN). Oprócz bezpiecznej architektury sieci administratorzy powinni również odpowiednio skonfigurować uwierzytelnianie, autoryzację i ewidencjonowanie (AAA – authentication, authorization and accounting) oraz stosować zasadę najmniejszych uprawnień. Powinni zadbać o to, aby konta administracyjne były odpowiednio zabezpieczone unikalnymi nazwami użytkowników i hasłami, powinni bezpiecznie przechowywać dane uwierzytelniające oraz powinni wyłączyć nieużywane konta.

Najlepsze praktyki w zakresie bezpieczeństwa sieci obejmują również właściwe zarządzanie systemem plików i rozruchem, aktualizowanie całego oprogramowania i systemów operacyjnych oraz zapewnienie, że używany sprzęt jest nadal obsługiwany przez dostawców. Należy również wdrożyć zdalne logowanie i monitorowanie wraz z bezpiecznym zdalnym zarządzaniem urządzeniami sieciowymi. Ponadto administratorom zaleca się wyłączenie routingu źródła IP, wyłączenie nieużywanych portów i monitorowania portów oraz wyłączenie niepotrzebnych usług sieciowych. Amerykańska Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) zachęca architektów sieci, obrońców i administratorów do zapoznania się z wytycznymi NSA w celu wzmocnienia ich sieci. 

Raport zawiera 58 stron. Cały raport znajdziecie TUTAJ. Podzielony jest na 10 rozdziałów i podsumowanie. Możemy w nim znaleźć takie rozdziały jak:

Wstęp

Krótka informacja na temat treści zawartych w tym raporcie w zakresie ogólnego bezpieczeństwa i ochrony sieci poszczególnych urządzeń sieciowych Wytyczne są ogólne i mogą być stosowane do wielu typów urządzeń sieciowych, przykładowe polecenia zawarte tam są dla urządzeń Cisco. Następnie możemy przeczytać na temat modelu Zero Trust. 

Zero Trust to model bezpieczeństwa systemu oraz skoordynowana strategia zarządzania cyberbezpieczeństwem i systemem oparta na stwierdzeniu, że zagrożenia istnieją zarówno wewnątrz, jak i poza tradycyjnymi granicami sieci. National Security Agency (NSA) w pełni popiera ten model bezpieczeństwa.

Architektura i projektowanie sieci

Bezpieczny projekt sieci, który implementuje wiele warstw obronnych, ma kluczowe znaczenie dla obrony przed zagrożeniami i chroni zasoby wewnątrz sieć. Projekt powinien być zgodny z najlepszymi praktykami bezpieczeństwa i modelować zasady Zero Trust, zarówno dla obwodu sieci, jak i urządzeń wewnętrznych.

Utrzymanie bezpieczeństwa

Przestarzały sprzęt i oprogramowanie może zawierać publicznie znane luki w zabezpieczeniach i zapewniać przeciwnikom łatwy mechanizm obchodzenia zabezpieczeń sieci. Te luki są niwelowane przez regularne uaktualnianie sprzętu i oprogramowania do nowszych wersji obsługiwanych przez dostawcę. Dodatkowo integralność pobranego oprogramowania powinna zostać zweryfikowana przed i w trakcie użytkowania. Konserwację bezpieczeństwa należy przeprowadzać regularnie, aby zapewnić nieprzerwane działanie urządzeń działać bezpiecznie. 

Authentication, authorization, and accounting (AAA)

Scentralizowane serwery AAA zapewniają skonsolidowany mechanizm zarządzania dostępem administracyjnym do urządzeń, a utworzone konta są trudniejsze do złamania przez przeciwnika, ponieważ poświadczenia nie są przechowywane bezpośrednio na urządzeniach.

Właściwe skonfigurowanie tych serwerów zapewnia autorytatywne źródło zarządzania i monitorowania dostępu, poprawia spójność kontroli dostępu, ogranicza konserwację konfiguracji i zmniejsza koszty administracyjne.

Konta i hasła lokalnych administratorów

Konta lokalne są niezbędne do zarządzania urządzeniami sieciowymi. Jeśli scentralizowane uwierzytelnianie nie powiedzie się, konta lokalne zapewniają administratorom dostęp do urządzeń sieciowych w celu rozwiązywania i diagnozowania problemów z siecią. Konta lokalne powinny być unikatowe, uwierzytelnianie unikalnym i złożonym hasłem oraz zapewniać odpowiedzialność poszczególnym administratorom. Jeśli w organizacji nie istnieje polityka haseł, ustal i wyegzekwuj nową politykę. W razie potrzeby okresowo przeglądaj i poprawiaj zasady. 

Zdalne rejestrowanie i monitorowanie

Logowanie danych jest ważnym mechanizmem rejestrowania aktywności urządzeń i śledzenia zdarzeń związanych z bezpieczeństwem sieci, zapewniającym administratorom możliwość przeglądania dzienników pod kątem podejrzanych działań i badania incydentów. Niepoprawna konfiguracja rejestrowania na urządzeniu może prowadzić do brakujących lub niedokładnych informacji oraz trudności w korelacji zdarzeń, które wystąpiły na urządzeniu lub w sieci. Prawidłowe rejestrowanie obejmuje wysyłanie dzienników do wielu zdalnych serwerów logów, synchronizowanie zegara z wieloma uwierzytelnionymi źródłami czasu oraz wdrażanie zasad i procedur zarządzania dziennikami. Security Information and Event Management (SIEM) może być używany do agregowania i analizowania dzienników otrzymanych przez zdalne serwery dzienników. 

Zdalna administracja i usługi sieciowe

Urządzenia sieciowe mogą być zarządzane zdalnie przez administratorów za pośrednictwem różnych usług. Najpopularniejsze usługi sieciowe obejmują SSH, Hypertext Transfer Protocol (HTTP), SNMP i Protokół przesyłania plików (FTP). Usługi te są przydatne dla administratorów, ale są też kierowane przez przeciwników w celu wykorzystania i uzyskania uprzywilejowanego dostępu do urządzenia. Wszystkie z usług muszą być odpowiednio skonfigurowane, aby zmniejszyć prawdopodobieństwo kompromisu. 

Routing

Routery przekazują pakiety danych między sieciami komputerowymi. Gdy router odbiera pakiet, używa swojej tabeli routingu i informacji o adresie sieciowym pakietu, aby określić następny przeskok i dotrzeć do miejsca docelowego. Nieprawidłowa konfiguracja samego routera lub dynamicznych protokołów routingu używanych do wypełniania tabeli routingu może umożliwić przeciwnikowi przekierowanie pakietów do innego miejsca docelowego, umożliwiając zbieranie, manipulowanie lub odrzucanie poufnych danych, co naruszałoby poufność, integralność lub dostępność 

Porty na interface

Porty interfejsów przełączników sieciowych fizycznie łączą stacje robocze, serwery i inne urządzenia do sieci, podczas gdy połączenia między routerami i przełącznikami określają w jaki sposób systemy komunikują się w sieci. Przeciwnik musi najpierw uzyskać fizyczny dostęp do sieci, aby połączyć się z systemem, lub użyć systemu już ustanowionego w sieci, aby wykorzystać istniejące połączenie. Prawidłowo skonfigurowane porty interfejsu uniemożliwią przeciwnikowi wykonywanie prób wykorzystania sieci. 

Banery powiadomień

Zalecenia techniczne zawarte w tym dokumencie mogą znacznie zmniejszyć prawdopodobieństwo wykorzystania luki w sieci przez przeciwnika. Niestety, przeciwnik lub osoba mająca dostęp do informacji poufnych może nadal być w stanie znaleźć słabość umożliwiającą skompromitowanie, obejście lub zakłócenie działania sieci. Posiadanie banera powiadomień może jasno określić, co jest dozwolone dla każdego, kto ma dostęp do systemu, oraz dodać wszelkie niezbędne powiadomienia i zastrzeżenia. 

Podsumowanie

Wskazówki zawarte w tym raporcie zostały opracowane na podstawie dogłębnego i szerokiego doświadczenia we wspieraniu klientów przez  NSA.

Oprócz podstawowych funkcji konserwacyjnych administratorzy odgrywają kluczową rolę w obronie sieci przed wrogimi zagrożeniami. Postępowanie zgodnie z tymi wskazówkami pomoże we wdrażaniu najlepszych praktyk w zakresie cyberbezpieczeństwa, zmniejszając ryzyko włamania i zapewniając bezpieczniejszą i lepiej chronioną sieć.

Cały raport znajdziecie TUTAJ.