Выбрать язык


Выбрать язык | Show only


Русский | English


вторник, 14 июня 2016 г.

PHDays CTF: "Противостояние" глазами "защитника". Часть 7. Выводы





Итак, описав в шести частях наше участие в противостоянии, неплохо было бы сделать выводы по результатам соревнований. Несмотря на то, что нас не победили, я понял, что нам еще есть куда расти как защитникам. Противостояние дало возможность поработать в считающихся нереальными условиях абсолютного админского косяка: default permit на пограничном firewall и неконтролируемое появление дырявых серверов в DMZ. Как некоторый итог, для проверки степени защищенности инфраструктуры необходим определённый checklist, с которым нужно сверяться.
Чтобы не распыляться на большое количество слов и фраз, я возьму за основу SANS Top 20 Critical Security Controls, в котором описаны точки контроля ИБ. Они применимы как к соревнованиям, так и к реальной жизни. В табличке попробую несколько разграничить зоны ответственности защитников (DEF) и SOC, несмотря на то, зачастую они плотно переплетаются.
По-хорошему, и защитники, и SOC должны быть озабочены всеми вопросами, но я расставил плюсики в соответствии с теми реалиями, которые нам продиктовали условия соревнований. Если где-то нет плюсиков - значит, неприменимо или я не заметил применимость именно в условиях "противостояния".


Control name
DEF
SOC
1
Inventory of Authorized and Unauthorized Devices +

+

2
Inventory of Authorized and Unauthorized Software +

+

3
Secure Configurations for Hardware and Software on Mobile Device Laptops, Workstations, and Servers +

+

4
Continuous Vulnerability Assessment and Remediation +

+

5
Controlled Use of Administrative Privileges +

+

6
Maintenance, Monitoring, and Analysis of Audit Logs

+

7
Email and Web Browser Protections +



8
Malware Defenses +

+

9
Limitation and Control of Network Ports, Protocols, and Services +



10
Data Recovery Capability



11
Secure Configurations for Network Devices such as Firewall Routers, and Switches +



12
Boundary Defense +



13
Data Protection +

+

14
Controlled Access Based on the Need to Know +

+

15
Wireless Access Control



16
Account Monitoring and Control

+

17
Security Skills Assessment and Appropriate Training to Fill Gaps +

+

18
Application Software Security +



19
Incident Response and Management

+

20
Penetration Tests and Red Team Exercises +

+



Кроме выводов, конечно, стоит обозначить допущенные нами ошибки и дальнейшую стратегию защиты в будущих "противостояниях". Думаю, соревнования подобного формата будут довольно популярны теперь.

Какие ошибки мы допустили в противостоянии с хакерами:



Во избежание подобных ошибок я вижу такой перечень действий на будущее:



Если при прочтении пунктов выше у вас возникли проблемы с отображением текста, но вы считаете, что там что-то должно быть - проверьте не столько технические параметры браузера своего ПК, сколько коэффициент наивности восприятия информации. 

Согласитесь, было бы глупо с моей стороны раскрывать целому Интернету, в том числе, и противникам, все планы действий в будущих сражениях :)



Комментариев нет:

Отправить комментарий