Il rafforzamento puntuale del sistema è un'impresa vantaggiosa, ma ciò che definisce veramente la distribuzione sicura di un server è ciò che viene fatto per mantenere quello stato .
Scegli una delle liste di controllo della qualità (vedi i link di seguito) che descrivono in dettaglio le modifiche di configurazione consigliate per rafforzare la sicurezza dei tuoi server e applicare quelle modifiche che hanno senso per la tua configurazione. Meglio ancora, codifica i consigli tramite Puppet ( link ): si tratta di una soluzione vantaggiosa per tutti, si dispiega in modo più sicuro e ti darai una possibilità di combattere nel sostenere le configurazioni temprate nel tempo.
Bonus : modello di attacco / modellazione delle minacce ( link ) per concentrare i tuoi sforzi difensivi. Ad esempio, porsi domande come:
How could an attacker gain access to these servers?
What are things I can do to reduce their chances of succeeding?
Traduci la tua risposta alla seconda domanda a specifiche modifiche di configurazione (hardening) o implementando controlli aggiuntivi. Il gioco, naturalmente, è di minimizzare la probabilità del successo di una singola minaccia. Questo richiede tempo, ma ti sentirai meglio con i cambiamenti che hai apportato e perché contro i cambiamenti a casaccio perché qualcuno ha detto che è bello fare.
Migliora la registrazione e la revisione . La prevenzione fallisce sempre: per contrastare questa realtà, si desidera aumentare la registrazione in modo da poter identificare e reagire più rapidamente agli incidenti e recuperare più rapidamente. Il mio strumento preferito per potenziare le difese e migliorare la registrazione su Linux è OSSEC ( link ). Trascorrere più tempo a personalizzare le regole incluse con OSSEC per guardare le cose che ti preoccupano di più è un'attività utile (ad esempio elencare directory aggiuntive e file da avvisare se sono modificati, aggiungendo regole o elevando la severità delle regole esistenti per avvisare l'utente di anomalie dell'autenticazione, aggiungendo regole per controllare le modifiche alla tabella utente mysql ( link ), ad infinitum). Richard Bejtlich ha appena pubblicato un breve post sul blog intitolato Sette fantastici progetti open source per i difensori ( link )
Per supportare la verifica continua delle difese del tuo server puoi eseguire Nessus ( link ) su base continua con i modelli di controllo Linux di Center for Internet Security (CIS). Utilizza i risultati come riferimento, osserva i cambiamenti e rimedia ai punti deboli scoperti.
Per ricapitolare:
1) Attingi alle attuali e rispettate checklist di sicurezza rafforzate per aiutarti a redigere una versione personalizzata che funzioni per il tuo ambiente (eventualmente dopo aver svolto attività di modellazione di attacco / minaccia e scegliendo un framework di gestione della configurazione)
2) Amplificazione delle capacità di osservazione: migliorare la registrazione (ad esempio ottimizzare il sistema per generare registri sufficienti per le attività che si desidera osservare), distribuire HIDS (ad es. OSSEC ), distribuire strumenti di analisi dei log (ad esempio logwatch - link ), forse acquisisce i flussi di rete (ad es. tramite softflowd )
3) Rendi qualcuno responsabile di essere un assiduo difensore dei sistemi
4) Verifica e test continui per verificare cosa si sta facendo in quel momento.
risorse benchmark / lista di controllo :.
http://cisecurity.org/ The Center for Internet Security (CIS) is a non-profit enterprise whose Benchmarking and Metrics Division helps organizations reduce the risk of business and e-commerce disruptions resulting from inadequate technical security controls. The Division provides enterprises with consensus best practice standards for security configurations, as well as resources for measuring information security status and for making rational decisions about security investments.
http://iase.disa.mil/stigs/checklist/ Defense Information Systems Agency (DISA)
http://web.nvd.nist.gov/view/ncp/repository
http://csrc.nist.gov/fdcc/faq-common_security_configurations.html
The National Checklist Program (NCP), defined by the NIST SP 800-70 Rev. 1, is the U.S. government repository of publicly available security checklists (or benchmarks) that provide detailed low level guidance on setting the security configuration of operating systems and applications.