La sigurnost kompjuterskih sistema To je odavno prestalo biti "tehnički problem" i postalo je kritično poslovno pitanje. Danas gotovo sve operacije kompanije zavise od njenog IT ekosistema. Stoga, kada nešto ne uspije zbog napada ili pogrešne konfiguracije, posljedice se prenose na finansijske gubitke, nezadovoljne kupce i oštećen imidž brenda.
U ovom kontekstu, kaljenje To je postala ključna strategija. Ne radi se samo o instaliranju više sigurnosnih alata, već o pravilnom konfigurisanju onoga što već imamo, smanjenju nepotrebnih funkcija i zatvaranju vrata koja nikada nisu trebala biti otvorena. A u slučaju preglednika Google Chrome, to uključuje kombinovanje tehnika kao što su... izolacija procesa, napredne postavke i specifične kontrole kako bi se uskladili sa zahtjevnim propisima u reguliranim sektorima.
Šta je ojačavanje i zašto je toliko važno u Chromeu?
Kada govorimo o kaljenju, mislimo na skup mjera i konfiguracija dizajniran da minimizira ranjivosti sistema. Primijenjeno na Chrome, ovo uključuje prilagođavanje preglednika kako bi ponudio najveću moguću sigurnost, smanjujući broj poziva pregledniku. "površina napada" koje napadači mogu iskoristiti.
Osnovni princip je jednostavan: Manje nepotrebnih funkcija Što je više sigurnosnih funkcija aktivno, to je manje mogućnosti za iskorištavanje ranjivosti. Proizvođači obično isporučuju svoje proizvode spremne za upotrebu, dajući prioritet jednostavnosti korištenja u odnosu na strogu sigurnost. To znači da često dolaze sa opcije omogućene po zadanim postavkama koje vam možda neće trebati i koje mogu postati vektori napada. Posebno u organizacijama koje podliježu strogoj regulaciji.
Otvrdnjavanje traži Razumna ravnoteža između zaštite i upotrebljivostiNe radi se o blokiranju svega i onemogućavanju života korisnicima, već o stvaranju ugodnog radnog okruženja u kojem je vjerovatnoća da će doći do ozbiljnog incidenta što manja.
U reguliranim okruženjima, kaljenje prestaje biti opcija koju je "lijepo imati" i postaje regulatorni zahtjevMnogi regulatorni okviri i standardi (kao što su CIS mjerila ili DISA STIG smjernice) zahtijevaju sigurne konfiguracije i specifične kontrole nad preglednicima i aplikacijama, uključujući Chrome.
Izolacija procesa u Chromeu: prva linija odbrane
Jedan od ključnih stubova Kaljenje hroma To je njegova arhitektura izolacije procesa, poznata i kao sandboxing. Chrome odvaja kartice, dodatke, a u mnogim slučajevima čak i cijele web stranice u nezavisne procese, ograničavajući utjecaj ranjivosti na određenu stranicu ili komponentu.
Ovaj pristup od "sve u svojoj kutiji" Ovo je ključno u reguliranim okruženjima, gdje se izloženost osjetljivih podataka ne može osloniti na jednu barijeru. Ako napadač uspije iskoristiti ranjivost na web stranici, izolacija procesa otežava širenje te greške na druge kartice, druge domene ili sam operativni sistem.
Nadalje, sandboxing je dopunjen mehanizmima kontrola memorije i ublažavanje eksploatacije u pregledniku i u osnovnom sistemu (OS). Stoga, čak i kada se otkrije ranjivost, obično je potrebno povezati je s drugima kako bi se postigla potpuna eksploatacija, nešto mnogo složenije ako je izolacija procesa pravilno konfigurirana i popraćena općim jačanjem sistema.
U organizacijama koje su podložne revizijama i kontrolama, uobičajeno je da sigurnosne politike zahtijevaju Ne onemogućavajte ove zaštite Osim u vrlo opravdanim, dokumentiranim i kontroliranim slučajevima. Održavanje Chromeovih funkcija izolacije i sandboxa aktivnim nije samo opći savjet: to je osnovni zahtjev za demonstraciju dužne pažnje i usklađenosti s regulatorima.
Jačanje sistema: neophodan kontekst za jačanje Chromea
Preglednik ne postoji izolovano. Da bi Chromeovo ojačanje bilo zaista efikasno, ono se mora oslanjati na... globalno očvršćavanje sistema (Windows, Linux, aplikacijski serveri, ruteri, itd.). "Siguran" Chrome preglednik je beskoristan ako radi na operativnom sistemu sa nepotrebno otvorenim portovima, nesigurnim servisima i loše upravljanim dozvolama.
Kaljenje sistema sastoji se od primjene restriktivne mjere i u softveru i u hardveru kako bi se smanjile ranjivosti bez ometanja svakodnevnih operacija. Neki uobičajeni primjeri uključuju: uklanjanje nekorištenih programa, onemogućavanje servisa koji ne dodaju vrijednost, zatvaranje nekorištenih portova, pažljivo upravljanje dozvolama za mape i korisnike i uspostavljanje pravila za jake lozinke i autentifikaciju.
U mnogim sigurnosnim projektima, preporučeni pristup je odvajanje aktivne i pasivne mjerePrva vrsta sigurnosnih mjera pokušava spriječiti napade (zaštitni zidovi, pravila pristupa, jaka autentifikacija itd.), dok se druga fokusira na ublažavanje utjecaja ako dođe do incidenta (sigurnosne kopije, mogućnosti oporavka, evidentiranje i praćenje, skeniranje i uklanjanje zlonamjernog softvera itd.). Chrome ima koristi od obje. Dobra politika izrade sigurnosnih kopija i odgovora na incidente može napraviti veliku razliku kada zlonamjerni softver uđe kroz preglednik.
U korporativnim mrežama, uzima se u obzir i sljedeće: ojačavanje rutera i mrežne opremeJake lozinke (ne zadane), zatvaranje nekorištenih portova, onemogućavanje nebitnih usluga (FTP, CDP, BOOTP, itd.) i pravilna segmentacija podmreže. Sve ove mjere smanjuju mogućnosti napadača za lateralno kretanje nakon što steknu početnu ranjivost putem preglednika.
Još jedan aspekt usko povezan s Chromeom u poslovanju je zaštita mapa i korisničkih profilaPravilno upravljanje dozvolama i ACL-ovima u putanjama gdje preglednik pohranjuje profile, predmemorije ili preuzimanja smanjuje mogućnost zlonamjernog softvera da poveća privilegije ili ugrozi kritične informacije.
Faze projekta kaljenja u reguliranim okruženjima
Ozbiljan projekat ojačavanja, kako za Chrome tako i za njegove ostale komponente, nije ograničen na primjenu skupa "čarobnih recepata". Obično je strukturiran na sljedeći način: tri glavne faze: testiranje, primjena i praćenje, uvijek podržano jasnom politikom pooštravanja.
Testovi
Prvo, moramo definirati osnovne vrijednosti i politike za svaku vrstu sistema: preglednike, servere, aplikacije, verzije, uloge, okruženja (produkcijsko, predprodukcijsko, laboratorijsko, itd.). Što je politika detaljnija (na primjer, poseban predložak za Chrome u bankarskim ulogama u front-officeu i drugačiji za razvojne timove), to će se bolje uklopiti u svakodnevno poslovanje.
U fazi pruebasOve politike se zatim implementiraju u testna okruženja koja što je moguće vjernije simuliraju stvarnost. Ovdje se procjenjuje koja se pravila mogu primijeniti bez kršenja ikakvih pravila, a koja uzrokuju probleme u korporativnim web aplikacijama, potrebnim Chrome ekstenzijama ili kritičnim uslugama. Ovo je najskuplja faza u smislu vremena i resursa, ali i najvažnija: primjena promjena u postizanju sigurnosnih mjera direktno u produkciji, bez testiranja, recept je za katastrofu i interne incidente.
Aplikacija
Nakon što se politika prilagodi, faza primjena i usklađenostDogovorene konfiguracije moraju se implementirati na svim pogođenim računarima i serverima, provjeravajući da li svaki od njih prima ispravnu politiku. Ako se to radi ručno, rizik od ljudske greške je vrlo visok. Stoga se koriste alati za upravljanje konfiguracijom i automatizaciju kako bi se omogućilo centralizirano upravljanje politikama.
Monitoring
Konačno, faza kontinuirano praćenje To je ono što sprečava da se sistem s vremenom vrati u svoje početno nesigurno stanje. IT okruženja su veoma dinamična: instaliraju se nove aplikacije, oprema se deaktivira, dozvole se mijenjaju i tako dalje. Ako se ovo "pomjeranje konfiguracije" ne prati i ne ispravlja, mjere osiguranja brzo gube svoju efikasnost.
Alati za automatizaciju i praćenje kaljenja
Da bi se efikasno riješile ove tri faze, uobičajeno je oslanjati se na četiri glavne porodice alata:
- Automatizacija kaljenja.
- Upravljanje konfiguracijom.
- Skeneri za usklađenost.
- Rješenja otvorenog koda.
Svaki od njih pokriva drugačiji dio ciklusa.
u alati za automatizaciju kaljenja Oni uglavnom nude sveobuhvatnije rješenje: mogu testirati promjene konfiguracije, procijeniti njihov utjecaj, primijeniti pravila skupno i centralno pratiti usklađenost. Njihova snaga leži u automatskoj analizi utjecaja svakog pravila na produkcijske servise, što je ključno za izbjegavanje kvarova web aplikacija koje zavise od specifičnih Chromea ili sistemskih postavki.
Postoje komercijalna rješenja specijalizirana za jačanje servera i middleware, dizajnirana za smanjite operativne troškove i izbjegnite prekide primjenom strogih sigurnosnih politika. Neki su usmjereni na servere općenito, dok se drugi fokusiraju na određene platforme (npr. web okruženja). Ove vrste alata vam omogućavaju održavanje snažne sigurnosne pozicije bez povećanja ručnog napora. Oni također olakšavaju generiranje izvještaja o usklađenosti za revizije.
Druga kategorija je alati za upravljanje konfiguracijom sigurnosti (SCM)NIST opisuje ove sisteme kao skup procesa i tehnologija koje se koriste za kontrolu konfiguracija informacionog sistema radi upravljanja rizikom. Njihova funkcija se kreće od primjene određene osnovne konfiguracije do kontrole verzija, pregleda promjena, odobravanja modifikacija i održavanja sljedivosti ko je šta promijenio i kada.
Konačno, ekosistem open source Nudi više projekata usmjerenih na jačanje sigurnosti. To uključuje okvire za automatizaciju i orkestraciju, predloške za usklađenost s Windowsom, skripte koje uspoređuju konfiguracije sa službenim smjernicama za jačanje sigurnosti i alate koji analiziraju sistemske informacije i predlažu potencijalne ranjivosti i slabe konfiguracije koje bi mogle omogućiti eskalaciju privilegija.
Praktične mjere kaljenja: od sistema do korisnika
Kaljenje nije jednokratna radnja, već skup komplementarnih mjera primjenjuje se na različitim slojevima: operativni sistem, mreža, aplikacije, podaci i ljudi. Iako je Chrome ključan za mnoge incidente, on je samo jedna karika u lancu.
Sistem i preglednik
U sistemskom dijelu, neke tipične mjere su:
- Promijenite sve zadane lozinke.
- Deinstalirajte nepotreban softver.
- Uklonite korisnike koji više nisu potrebni.
- Onemogućite nekorištene usluge i ojačajte sigurnost usluga koje će ostati operativne.
- Zatvorite otvorene portove koji se ne koriste.
- Uspostavite redovne i pouzdane strategije pravljenja sigurnosnih kopija.
- Instalirajte i pravilno konfigurirajte zaštitni zid (firewall).
- Uvijek ažurirajte zakrpe za svoj operativni sistem i aplikacije (uključujući Chrome).
Takođe je zgodan otkriti da li je vaša lozinka procurila kad je to moguće.
Što se tiče preglednika, ojačavanje Chromea podrazumijeva, na primjer, Ograniči ekstenzije samo one koje je odobrila organizacija, ograničite instalaciju dodataka (pluginova), prisilite korištenje HTTPS-a, onemogućite eksperimentalne ili malo korištene funkcije koje mogu predstavljati rizik, kontrolirajte pravila preuzimanja datoteka i prilagoditi dozvole pristupa za mikrofon, kameru, lokaciju, međuspremnik itd. Sve ovo se može upravljati pomoću predložaka politika i alata za administraciju u korporativnim okruženjima.
Korisnici i sigurnost
Ne smijemo zaboraviti kaljenje korisnikaDobro konfiguriran preglednik je od male koristi ako osoblje otvara svaki prilog bez provjere, instalira sumnjive ekstenzije ili unose svoje lozinke na phishing stranicama. Sigurnosna svijest i obuka su neophodni za jačanje sigurnosti. Učenje ljudi kako da otkriju sumnjive e-poruke, Izbjegavajte preuzimanja sa neslužbenih stranicaKoristite jake lozinke, nemojte ih ponovo koristiti u različitim servisima, održavajte antivirus aktivnim i ažuriranim i koristite zdrav razum prije nego što kliknete.
U praksi se radi s kombinacijom aktivna i pasivna sigurnost.
- Aktivni sigurnosni pokušaji za sprječavanje incidenta (konfiguracija Chromea, zaštitni zid, autentifikacija, kontrola pristupa, segmentacija mreže).
- Pasivna sigurnost se fokusira na minimiziranje štete nakon što se nešto dogodi (sigurnosne kopije, planovi oporavka, logovi, alati za analizu i čišćenje, sistemi za detekciju i praćenje).
Rizici, prepreke i primjeri gdje bi kaljenje napravilo razliku
Implementacija ozbiljnog programa kaljenja nije bez nedostataka. izazovi i trenjaMjere pooštravanja mogu biti tehnički složene, zahtijevati specijalizirane profile i često se suočavaju s otporom korisnika ili poslovnih područja koja ove politike smatraju smetnjom.
Jedan od problema koji se ponavljaju je kompatibilnost s postojećim aplikacijamaOdređene promjene (kao što su onemogućavanje protokola, blokiranje porta ili ograničavanje izvršavanja makroa) mogu prekinuti rad naslijeđenih aplikacija ili tokova rada koji su se izvodili godinama. Zato je faza testiranja toliko kritična. Ove konflikte treba otkriti rano, a odluku o tome treba donijeti od slučaja do slučaja, odnosno hoće li se aplikacija prilagoditi, pronaći alternativa ili prihvatiti kontrolirani izuzetak.
Troškovi, i direktni (alati, konsultacije, osoblje) i indirektni (potencijalni utjecaj na upotrebljivost ili performanse), također se moraju uzeti u obzir. Neke vrlo restriktivne konfiguracije mogu rezultirati blagim smanjenjem performansi. Ovo je posebno primjetno u okruženjima s velikim obimom transakcija ili pri radu sa složenim web aplikacijama u Chromeu.
Iako je svaki slučaj drugačiji, historija kibernetičke sigurnosti puna je primjera gdje loše upravljanje zakrpama ili zadane konfiguracije Bio je izvor masovnih incidenata. Proboji uzrokovani neispravljenim ranjivostima, ransomwareom koji iskorištava zastarjele protokole, napadima na kritičnu infrastrukturu zbog nesigurnih konfiguracija... U mnogim od ovih slučajeva, rigorozan pristup ojačavanju bi značajno smanjio utjecaj ili čak spriječio incident.
U konačnici, jačanje Chromea i ostatka infrastrukture je način izgradnje čvrsti temelji Ovo su područja gdje ima smisla primijeniti druge napredne sigurnosne tehnologije. Prije ulaganja u moderna rješenja ili sofisticirane usluge detekcije, vrijedi provjeriti jesu li osnovne sigurnosne mjere na mjestu, jesu li konfiguracije tamo gdje bi trebale biti i može li osoblje identificirati najčešće rizike. Tek tada gornji slojevi odbrane mogu zaista obavljati svoj posao.
