Как защитить ИТ-инфраструктуру: 7 базовых советов
Для защиты ИТ-инфраструктуры необязательно тратить крупные суммы. Например, операционная система Linux имеет инструменты, которые при правильном использовании позволяют предотвратить многие хакерские атаки.
Мы приведем семь базовых советов, которые снизят вероятность взлома сети вашей компании и кражи персональных данных.
/ Flickr / Cezary Borysiuk / PD
1. Ставьте обновления безопасности
Это одно из самых простых действий, которое вы можете сделать для повышения защищенности ИТ-инфраструктуры. Обновления безопасности выходят регулярно и порой закрывают серьезные уязвимости. Однако самостоятельно их ставят далеко не все. Поэтому мы советуем настроить автообновление.
Большинство разработчиков операционных систем предлагают свои инструменты для автоматической установки патчей. Поэтому мы подготовили для вас специальное пошаговое руководство по настройке таких ОС, как Debian/Ubuntu, CentOS и Fedora.
Однако хотим добавить, что у автоматического обновления все же есть свои минусы. Иногда новые патчи нарушают работу компьютера (хотя разработчики обновлений делают все возможное, чтобы этого избежать), в связи с этим мы советуем предварительно проверять обновления в тестовой среде.
2. Активируйте защитные расширения
Операционная система работает со множеством процессов, которые запускают разные пользователи. Чтобы помочь администраторам с разграничением прав доступа, Linux-сообщество разработало защитные расширения. Самыми популярными из них являются SELinux, AppArmor и GrSecurity. В этом пункте мы вкратце посмотрим, что может SELinux, поскольку это приложение создавалось для работы в государственных системах и имеет самые строгие (из представленной тройки) параметры контроля доступа к файлам и документам.
У SELinux есть три рабочих режима: Enforcing блокирует все действия, противоречащие политикам безопасности, Permissive не блокирует действия, но «пишет» нарушения в журнал, а режим Disabled выключает систему.
Приведем пример ситуации, в которой SELinux предотвратит атаку на инфраструктуру. В момент передачи данных между DNS-серверами (процесс репликации зоны), хакеры могут заслать серверам поддельную информацию. SELinux запретит изменение файлов зон при репликации, даже если администратор забыл «раздать» разрешения на обмен данными. О других примерах защиты с помощью SELinux вы можете прочесть на сайте Fedora.
Информация о настройке SELinux на Debian есть на официальном сайте проекта. Аналогичное руководство, но для Fedora, вы найдете здесь.
3. Настройте парольные политики
Исследователи из SplashData проанализировали пять миллионов паролей сотрудников различных компаний. Эти пароли были украдены и выложены в сеть в 2016 году. Большая часть из них оказалась «слабой» (наиболее популярные пароли — это «123456» и «password»).
Легкие пароли «упрощают» взлом систем и сетей организации — в этом случае хакерам зачастую достаточно перебрать пароли по словарю или провести атаку брутфорс.
Чтобы затруднить процедуру взлома, в Password Depot советуют использовать пароли длиной более 8 символов. При этом Джефф Этвуд (Jeff Atwood), один из создателей сайтов Stack Overflow и Stack Exchange, в своем блоге Coding Horror отмечает, что 10-символьный пароль снижает вероятность попадания в список самых популярных парольных фраз на 80%.
4. Настройте исключения для файрволов
В прошлом году в системном менеджере systemd нашли уязвимость, которая позволяла проводить DDoS-атаки. Защищает от атак такого рода настроенный файрвол — в случае с багом systemd нужно блокировать пакеты, содержащие записи, представленные в четвертой секции информационного документа RFC 4034.
В целом настройка политик файрвола, исключает многие векторы атак. Несколько базовых рекомендаций на этот счет дает команда компании Mailgun.
Они советуют удалять уже существующие правила файрвола перед определением новых и блокировать любой трафик, который не соответствует установленным требованиям. Также они рекомендуют запретить прохождение трафика IPv6, если ваша организация не пользуется этим протоколом.
Для реализации этих правил (и нескольких дополнительных) в Mailgun написали специальный скрипт. Он доступен по ссылке.
5. Организуйте подключение через SSH
Мы в 1cloud рекомендуем для доступа по SSH использовать вход по паре криптографических ключей, вместо доступа по паролю. Такой подход усложняет проведение брутфорс-атак на систему, поскольку хакерам придется подобрать два значения, длиной до 2048 бит.
Подробное руководство по созданию SSH-ключей и работе с ними вы найдете на нашем сайте. Для организации SSH-соединения можете воспользоваться набором программ OpenSSH, предоставляющим достойную конфигурацию «из коробки». Если вы захотите узнать, как настроить OpenSSH, рекомендуем обратиться к гайду от компании Mozilla.
Также отметим, что повысить защищенность ИТ-инфраструктуры позволит двухфакторная аутентификация, или 2FA.
6. Используйте криптографию
Важную роль в защите инфраструктуры играет криптография. Хранить персональные и учетные данные стоит в зашифрованном виде, даже если они «лежат» в приватном репозитории на GitHub. Так их не смогут прочитать, если хранилище окажется скомпрометированным. Тот же GitHub в прошлом становился жертвой взлома — тогда злоумышленнику удалось получить доступ к корпоративной информации нескольких пользователей сервиса (точное их количество неизвестно).
Перед началом работы с криптографическими системами мы рекомендуем познакомиться с курсом Crypto101 от директора Principal Лоренса ван Хоутвена (Laurens Van Houtven). Principal занимается подготовкой сотрудников по безопасности для стартапов. А также советуем обратить внимание на сайт The matasano crypto challenges, на котором собраны пятьдесят упражнений, призванных познакомиться вас с принципами атак на реально используемые шифры. Авторы уверяют, что такой способ изучения основ криптографии лучше, чем чтение книг.
7. Регулярно создавайте и проверяйте бэкапы
Создание и проверка резервных копий — важный аспект в защите ИТ-инфраструктуры, хотя этот вопрос и выбивается из общей тематики. В случае неисправности или хакерской атаки, которая привела к потере информации, у вас появится возможность относительно быстро возобновить бизнес-процессы.
Разработчики веб-приложений из Neon Rain создают резервные копии файлов раз в неделю, а баз данных — каждую ночь. В Chalvington Group, «качество» копий оценивается каждое утро. В целом ежедневное создание бэкапов — распространенная практика.
Однако при этом нужно регулярно проверять их «работоспособность». Например, известна ситуация, когда системный администратор из Нидерландов удалил часть базы данных сервиса GitLab. Ни одна из систем, хранящих бэкапы, не смогла вернуть потерянную информацию. Данные все же удалось восстановить, но по счастливой случайности — за 6 часов до инцидента была вручную создана одна резервная копия.
Также отметим, что важно ограничить доступ к серверам с бэкапами, чтобы в случае кибератаки злоумышленники не смогли их скомпрометировать. Если вы не хотите заниматься организацией и поддержанием бэкап-инфраструктуры, можно передать эту работу сторонней компании, которая возьмет на себя ответственность за создание и хранение резервных копий. Например, такую услугу предлагаем мы, компания 1cloud. Наши клиенты могут выбрать требуемое время на хранение копий, а само резервное копирование мы выполняем ежедневно.
К сожалению, защитить ИТ-инфраструктуру на 100% от всех типов атак не получится, но описанные выше меры позволяют закрыть многие потенциальные уязвимости. Усложнив жизнь хакерам, вы можете заполучить дополнительное время, необходимое на принятие решений и защиту систем.
Еще несколько наших материалов: